Belajar Mengajar
Untuk stabilitas disarankan mengganti default DNS Telkom ke DNS pihak ketiga.
Verisign
64.6.64.6 64.6.65.6
Google Public DNS
8.8.4.4 8.8.8.8
OpenDNS
208.67.222.222 208.67.220.220
Saya sendiri menggabungkan ketiga DNS tersebut
64.6.64.6 8.8.4.4 208.67.222.222
Karena alasan tertentu, kita butuh untuk menggunakan setting DNS permanent, caranya adalah dengan menggunakan chattr +i
chattr +i /etc/resolv.conf chattr: Operation not supported while reading flags on /etc/resolv.conf
biasanya error tersebut karena file tersebut ngelink ke file lain, cek dengan ls -l
ls -l /etc/resolv.conf lrwxrwxrwx 1 root root 35 May 16 22:11 /etc/resolv.conf -> /var/run/NetworkManager/resolv.conf
Bila kita merubah permissin di /var/run/NetworkManager/resolv.conf system akan menolak mentah-mentah
chattr +i /var/run/NetworkManager/resolv.conf chattr: Inappropriate ioctl for device while reading flags on /var/run/NetworkManag
Hapus file /etc/resolv.conf
rm -f /etc/resolv.conf
dengan begitu link dari /var/run/NetworkManager/resolv.conf beserta attribut-nya hilang. Lalu buat baru file /etc/resolv.conf yang isinya
nameserver 192.168.1.2 nameserver 64.6.64.6
sesuaikan dengan DNS yang anda inginkan, lalu buat menjadi permanen
chattr +i /etc/resolv.conf
Bila anda atau sistem menghapus file resolve.conf tersebut akan muncul error
rm -f /etc/resolv.conf rm: cannot remove '/etc/resolv.conf': Operation not permitted
caranya adalah menghapus attribut chattr +i yang tadi dibuat dengan chattr -i
chattr -i /etc/resolv.conf
Tulisan sebelumnya cara install unbound 1.4.21 dengan cara menginstall unbound dari source, kali ini kita akan menginstall langsung dari .deb jadi tidak perlu menginstall dependency yang lumayan banyak.
.deb yang akan kita install diambil dari wheezy-backport, untuk menggunakannnya jalankan perintah dibawah ini
echo 'deb http://http.debian.net/debian wheezy-backports main' >> /etc/apt/sources.list
tanda > ada dua (>>).
Bila anda pernah menginstall Unbound versi sebelumnya uninstall dengan cara
apt-get purge unbound -y
Install unbound 1.4.22 dengan cara
apt-get update apt-get -t wheezy-backports install "unbound"
Download root.server
wget http://www.internic.net/domain/named.root -O /etc/unbound/root.server
File konfigurasi Unbound berada di /etc/unbound/. Hapus file /etc/unbound/unbound.conf ganti dengan
server: directory: "/etc/unbound" root-hints: "/etc/unbound/root.server" interface: 0.0.0.0 access-control: 0.0.0.0/0 allow verbosity: 3 hide-identity: yes hide-version: yes prefetch: yes do-ip4: yes do-ip6: no do-udp: yes do-tcp: yes num-threads: 1 outgoing-range: 400 so-rcvbuf: 10m so-sndbuf: 10m cache-min-ttl: 3600 private-address: 10.0.0.0/8 private-address: 172.16.0.0/12 private-address: 192.168.0.0/16 private-address: 127.0.0.1/8 # menonaktifkan DNSSEC module-config: "iterator" val-permissive-mode: yes forward-zone: name: "." forward-addr: 8.8.8.8 # Google Public DNS forward-addr: 208.67.222.222 # OpenDNS
simpan, lalu restart unbound
service unbound restart
Troubleshooting
Cek log unbound di /var/log/syslog
tail -f /var/log/syslog
bila muncul error
Nov 17 09:52:14 server unbound-anchor: 139722217105064:error:21075075:PKCS7 routines:PKCS7_verify:certificate verify error:pk7_smime.c:342:Verify error:certificate has expired Nov 17 09:52:14 server unbound-anchor: the PKCS7 signature failed Nov 17 09:52:22 server unbound: [3441:0] info: failed to prime trust anchor -- DNSKEY rrset is not secure . DNSKEY IN Nov 17 09:52:22 server unbound: [3441:0] info: failed to prime trust anchor -- DNSKEY rrset is not secure . DNSKEY IN Nov 17 09:52:22 server unbound: [3441:0] info: failed to prime trust anchor -- DNSKEY rrset is not secure . DNSKEY IN Nov 17 09:52:22 server unbound: [3441:0] info: failed to prime trust anchor -- DNSKEY rrset is not secure . DNSKEY IN Nov 17 09:52:22 server unbound: [3441:0] info: failed to prime trust anchor -- DNSKEY rrset is not secure . DNSKEY IN Nov 17 09:52:22 server unbound: [3441:0] info: failed to prime trust anchor -- DNSKEY rrset is not secure . DNSKEY IN
ganti file unbound.conf menjadi
server: directory: "/etc/unbound" root-hints: "/etc/unbound/root.server" interface: 0.0.0.0 access-control: 0.0.0.0/0 allow verbosity: 3 hide-identity: yes hide-version: yes prefetch: yes do-ip4: yes do-ip6: no do-udp: yes do-tcp: yes num-threads: 1 outgoing-range: 400 so-rcvbuf: 10m so-sndbuf: 10m cache-min-ttl: 3600 private-address: 10.0.0.0/8 private-address: 172.16.0.0/12 private-address: 192.168.0.0/16 private-address: 127.0.0.1/8
Beberapa tahun belakangan saya menggunakan Google Public DNS, tetapi belakangan ini DNS Google ini mengalami banyak kendala, banyak query yang gagal, dan prosesnya terasa lambat.
Query-query yang gagal tersebut sudah saya cross check dengan berbagai tools online yang semuanya memberikan hasil yang diharapkan. Karena kendala-kendala diatas maka saya memutuskan menggunakan DNS alternative :P. Salah satu yang menarik adalah DNS dari OpenNic. Buka websitenya makan akan ditampilkan DNS tercepat untuk anda.
sebelumnya saya menggunakan DNS Google
$ cat /etc/resolve.conf nameserver 8.8.4.4 nameserver 8.8.8.8
sekarang menjadi
$ cat /etc/resolve.conf nameserver 128.199.248.105 # opennic nameserver 103.25.56.172 # opennic nameserver 209.244.0.3 # level3 nameserver 74.82.42.42 # HE
Silahkan dicoba, dengan menggunakan DNS diluar DNS provider query ke kebanyakan situs menjadi lebih cepat, dan bila ada perubahan IP/DNS kita segera mengenalinya, dibangdingkan DNS provider biasanya menyimpan cache DNS sampai 24 jam.
Untuk cara lebih mudah ikuti langkah-langkahnya di https://jaranguda.com/instalasi-dan-konfigurasi-unbound-1-4-22-di-debian-7/
Buat yang belum tau Unbound, ini kutipan pengertian Unbound dari websitenya
Unbound is a validating, recursive, and caching DNS resolver. Unbound is designed as a set of modular components, so that also DNSSEC (secure DNS) validation and stub-resolvers (that do not run as a server, but are linked into an application) are easily possible.
Bisa dibilang mirip-mirip sama Bind, salah satu kelebihan yang pasti dari Unbound adalah jauh lebih ringan dari Bind dan cocok dijalankan di sistem yang minim memory seperti Raspberry PI. Kita akan menginstall unbound dari source code, versi yang kita akan kita install adalah unbound 1.4.21 (versi terbaru saat ini), repository Debian masih menggunakan versi yang lama.
Install semua paket dependency untuk instalasi unbound di Debian 7
apt-get install libexpat1-dev build-essential libssl-dev libssl1.0.0
karena Unbound juga bergantung kepada ldns, kita harus menginstall ldns terlebih dahulu, saat ini versi terbaru ldns 1.6.17
wget http://www.nlnetlabs.nl/downloads/ldns/ldns-1.6.17.tar.gz
ekstrak dan mulai instalasi
tar zxvf ldns-1.6.17.tar.gz; cd ldns-1.6.17 ./configure make make install
persiapan instalasi Unbound sudah selesai, sekarang kita masuk ke tahap instalasi Unbound-nya.
Download source unbound
wget http://www.unbound.net/downloads/unbound-1.4.21.tar.gz
ekstrak dan install unbound 1.4.21
tar zxvf unbound-1.4.21.tar.gz cd unbound-1.4.21 ./configure make make install
untuk melihat versi unbound terinstall jalankan perintah
unbound -v
[1392872854] unbound[440:0] notice: Start of unbound 1.4.21.
sampai disini selesai tahap instalasi Unbound DNS Debian 7.
Disini kita akan menginstall Unbound DNS sebagai DNS untuk memblokir iklan yang ada di website situs yang kita kunjungi, jadi kita akan menggunakan IP tempat menginstall Unbound DNS sebagai IP DNS. Sebagai contoh iklan yang akan diblokir adalah naruto.joyfun.com
Instalasi Unbound
su -c "dnf install unbound">
atau
su -c "yum install unbound">
Konfigurasi
File konfigurasi Unbound di Fedora disimpan di /etc/unbound/, backup file konfigurasi unbound.conf
su -c "mv /etc/unbound/unbound.conf /etc/unbound/unbound.conf.ori ">
lalu buat file unbound.conf yang berisi
server: directory: "/etc/unbound" root-hints: "/etc/unbound/root.server" interface: 127.0.0.1 access-control: 127.0.0.0/8 allow_snoop access-control: 192.168.0.0/16 allow_snoop access-control: 10.10.0.0/16 allow_snoop verbosity: 0 hide-identity: yes hide-version: yes prefetch: yes do-ip4: yes do-ip6: no do-udp: yes do-tcp: no num-threads: 3 so-rcvbuf: 10m so-sndbuf: 10m cache-min-ttl: 3600 private-address: 10.0.0.0/8 private-address: 172.16.0.0/12 private-address: 192.168.0.0/16 private-address: 127.0.0.1/8 include: "/etc/unbound/block.conf"
dari konfigurasi diatas yang perlu diganti adalah
interface: 127.0.0.1
tambahkan root.server
wget http://www.internic.net/domain/named.root -O /etc/unbound/root.server
sesuaikan dengan IP yang anda miliki, bila anda menginstall di localhost, biarkan IP tersebut. Untuk domain/IP yang akan diblokir di tempatkan di /etc/unbound/block.conf contoh isi file block.conf
local-data: "yieldads.com A 127.0.0.1" local-data: "yieldads.com AAAA ::1" local-data: "yieldlab.net A 127.0.0.1" local-data: "yieldlab.net AAAA ::1" local-data: "naruto.joyfun.com A 127.0.0.1" local-data: "naruto.joyfun.com AAAA ::1"
Uji coba Blokir iklan dengan DNS Unbound
Buka terminal, jalankan perintah
host naruto.joyfun.com
## output perintah diatas kurang lebih
naruto.joyfun.com is an alias for joyfun.com.
joyfun.com has address 54.201.55.2
joyfun.com mail is handled by 0 smtp.asia.secureserver.net.
joyfun.com mail is handled by 10 mailstore1.asia.secureserver.net.
website tersebut bisa diakses, untuk menggunakan Unbound tersebut ubah file /etc/resolv.conf ubah menjadi
nameserver 127.0.0.1 nameserver 8.8.4.4 nameserver 8.8.8.8
dimana 127.0.0.1 adalah IP tempat anda menginstall Unbound. Sekarang kita coba menjalankan perintah seperti diatas sekali lagi
host naruto.joyfun.com
## output perintah diatas kurang lebih
naruto.joyfun.com has address 127.0.0.1
naruto.joyfun.com has IPv6 address ::1
Alamat naruto.joyfun.com sudah terblokir :). Untuk memblokir iklan-iklan lainnya akan dibuat di tulisan berikutnya :)
