O dnsmasq pode ser usado como um servidor DNS local e fazer com que o dnsmasq encaminhe consultas para o serviço systemd-resolved local?

Você não especificou qual versão do Ubuntu está usando. O seguinte é baseado no Ubuntu 24.04 Server.

Se eu entendi o que você quer fazer corretamente, você quer configurar o Dnsmasq como seu resolvedor DNS primário no localhost e usar systemd-resolvedcomo seu servidor de encaminhamento em vez de quaisquer servidores de uplink. Assim, você quer systemd-resolvedencaminhar para quaisquer servidores de uplink, mas não armazenar em cache nenhuma consulta. Você quer, em última análise, que o cache seja deixado para o Dnsmasq .

Então, algumas coisas precisam ser feitas:

1. Configurar Dnsmasq :
   • Ouça 127.0.0.1na porta 53
   • Não procure /etc/resolv.confpor nenhum servidor de nomes
   • Use systemd-resolvedcomo seu servidor de encaminhamento, que por sua vez usa quaisquer servidores de uplink fornecidos via DHCP.
2. Configurar /etc/resolv.conf:
   • Defina 127.0.0.1como um servidor de nomes. Embora o Dnsmasq não faça referência a esse arquivo, ele é referenciado por muitos aplicativos ao fazer uma consulta DNS. Por exemplo, dige ping. Então você quer que esses aplicativos consultem o Dnsmasq via 127.0.0.1.
3. Configurar systemd-resolved:
   • Desabilite o resolvedor Stub em 127.0.0.53uma porta53
   • Ouça 127.0.0.1no porto5353
   • Não armazenar em cache nenhuma consulta

Supondo que o Dnsmasq já esteja instalado, comece parando ambos systemd-resolvede dnsmasq:

sudo systemctl stop systemd-resolved
sudo systemctl stop dnsmasq

1. Configurardnsmasq

• Edite /etc/default/dnsmasqe defina o seguinte:

  # If the resolvconf package is installed, dnsmasq will use its output
  # rather than the contents of /etc/resolv.conf to find upstream
  # nameservers. Uncommenting this line inhibits this behaviour.
  # Note that including a "resolv-file=<filename>" line in
  # /etc/dnsmasq.conf is not enough to override resolvconf if it is
  # installed: the line below must be uncommented.
  IGNORE_RESOLVCONF=yes
  
  # If the resolvconf package is installed, dnsmasq will tell resolvconf
  # to use dnsmasq under 127.0.0.1 as the system's default resolver.
  # Uncommenting this line inhibits this behaviour.
  DNSMASQ_EXCEPT="lo"
  
  

  Ambos precisam ser definidos mesmo que o resolvconfaplicativo não esteja instalado por padrão no Ubuntu 24.04 Server. Isso ocorre porque /sbin/resolvconfele é um symlink para /bin/resolvectl. Para mais informações, veja a Nota abaixo.

• Edite /etc/dnsmasq.confe defina o seguinte:

  # If you don't want dnsmasq to read /etc/resolv.conf or any other
  # file, getting its servers from this file instead (see below), then
  # uncomment this.
  no-resolv
  
  # If you don't want dnsmasq to poll /etc/resolv.conf or other resolv
  # files for changes and re-read them then uncomment this.
  no-poll
  
  # Add other name servers here, with domain specs if they are for
  # non-public domains.
  server=127.0.0.1#5353
  
  # Or which to listen on by address (remember to include 127.0.0.1 if
  # you use this.)
  listen-address=127.0.0.1
  
  # On systems which support it, dnsmasq binds the wildcard address,
  # even when it is listening on only some interfaces. It then discards
  # requests that it shouldn't reply to. This has the advantage of
  # working even when interfaces come and go and change address. If you
  # want dnsmasq to really bind only the interfaces it is listening on,
  # uncomment this option. About the only time you may need this is when
  # running another nameserver on the same machine.
  bind-interfaces
  

  bind-interfacesé definido para que o serviço não escute em todos os endereços em todas as interfaces. Esta configuração é para o serviço escutar somente na interface de loopback e nenhuma interface externa. Além disso, o serviço escuta somente em 127.0.0.1:53em vez de 0.0.0.0:53.

  Da página de manual do Dnsmasq :

  -z, --bind-interfaces

  Em sistemas que o suportam, o dnsmasq vincula o endereço curinga, mesmo quando está escutando apenas em algumas interfaces. Ele então descarta solicitações às quais não deveria responder. Isso tem a vantagem de funcionar mesmo quando as interfaces vêm e vão e mudam de endereço. Esta opção força o dnsmasq a realmente vincular apenas as interfaces nas quais está escutando. A única vez em que isso é útil é ao executar outro servidor de nomes (ou outra instância do dnsmasq) na mesma máquina. Definir esta opção também permite que várias instâncias do dnsmasq que fornecem serviço DHCP sejam executadas na mesma máquina.

• Inicie dnsmasqo serviço e verifique seu status:

  $ sudo systemctl start dnsmasq
  $ systemctl status dnsmasq
  
  ● dnsmasq.service - dnsmasq - A lightweight DHCP and caching DNS server
       Loaded: loaded (/usr/lib/systemd/system/dnsmasq.service; enabled; preset: enabled)
       Active: active (running) since Thu 2024-11-07 04:12:28 UTC; 7min ago
      Process: 5741 ExecStartPre=/usr/share/dnsmasq/systemd-helper checkconfig (code=exited, status=0/SUCCESS)
      Process: 5746 ExecStart=/usr/share/dnsmasq/systemd-helper exec (code=exited, status=0/SUCCESS)
      Process: 5753 ExecStartPost=/usr/share/dnsmasq/systemd-helper start-resolvconf (code=exited, status=0/SUCCESS)
     Main PID: 5752 (dnsmasq)
        Tasks: 1 (limit: 9327)
       Memory: 740.0K (peak: 2.5M)
          CPU: 20ms
       CGroup: /system.slice/dnsmasq.service
               └─5752 /usr/sbin/dnsmasq -x /run/dnsmasq/dnsmasq.pid -u dnsmasq -I lo -r /run/dnsmasq/resolv.conf -7 /etc/dnsmasq.d,.dpkg-dist,.dpkg-old,.dpkg-new --local-service --trust-anchor=.,20326,8,2,>
  
  Nov 07 04:12:28 ubuntu24server systemd[1]: Starting dnsmasq.service - dnsmasq - A lightweight DHCP and caching DNS server...
  Nov 07 04:12:28 ubuntu24server dnsmasq[5752]: started, version 2.90 cachesize 150
  Nov 07 04:12:28 ubuntu24server dnsmasq[5752]: compile time options: IPv6 GNU-getopt DBus no-UBus i18n IDN2 DHCP DHCPv6 no-Lua TFTP conntrack ipset nftset auth cryptohash DNSSEC loop-detect inotify dumpfi>
  Nov 07 04:12:28 ubuntu24server dnsmasq[5752]: warning: ignoring resolv-file flag because no-resolv is set
  Nov 07 04:12:28 ubuntu24server dnsmasq[5752]: using nameserver 127.0.0.1#5353
  Nov 07 04:12:28 ubuntu24server dnsmasq[5752]: read /etc/hosts - 8 names
  Nov 07 04:12:28 ubuntu24server systemd[1]: Started dnsmasq.service - dnsmasq - A lightweight DHCP and caching DNS server.
  

• Verifique se ele está escutando na porta 53em 127.0.0.1:

  $ sudo netstat -tlpn
  Active Internet connections (only servers)
  Proto Recv-Q Send-Q Local Address           Foreign Address         State       PID/Program name    
  tcp        0      0 127.0.0.1:53            0.0.0.0:*               LISTEN      5752/dnsmasq        
  tcp6       0      0 :::22                   :::*  
  

2. Crie um novo/etc/resolv.conf

• Remover/etc/resolv.conf

  sudo rm /etc/resolv.conf
  

• Crie um novo /etc/resolv.confcom o servidor de nomes Dnsmasq :

  echo "nameservers 127.0.0.1" | sudo tee /etc/resolv.conf
  

3. Configurarsystemd-resolved

• Edite /etc/systemd/resolved.confe defina o seguinte:

  DNSStubListener=no
  DNSStubListenerExtra=127.0.0.1:5353
  Cache=no
  

  Isso desabilita o ouvinte Stub para systemd-resolvedat 127.0.0.53:53e permite que ele escute no endereço 127.0.0.1:5353.

  Da página de manual resolved.conf(5) :

  DNSStubListenerExtra=
     Takes an IPv4 or IPv6 address to listen on. The address may be optionally prefixed with a protocol name ("udp" or "tcp") separated with ":". If the protocol is not specified, the service
     will listen on both UDP and TCP. It may be also optionally suffixed by a numeric port number with separator ":". When an IPv6 address is specified with a port number, then the address
     must be in the square brackets. If the port is not specified, then the service uses port 53. Note that this is independent of the primary DNS stub configured with DNSStubListener=, and
     only configures additional sockets to listen on. This option can be specified multiple times. If an empty string is assigned, then the all previous assignments are cleared. Defaults to
     unset.
  

• Inicie systemd-resolvedo serviço e verifique seu status:

  $ sudo systemctl start systemd-resolved
  $ systemctl status systemd-resolved
  ● systemd-resolved.service - Network Name Resolution
       Loaded: loaded (/usr/lib/systemd/system/systemd-resolved.service; enabled; preset: enabled)
       Active: active (running) since Thu 2024-11-07 05:10:31 UTC; 22s ago
         Docs: man:systemd-resolved.service(8)
               man:org.freedesktop.resolve1(5)
               https://www.freedesktop.org/wiki/Software/systemd/writing-network-configuration-managers
               https://www.freedesktop.org/wiki/Software/systemd/writing-resolver-clients
     Main PID: 6093 (systemd-resolve)
       Status: "Processing requests..."
        Tasks: 1 (limit: 9327)
       Memory: 2.6M (peak: 3.0M)
          CPU: 33ms
       CGroup: /system.slice/systemd-resolved.service
               └─6093 /usr/lib/systemd/systemd-resolved
  
  Nov 07 05:10:31 ubuntu24server systemd[1]: Starting systemd-resolved.service - Network Name Resolution...
  Nov 07 05:10:31 ubuntu24server systemd-resolved[6093]: Positive Trust Anchors:
  Nov 07 05:10:31 ubuntu24server systemd-resolved[6093]: . IN DS 20326 8 2 e06d44b80b8f1d39a95c0b0d7c65d08458e880409bbc683457104237c7f8ec8d
  Nov 07 05:10:31 ubuntu24server systemd-resolved[6093]: Negative trust anchors: home.arpa 10.in-addr.arpa 16.172.in-addr.arpa 17.172.in-addr.arpa 18.172.in-addr.arpa 19.172.in-addr.arpa 20.172.in-addr.arp>
  Nov 07 05:10:31 ubuntu24server systemd-resolved[6093]: Using system hostname 'ubuntu24server'.
  Nov 07 05:10:31 ubuntu24server systemd[1]: Started systemd-resolved.service - Network Name Resolution.
  

• Verifique se ele está escutando na porta 5353em 127.0.0.1:

  $ sudo netstat -tlpn
  Active Internet connections (only servers)
  Proto Recv-Q Send-Q Local Address           Foreign Address         State       PID/Program name    
  tcp        0      0 127.0.0.1:53            0.0.0.0:*               LISTEN      5752/dnsmasq        
  tcp        0      0 127.0.0.1:5353          0.0.0.0:*               LISTEN      6093/systemd-resolv 
  tcp6       0      0 :::22                   :::*  
  

Testando

Execute uma consulta. Se configurada corretamente, a consulta deve ser resolvida.

$ dig -4 google.com

; <<>> DiG 9.18.28-0ubuntu0.24.04.1-Ubuntu <<>> -4 google.com
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 23611
;; flags: qr rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 4, ADDITIONAL: 9

;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 1232
;; QUESTION SECTION:
;google.com.            IN  A

;; ANSWER SECTION:
google.com.     266 IN  A   142.250.68.14

;; AUTHORITY SECTION:
google.com.     266 IN  NS  ns4.google.com.
google.com.     266 IN  NS  ns1.google.com.
google.com.     266 IN  NS  ns2.google.com.
google.com.     266 IN  NS  ns3.google.com.

;; ADDITIONAL SECTION:
ns1.google.com.     266 IN  AAAA    2001:4860:4802:32::a
ns1.google.com.     266 IN  A   216.239.32.10
ns2.google.com.     266 IN  AAAA    2001:4860:4802:34::a
ns3.google.com.     266 IN  AAAA    2001:4860:4802:36::a
ns4.google.com.     266 IN  AAAA    2001:4860:4802:38::a
ns4.google.com.     266 IN  A   216.239.38.10
ns3.google.com.     266 IN  A   216.239.36.10
ns2.google.com.     266 IN  A   216.239.34.10

;; Query time: 0 msec
;; SERVER: 127.0.0.1#53(127.0.0.1) (UDP)
;; WHEN: Thu Nov 07 06:36:05 UTC 2024
;; MSG SIZE  rcvd: 303

Para testar se está tudo certo, systemd-resolvedvocê precisa reiniciar o DNSmasq para limpar o cache e depois parar systemd-resolvedantes de executar a consulta novamente.

Enfatizo isso, porque systemd-resolvedserá iniciado sempre que o Dnsmasq for reiniciado. Veja a Nota abaixo.

Portanto:

• Reinicie o Dnsmasq para limpar o cache

  • sudo systemctl restart dnsmasq

• Pararsystemd-resolved

  • sudo systemctl stop systemd-resolved

• Verifique se systemd-resolvednão está em execução

  • systemctl status systemd-resolvedoups -aux | grep systemd-resolved

• Execute novamente a consulta. O tempo deve expirar.

  $ dig -4 google.com
  ;; communications error to 127.0.0.1#53: timed out
  ;; communications error to 127.0.0.1#53: timed out
  ;; communications error to 127.0.0.1#53: timed out
  
  ; <<>> DiG 9.18.28-0ubuntu0.24.04.1-Ubuntu <<>> -4 google.com
  ;; global options: +cmd
  ;; no servers could be reached
  

Armazenamento em cache

A pergunta original pedia para desabilitar o cache dentro systemd-resolvede deixá-lo exclusivamente para o Dnsmasq . Embora isso possa ser feito, pode haver um benefício em alternar para o outro lado. Como @kos indicou em um comentário, systemd-resolvedtambém é consultado via D-Bus, que seria capaz de tirar vantagem do cache se fosse habilitado para systemd-resolved.

Portanto, é muito fácil configurar isso para que o cache seja habilitado systemd-resolvede desabilitado para o Dnsmasq .

• Edite /etc/dnsmasq.confe defina o seguinte para desabilitar o cache do Dnsmasq :

  cache-size=0
  

  De acordo com a página de manual do Dnsmasq :

   -c, --cache-size=<cachesize>
   Set the size of dnsmasq's cache. The default is 150 names. Setting the cache size to zero disables caching. Note: huge cache size impacts performance.
  

• Edite /etc/systemd/resolved.confe comente da seguinte forma para reativar o cache para systemd-resolved, que é a configuração padrão:

   #Cache=no
  

Observação

Sempre que o serviço Dnsmasq é parado e iniciado, o serviço chama um script auxiliar, /usr/share/dnsmasq/systemd-helper. Isso faz referência a outro arquivo, /usr/share/dnsmasq/init-system-common. Sempre que o Dnsmasq é parado, /sbin/resolvconfé chamado com o seguinte:

stop_resolvconf()
{
    if [ -x /sbin/resolvconf ] ; then
        /sbin/resolvconf -d lo.${NAME}${INSTANCE:+.${INSTANCE}}
    fi
    return 0
}

Observe que /sbin/resolvconfé chamado e, como mencionei anteriormente, /sbin/resolvconfé um link simbólico para /bin/resolvctl.

$ ls -l /sbin/resolvconf
lrwxrwxrwx 1 root root 17 Aug  8 14:51 /sbin/resolvconf -> ../bin/resolvectl

Portanto, como resolvectlé um componente de systemd-resolved, ele iniciará systemd-resolved. Mais informações podem ser encontradas aqui .

Menciono isso porque, ao testar, você verá que ele systemd-resolvedserá iniciado automaticamente, sem que você saiba.

Curiosamente, /sbin/resolvconftambém é chamado ao iniciar o serviço Dnsmasq .

start_resolvconf()
{
# If interface "lo" is explicitly disabled in /etc/default/dnsmasq
# Then dnsmasq won't be providing local DNS, so don't add it to
# the resolvconf server set.
    for interface in ${DNSMASQ_EXCEPT}; do
        [ ${interface} = lo ] && return
    done

    # Also skip this if DNS functionality is disabled in /etc/dnsmasq.conf
    if grep -qs '^port=0' /etc/dnsmasq.conf; then
        return
    fi

    if [ -x /sbin/resolvconf ] ; then
        echo "nameserver 127.0.0.1" | /sbin/resolvconf -a lo.${NAME}${INSTANCE:+.${INSTANCE}}
    fi
    return 0
}

Mas se você se lembra, nós definimos DNSMASQ_EXCEPT="lo"em /etc/default/dnsmasq. Como tal, /sbin/resolvconfnão é chamado ao iniciar o Dnsmasq , mas seria se this não fosse definido.

Se você já viu o seguinte erro ao analisar a saída de systemctl status dnsmasq, isso ocorre porque DNSMASQ_EXCEPT="lo"não está definido (comentado) e está tentando registrar as configurações de DNS associadas ao dispositivo de loopback, o que não consegue fazer.

Nov 07 05:40:23 ubuntu24server resolvconf[6445]: Dropped protocol specifier '.dnsmasq' from 'lo.dnsmasq'. Using 'lo' (ifindex=1).
Nov 07 05:40:23 ubuntu24server resolvconf[6445]: Failed to set DNS configuration: Link lo is loopback device.

Este erro pode ser visto executando o comando diretamente:

$ echo "nameserver 127.0.0.1" | sudo /sbin/resolvconf -a lo
Failed to set DNS configuration: Link lo is loopback device.

Editar: Uma resposta muito mais elaborada foi dada acima Resposta original abaixo

Sim, pareceu funcionar.

Ou seja, eu fiz isso:

Em /etc/systemd/resolved.conf.d/dnsmasqcompatibility.conf :

[Resolve]
DNSStubListener=no
DNSStubListenerExtra=127.0.0.1:5053

E em /etc/dnsmasq.conf:

server=127.0.0.1#5053

Ao digitar isso em um terminal host www.google.com 127.0.0.1 , obtive isto:

Using domain server:
Name: 127.0.0.1
Address: 127.0.0.1#53
Aliases: 

www.google.com has address .......
www.google.com has IPv6 address ......

E isso foi em /var/log/dnsmasq.log :

 query[A] www.google.com from 127.0.0.1
 forwarded www.google.com to 127.0.0.1#5053
 reply www.google.com is .....

(e assim por diante)

Também pude confirmar que, ao interromper o systemd-resolvedserviço, as pesquisas de DNS expiraram.

Eu provavelmente também deveria adicionar no-resolv, /etc/dnsmasq.confpara forçar todas as consultas a serem passadas para a porta 5053, mas não sei se isso faria alguma diferença, já que estaria usando os servidores DNS conhecidos de systemd-resolvedqualquer maneira, independentemente se os endereços IP foram obtidos de um arquivo ou de um segundo servidor DNS (por meio de consulta encaminhada).

Deixe systemd-resolved lidar com servidores DHCP e usar server=127.0.0.53 no Dnsmasq. Tenha /etc/resolv.conf apontado para 127.0.0.1 onde o Dnsmasq está escutando. Mas você teria problemas de systemd-resolved, por exemplo, validação DNSSec com bugs. Você foi avisado.