运维分享之Dnsmasq 进阶技巧

测试配置

当你测试新的配置的时候，你应该从命令行运行dnsmasq，而不是使用守护进程。下面的例子演示了如何不用守护进程运行它，同时显示指令的输出并保留运行日志：

#dnsmasq--no-daemon--log-queriesdnsmasq:started,version2.75cachesize150dnsmasq:compiletimeoptions:ipv6gnu-getoptdbusi18nidndhcpdhcpv6no-luatftpconntrackipsetauthdnssecloop-detectinotifydnsmasq:reading/etc/resolv.confdnsmasq:usingnameserver192.168.0.1#53dnsmasq:read/etc/hosts-9addresses

在这个小例子中你能看到许多有用的信息，包括版本、编译参数、系统名字服务文件，以及它的监听地址。可以使用ctrl+c停止进程。在默认情况下，dnsmasq没有自己的日志文件，所以日志会被记录到/var/log目录下的多个地方。你可以使用经典的grep来找到dnsmasq的日志文件。下面这条指令会递归式地搜索/var/log，在每个匹配的文件名之后显示匹配的行号，并忽略/var/log/dist-upgrade里的内容：

#grep-ir--exclude-dir=dist-upgradednsmasq/var/log/

使用grep--exclude-dir=时有一个有趣的小陷阱需要注意：不要使用完整路径，而应该只写目录名称。

你可以使用如下的命令行参数来让dnsmasq使用你指定的文件作为它专属的日志文件：

#dnsmasq--no-daemon--log-queries--log-facility=/var/log/dnsmasq.log

或者在你的dnsmasq配置文件中加上log-facility=/var/log/dnsmasq.log。

配置文件

dnsmasq的配置文件位于/etc/dnsmasq.conf。你的linux发行版也可能会使用/etc/default/dnsmasq、/etc/dnsmasq.d/，或者/etc/dnsmasq.d-available/（不，我们不能统一标准，因为这违反了linux七嘴八舌秘密议会linuxcatherdrulingcabal的旨意）。你有很多自由来随意安置你的配置文件。

/etc/dnsmasq.conf是德高望重的老大。dnsmasq在启动时会最先读取它。/etc/dnsmasq.conf可以使用conf-file=选项来调用其他的配置文件，例如conf-file=/etc/dnsmasqextrastuff.conf，或使用conf-dir=选项来调用目录下的所有文件，例如conf-dir=/etc/dnsmasq.d。

每当你对配置文件进行了修改，你都必须重启dnsmasq。

你也可以根据扩展名来包含或忽略配置文件。星号表示包含，不加星号表示排除：

conf-dir=/etc/dnsmasq.d/,*.conf,*.fooconf-dir=/etc/dnsmasq.d,.old,.bak,.tmp

你可以用--addn-hosts=选项来把你的主机配置分布在多个文件中。

dnsmasq包含了一个语法检查器：

$dnsmasq--testdnsmasq:syntaxcheckok.

实用配置

永远加入这几行：

domain-neededbogus-priv

它们可以避免含有格式出错的域名或私有ip地址的数据包离开你的网络。让你的名字服务只使用dnsmasq，而不去使用/etc/resolv.conf或任何其他的名字服务文件：no-resolv使用其他的域名服务器。第一个例子是只对于某一个域名使用不同的域名服务器。第二个和第三个例子是opendns公用服务器：

server=/fooxample.com/192.168.0.1server=208.67.222.222server=208.67.220.220

你也可以将某些域名限制为只能本地解析，但不影响其他域名。这些被限制的域名只能从/etc/hosts或dhcp解析：

local=/mehxample.com/local=/fooxample.com/

限制dnsmasq监听的网络接口：

interface=eth0interface=wlan1

dnsmasq在默认设置下会读取并使用/etc/hosts。这是一个又快又好的配置大量域名的方法，并且/etc/hosts只需要和dnsmasq在同一台电脑上。你还可以让这个过程再快一些，可以在/etc/hosts文件中只写主机名，然后用dnsmasq来添加域名。/etc/hosts看上去是这样的：

127.0.0.1localhost192.168.0.1host2192.168.0.2host3192.168.0.3host4

然后把下面这几行写入dnsmasq.conf（当然，要换成你自己的域名）：

expand-hostsdomain=mehxample.com

dnsmasq会自动把这些主机名扩展为完整的域名，比如host2会变为host2.mehxample.com。

dns泛域名

一般来说，使用dns泛域名不是一个好习惯，因为它们太容易被误用了。但它们有时会很有用，比如在你的局域网的严密保护之下的时候。一个例子是使用dns泛域名会让kubernetes集群变得容易管理许多，除非你喜欢给你成百上千的应用写dns记录。假设你的kubernetes域名是mehxample.com，那么下面这行配置可以让dnsmasq解析所有对mehxample.com的请求：

address=/mehxample.com/192.168.0.5

这里使用的地址是你的集群的公网ip地址。这会响应对mehxample.com的所有主机名和子域名的请求，除非请求的目标地址已经在dhcp或者/etc/hosts中配置过。下星期我们将探索更多的管理dns和dhcp的细节，包括对不同的子网络使用不同的设置，以及提供权威域名服务器。

作者：carlaschroder译者：yixunx校对：wxy

本文由lctt原创翻译，linux中国荣誉推出