Dịch vụ Tên Miền (DNS) chịu trách nhiệm chuyển đổi tên miền thành địa chỉ IP, giúp thiết bị xác định nơi mà một tên miền trỏ tới và kết nối trực tiếp với mạng từ xa đó. Thông tin này được tải khi bạn kết nối với các nguồn khác nhau và tất cả dữ liệu được lưu trữ cục bộ để tránh phải thực hiện lại quá trình này cho mỗi yêu cầu. Sử dụng máy chủ DNS do Google, Cloudflare, hoặc một công ty khác cung cấp rất đáng tin cậy, nhưng không hoàn toàn riêng tư.

Nếu bạn muốn bảo mật kết nối của mình với thế giới bên ngoài hoàn toàn, bạn nên cân nhắc tạo máy chủ DNS của riêng mình. Tôi đã thực hiện điều này chỉ với OPNsense, Unbound và một vài phút rảnh rỗi.

Unbound là gì?

Và tại sao bạn cần một máy chủ DNS tùy chỉnh?

OPNsense Unbound blocklist

Unbound là một công cụ mạnh mẽ trong OPNsense, có thể được sử dụng như một máy chủ DNS đầy đủ chức năng. Bạn cũng có thể dùng Unbound cho các tác vụ nhỏ hơn như ghi đè để sử dụng tên miền cho các dịch vụ nội bộ, giúp chúng hoạt động cả trên mạng LAN và bên ngoài mà không cần chuyển đổi giữa địa chỉ IP cục bộ và tên miền. Sử dụng Unbound như một máy chủ DNS thay vì của nhà cung cấp dịch vụ, Google, hay công ty khác chủ yếu liên quan đến quyền riêng tư, hiệu suất, bảo mật, và mong muốn tự quản lý mọi thứ.

Có một vài yếu tố khiến việc này đáng cân nhắc, nhưng quan trọng nhất đối với tôi là bảo mật, chủ yếu là DNS-over-TLS (DoT) và DNS-over-HTTPS (DoH). Unbound (cũng như OPNsense) hỗ trợ các giao thức DNS mã hóa này từ đầu, và mọi thứ có thể được cấu hình trong vài phút, ngăn chặn bất kỳ bên thứ ba nào theo dõi truy vấn DNS của bạn. Mặc dù kết nối của bạn có thể được mã hóa, điều đó không có nghĩa là các tra cứu DNS của bạn cũng vậy.

Chắc hẳn bạn đã quen với Pi-hole và tôi là một người hâm mộ việc sử dụng nền tảng này để chặn quảng cáo không mong muốn, nhưng Unbound cũng có thể xử lý điều này với danh sách đen tùy chỉnh, tùy thuộc vào mức độ tinh chỉnh mà bạn muốn thực hiện. Hiệu suất cũng được đảm bảo, vì tất cả đều là cục bộ, và Unbound có thể làm việc với các máy chủ gốc để tạo bộ nhớ cache các mục nhập cho thời gian tải nhanh chóng. Và vì nó được tích hợp vào OPNsense, Unbound nhẹ và dễ dàng cài đặt và sử dụng.

Cách tôi cấu hình nhanh Unbound trên OPNsense

Dễ hơn bạn nghĩ

Gallery Image

Tất cả những gì bạn cần làm là đăng nhập vào tường lửa OPNsense của mình và điều hướng đến Unbound. Kích hoạt plugin (Services > Unbound) và bỏ chọn hộp “Forwarding Mode”. Điều này sẽ buộc tất cả các yêu cầu được xử lý bởi Unbound, giải quyết thông qua các máy chủ gốc thay vì dựa vào các dịch vụ bên ngoài như Google và Cloudflare. Chúng ta gần như đã hoàn thành! Tất cả những gì còn lại là thiết lập kiểm soát truy cập phù hợp cho mạng LAN (có thể là 192.168.1.0 trừ khi được cấu hình khác), cho phép lưu thông.

Tôi cũng rất khuyến khích kích hoạt hỗ trợ Domain Name System Security Extensions (DNSSEC) để đảm bảo các phản hồi được xác thực mã hóa. Điều này quan trọng đối với những ai coi trọng quyền riêng tư của mình (và tại sao bạn lại thiết lập máy chủ DNS của riêng mình nếu không phải vì lý do này?) bằng cách đảm bảo mọi thứ đều được bảo mật chống lại các cuộc tấn công tiềm tàng. Cuối cùng, nhưng không kém phần quan trọng, chúng ta cần truy cập vào cấu hình của OPNsense để xóa tất cả các mục nhập máy chủ DNS và vô hiệu hóa danh sách máy chủ DNS bị ghi đè bởi DHCP/PPP trên WAN.

Nếu bạn muốn bảo mật hơn nữa, chúng ta có thể chặn cổng 53 để ngăn chặn bất kỳ rò rỉ nào từ mạng LAN, nhưng mọi thứ sẽ bắt đầu sử dụng máy chủ DNS được cung cấp bởi Unbound trên tường lửa OPNsense thông qua DHCP. Đó là tất cả những gì cần làm! OPNsense ngay lập tức tiếp quản, và mọi thứ bắt đầu được định tuyến thông qua máy chủ DNS Unbound mới của tôi. Điều tuyệt vời nhất khi sử dụng Unbound là nó có thể chạy trên hầu hết mọi thứ có CPU được hỗ trợ.

Chạy DNS của riêng bạn rất tuyệt vời cho phòng thí nghiệm tại nhà

Và cho ngôi nhà thông minh của bạn

DNS Test app on Android showing DNS speed

Bạn có thể đang để mắt tới một vài container Docker và dịch vụ nếu bạn thực sự nghiêm túc về việc vận hành một phòng thí nghiệm tại nhà. Thêm một DNS vào hỗn hợp là một cách tuyệt vời để bảo vệ ngôi nhà của bạn và cơ sở hạ tầng được lên kế hoạch tỉ mỉ khỏi các cuộc tấn công tiềm ẩn. Mục tiêu của việc tự quản lý là để bạn không phải rời khỏi mạng LAN tại nhà để làm bất cứ điều gì. Sử dụng máy chủ DNS do công ty khác quản lý yêu cầu tất cả các thiết bị mạng của bạn phải liên hệ để được hỗ trợ kết nối với các máy chủ khác.

Đó là lúc máy chủ DNS tùy chỉnh của chúng ta phát huy tác dụng. Nó loại bỏ nhu cầu cho mọi thứ phải liên hệ với thế giới bên ngoài để thực hiện các truy vấn DNS. Và vì Unbound xử lý các máy chủ gốc và xây dựng bộ nhớ cache riêng, bạn sẽ không phải liên tục gửi đi các truy vấn. Khả năng cấu hình việc sử dụng tên miền cho các kết nối nội bộ giúp mọi thứ trong ngôi nhà thông minh dễ dàng hơn, và Unbound rất tuyệt vời trong việc cung cấp các phương tiện để thiết lập ghi đè.

Tính đến nay, đây là một trải nghiệm tuyệt vời và tôi không thấy mình sẽ chuyển lại.