Unbound配置：forward-tls-upstream与forward-tcp-upstream的优先级问题解析

在使用Unbound DNS解析器配置上游服务器时，管理员可能会遇到一个关于传输协议优先级的问题。本文深入分析forward-tls-upstream和forward-tcp-upstream配置选项的行为特性，帮助用户正确配置不同区域的上游解析方式。

问题背景

在Unbound配置中，管理员通常会在server部分设置全局的TCP和TLS选项：

server:
    tcp-upstream: yes
    tls-upstream: yes

同时，在特定转发区域(forward-zone)中，管理员可能希望覆盖这些全局设置：

forward-zone:
    name: "example.com"
    forward-addr: 192.168.1.1
    forward-tls-upstream: no
    forward-tcp-upstream: no

配置行为解析

经过分析，Unbound对于这些配置选项的处理遵循以下规则：

1. 启用优先原则：forward-tls-upstream和forward-tcp-upstream选项仅在启用时(设为yes)会覆盖server部分的全局设置

2. 禁用无效原则：当这些选项设为no时，不会覆盖server部分的全局设置，全局配置仍然生效

3. 独立配置建议：如果需要为不同区域灵活配置TLS和TCP选项，最佳实践是：

   • 不在server部分设置tcp-upstream和tls-upstream
   • 在每个forward-zone中单独配置forward-tls-upstream和forward-tcp-upstream

配置示例

以下是推荐的配置方式：

server:
    tls-cert-bundle: "/path/to/certificates"

forward-zone:
    name: "."
    forward-addr: 1.1.1.1@853
    forward-tls-upstream: yes
    forward-tcp-upstream: yes

forward-zone:
    name: "internal.example.com"
    forward-addr: 192.168.1.1
    forward-tls-upstream: no
    forward-tcp-upstream: no

技术原理

这种设计背后的技术考虑是安全性和一致性。TLS和TCP传输通常用于提高安全性和可靠性，因此Unbound倾向于保持这些安全设置，除非明确覆盖。这种"安全优先"的设计理念确保了即使用户错误配置了某些区域，也不会意外降低整体安全性。

最佳实践

1. 对于公共DNS查询，始终使用TLS加密
2. 内部网络区域可以根据需要禁用加密
3. 在复杂网络环境中，为每个区域明确指定传输协议选项
4. 测试配置时使用unbound-checkconf验证语法
5. 使用dig或drill命令验证实际查询使用的协议

通过理解这些配置行为，管理员可以更精确地控制Unbound的解析行为，确保DNS查询既安全又高效。