Documentation du Dr FRAPPE

Ce wiki regroupe les résultats de mes expériences en informatique accumulés au cours de mes recherches sur le net.

Dans la mesure du possible, j'ai cité mes sources ; il en manque certainement… :-)

Différences

Ci-dessous, les différences entre deux révisions de la page.

Lien vers cette vue comparative

Les deux révisions précédentesRévision précédente
Prochaine révision		Révision précédente
Prochaine révisionLes deux révisions suivantes
logiciel:internet:unbound:start1 [2021/04/03 11:21] – [Configuration] adminlogiciel:internet:unbound:start1 [2021/04/03 11:30] – [Désinstallation] admin
Ligne 41: Ligne 41:
  
 <WRAP center round info 60%> <WRAP center round info 60%>
-<hidden Paramètres de la section server> 
   ? verbosity: <chiffre>   ? verbosity: <chiffre>
   : Niveau de détail des messages.   : Niveau de détail des messages.
Ligne 158: Ligne 157:
   : Default is nothing, using builtin hints for the IN class. The file has the format of  zone files,  with  root  nameserver  names  and  addresses  only. The default may become outdated, when servers change,  therefore  it is good practice to use a root-hints file.   : Default is nothing, using builtin hints for the IN class. The file has the format of  zone files,  with  root  nameserver  names  and  addresses  only. The default may become outdated, when servers change,  therefore  it is good practice to use a root-hints file.
  
-</hidden> 
 </WRAP> </WRAP>
  
 <WRAP center round box 60%> <WRAP center round box 60%>
- +Voici un exemple commenté<code - /etc/unbound/unbound.d/mondns.com>
-<hidden Voici un exemple commenté><code - /etc/unbound/unbound.d/mondns.com>+
 server:   server:  
   # Répondre aux requêtes DNS sur toutes les interfaces réseau.   # Répondre aux requêtes DNS sur toutes les interfaces réseau.
Ligne 179: Ligne 176:
   private-address: 192.168.1.0/24   private-address: 192.168.1.0/24
 </code> </code>
-</hidden> 
 </WRAP> </WRAP>
  
-<hidden Zones : créer des DNS avec tous les sous-domaines>Pour créer des DNS avec tous les sous-domaines, utiliser la directive **redirect**.+Pour créer des DNS avec tous les sous-domaines, utiliser la directive **redirect**.
  
 Exemple pour localhost : Exemple pour localhost :
Ligne 192: Ligne 188:
 </code> </code>
  
-Il génère tous les sous-domaines xxx.localhost, a.localhost, etc.</hidden>+Il génère tous les sous-domaines xxx.localhost, a.localhost, etc. 
 + 
 +==== Exemples ==== 
 + 
 +Exemple fourni avec le paquet 
 +<code - /etc/unbound/unbound.d/monserveurdns.com> 
 +server: 
 +  # Les lignes suivantes concernent la configuration de unbound pour les 
 +  # performance crypto DNSSEC en utilisant la clé des serveurs root 
 +  auto-trust-anchor-file: "/var/lib/unbound/root.key" 
 +   
 +  # Activer les logs 
 +  # verbosity: 1 (par défaut) 
 +   
 +  #Répondre aux requêtes DNS sur toutes les interfaces réseau. 
 +  interface: 0.0.0.0 
 +   
 +  #Port sur lequel sont fait les requêtes DNS 
 +  #port: 53 (par défaut) 
 +   
 +  #support de l'IPv4 
 +  #do-ip4: yes (par défaut) 
 +   
 +  #support de  l'IPv6 
 +  do-ip6: no 
 +   
 +  #support udp 
 +  #do-udp: yes (par défaut) 
 +   
 +  #support tcp 
 +  #do-tcp: yes (par défaut) 
 +   
 +  #plages adresse ip autorisée à consulter le serveur dns 
 +  #access-control: 127.0.0.0/8 allow 
 +  #access-control: 192.168.1.0/24 allow 
 +  #access-control: 192.168.1.26 
 +   
 +  #plage ip comprise entre 192.168.0.0 et 192.168.255.255 
 +  access-control: 192.168.1.0/16 allow 
 +   
 +  #emplacement du fichier indiquant les infos pour consulter les serveurs DNS root 
 +  #fichier à télécharger là à cette adresse: ftp://FTP.INTERNIC.NET/domain/named.cache 
 +  root-hints: "/var/lib/unbound/root.hints" 
 +   
 +  #Cacher les infos sur le serveur DNS 
 +  hide-identity: yes 
 +  hide-version: yes 
 +   
 +  #paramètre limitant l'usurpation de DNS 
 +  harden-glue: yes 
 +   
 +  #Requérir les infos DNSSEC pour les zones de confiance 
 +  harden-dnssec-stripped: yes 
 +   
 +  #Options permettant de ne pas prendre la casse en compte lors des requêtes d'url.  
 +  #HomeServer-DIY.net sera traduit en homeserver-diy.net par le serveur et il communiquera la bonne IP 
 +   
 +  use-caps-for-id: yes 
 +   
 +  #valeur mini de la TTL en secondes. Ne pas dépasser 1h 
 +  cache-min-ttl: 3600 
 +   
 +  #valeur max de la TTL en secondes. 
 +  cache-max-ttl: 86400 
 +   
 +  #activation du prefetch. Si un requête est faite lorsque la tll expire dans moins de 10% du temps qu'il lui est imparti 
 +  #le cache se mettra à jour aussitôt après avoir répondu à la requête. 
 +  prefetch: yes 
 +   
 +  #nombre de core du serveur dns 
 +  num-threads:
 +   
 +  ## Tweaks et optimisations du cache 
 +  #Nombre de slabs à utiliser . Doit être une puissance de 2 du num-threads. 
 +  msg-cache-slabs:
 +  rrset-cache-slabs:
 +  infra-cache-slabs:
 +  key-cache-slabs:
 +   
 +  #Réglage de la taille du cache en Mo: 
 +  rrset-cache-size: 51m 
 +  msg-cache-size: 25m 
 +   
 +  #Taille du buffer pour le port UPD en entrée. Evite la perte de message lors des requêtes 
 +  so-rcvbuf: 1m 
 +   
 +  #Renforcer la vie privée des adresses du LAN. Ne mettre que des adresses locales 
 +  private-address: 192.168.1.0/24 
 +   
 +  #Si non nulles, les réponses indésirables ne sont pas seulement signalés dans les statistiques,  
 +  #mais aussi ajoutées à un total cumulé maintenu par thread.  
 +  #Si elle atteint le seuil, un avertissement est affiché et une action défensive est prise, le cache est vidé pour éviter l'empoissonnement DNS.  
 +  #Une valeur de 10000 est suggérée, la valeur par défaut est de 0 (service désactivé). 
 +  unwanted-reply-threshold: 10000 
 +   
 +  #Autorisé à répondre aux requêtes du localhost 
 +  do-not-query-localhost: no 
 +   
 +  #Emplacement du fichier root.key pour utilisation de DNSSEC 
 +  #auto-trust-anchor-file: "/var/lib/unbound/root.key" 
 +  # Est-ce que cette section supplémentaire, doit être conservée intacte pour les données non-sécurisées 
 +  # Utile pour protéger les utilisateurs d'une validation de données potentiellement boguées 
 +  # Toutes les données non signés dans la section supplémentaire seront retirés des messages sécurisés 
 +  val-clean-additional: yes 
 +</code> 
 + 
 +Conf de Korben, Voir : [[http://korben.info/installer-unbound-serveur-dns-sous-linux.html]] 
 + 
 +<code - > 
 +server: 
 +  #verbosity: 1 
 +  interface: 0.0.0.0 
 +  #port: 53 
 +  #do-ip4: yes 
 +  #do-ip6: yes 
 +  #do-udp: yes 
 +  #do-tcp: yes 
 +  do-daemonize: yes 
 +  access-control: 0.0.0.0/0 allow 
 +  #access-control: 0.0.0.0/0 refuse 
 +  #access-control: 127.0.0.0/8 allow 
 +  chroot: "/var/unbound" 
 +  username: "unbound" 
 +  directory: "/var/unbound" 
 +  use-syslog: yes 
 +  pidfile: "/var/run/unbound.pid" 
 +  root-hints: "/var/unbound/named.cache" 
 +</code> 
 + 
 +avec un utilisateur dédié créé par : 
 +  * <code>sudo groupadd unbound 
 +sudo useradd -d /var/unbound -m -g unbound -s /bin/false unbound</code> 
 + 
 +Le répertoire /var/unbound sera utilisé par Unbound et contiendra les fichiers de config. 
 + 
 +Bloquer les pubs sur internet 
 + 
 +De nombreuses pages web contiennent du code qui affiche des pubs en s'appuyant sur les noms de domaines des régies publicitaires de google, yahoo etc. Lors du chargement de la page, votre ordinateur fera donc une requête DNS pour résoudre les domaines de ces régies. 
 + 
 +Pour bloquer ces pubs, il suffit de configurer **unbound** pour qu'il retourne une adresse IP non attribuée du réseau local. Mais celle du localhost de l'exemple fonctionne aussi très bien. Voici ce qu'il suffit d'ajouter à la fin du fichier unbound.conf: 
 + 
 +<code - > 
 +  local-zone: "doubleclick.net" redirect 
 +  local-data: "doubleclick.net A 127.0.0.1" 
 +  local-zone: "googlesyndication.com" redirect 
 +  local-data: "googlesyndication.com A 127.0.0.1" 
 +  local-zone: "googleadservices.com" redirect 
 +  local-data: "googleadservices.com A 127.0.0.1" 
 +  local-zone: "google-analytics.com" redirect 
 +  local-data: "google-analytics.com A 127.0.0.1" 
 +  local-zone: "ads.youtube.com" redirect 
 +  local-data: "ads.youtube.com A 127.0.0.1" 
 +  local-zone: "adserver.yahoo.com" redirect 
 +  local-data: "adserver.yahoo.com A 127.0.0.1" 
 +</code> 
 + 
 +Cette liste n'est pas exhaustive ; le fichier suivant contient un grand nombre de domaines utilisés par un grande nombre de régies publicitaires : [[https://homeserver-diy.net/wiki/index.php?title=Fichier:Regies_pub.odt|Regies pub.odt]]
  
 ===== Utilisation ===== ===== Utilisation =====
 +
 +==== Contrôle ====
 +
 +  * Démarrer **unbound** :<cli prompt='$ '>...@...:~ $ sudo systemctl start unbound</cli>
 +  * Arrêter **unbound** :<cli prompt='$ '>...@...:~ $ sudo systemctl stop unbound</cli>
 +  * Redémarrer **unbound** :<cli prompt='$ '>...@...:~ $ sudo systemctl restart unbound</cli>
 +  * Connaître l'état d'**unbound** :<cli prompt='$ '>...@...:~ $ sudo systemctl status unbound</cli>
 +
 +==== Utilisation depuis les autres machines ====
 +
 +Le plus simple est d'utiliser le protocole DHCP : déclarez sur votre box l'adresse de votre serveur hébergeant unbound pour que toutes vos machines utilisent ce nouveau service auto-hébergé:
 +{{ logiciel:internet:unbound:freebox_os-dhcp-unbound.png?400 |}}
  
 ===== Désinstallation ===== ===== Désinstallation =====
  
 +  * Pour supprimer cette application, il suffit de supprimer son paquet :<cli prompt='$ '>...@...:~ $ sudo apt-get remove unbound</cli>
 +  * ou pour effacer tout :<cli prompt='$ '>...@...:~ $ sudo apt-get purge unbound</cli>
 ===== Voir aussi ===== ===== Voir aussi =====
  

Piste :