Unbound

Le service DNS (Domain Name Service) est un service UDP/IP (et parfois TCP/IP) permettant la correspondance entre un nom de domaine qualifié (FQDN : Fully Qualified Domain Name) et une adresse IP, par exemple www.ubuntu-fr.org = 88.191.119.240. Ainsi, grâce à DNS, il n'est pas nécessaire de se souvenir des adresses IP.

Un serveur qui héberge le service DNS est appelé "serveur de noms".
Ubuntu propose de base Unbound, une alternative à bind9.
Unbound se veut plus simple a configurer que bind9 pour un LAN de petite taille.

Ce guide est destiné aux personnes désireuses d'apprendre à configurer et maintenir un serveur DNS Unbound.

  • Disposer des droits d'administration sur le serveur.
  • Disposer d'un réseau local.
  • Connaître les bases de TCP/IP.
  • Éventuellement disposer d'une connexion à Internet configurée et activée, pour faire les tests.

Unbound est disponible dans le dépôt principal. Aucun dépôt supplémentaire n'est nécessaire;

Pour installer le serveur Unbound , il suffit d'installer le paquet unbound.

Dans cette configuration, Unbound va effectuer les requêtes DNS et mettre les réponses en mémoire cache pour les requêtes à venir.
Cette méthode permet de faire moins de requêtes DNS, et surtout gagner en temps de latence DNS.

Pour la configuration, il faut éditer en tant qu'administrateur un seul fichier /etc/unbound/unbound.conf

Exemple de configuration basique :

server:
 verbosity: 1                   #de 0 à 5 en fonction de vos envies de messages ;), 0 seulement les erreurs
 interface: 192.168.0.1           #Adresse du serveur DNS Unbound, si vous désirez unbound sur plusieurs interfaces remplacer par 0.0.0.0
 access-control: 192.168.0.0/24 allow       #autorisez votre réseau
 # Par défaut tout est refusé ! à part localhost.
 # Possible choix :  deny (drop message), refuse (polite error reply), allow (recursive ok), allow_snoop (recursive and nonrecursive ok)

#Ajouter la zone qui transfère les requêtes DNS non effectuées par votre serveur vers le domaine racine (.)
forward-zone:
 name: "."
 forward-addr: 208.67.222.222   #serveur DNS OpenDNS
 forward-addr: 208.67.220.220  #serveur DNS OpenDNS
 forward-addr: 8.8.8.8                #serveur DNS de google
 forward-addr: 8.8.4.4               #serveur DNS de google

Enregistrer votre fichier et redémarrer Unbound :

sudo service unbound restart

Enregistrer votre fichier et redémarrer Unbound : (Avec Systemd)

sudo systemctl restart unbound.service

Pour vérifier que la mise en cache fonctionne correctement, utiliser la commande drill (installer le paquet **[[apt>ldnsutils|ldnsutils]]**)sur un site pas encore visité :

drill maplestage.com @192.168.0.1

Relancer la commande

8-)La mise en cache fonctionne bien et nous pouvons observer le temps gagné !!!

Pour contrôler les erreurs éventuelles du fichier conf :

unbound-checkconf /etc/unbound/unbound.conf

—-

Options du serveur

Activer IPv4 et Support des Protocols :

do-ip4: yes
do-ip6 no  #désactivez si vous obtenez une erreur au lancement du service 
do-udp: yes
do-tcp: yes

Activer les logs :

logfile: /var/log/unbound

Cacher l'identité et la version du serveur (Requêtes : id.server et hostname.bind) :

hide-identity: yes
hide-version: yes

Paramètre limitant l'usurpation de DNS

harden-glue: yes

Résout gOogLe.cOm et google.com de la même manière

use-caps-for-id: yes

localhost peut être interrogé ! Seulement no pour test et debuging / Par défaut yes

do-not-query-localhost: yes

Exemple du fichier unbound.conf

server:
 verbosity: 1
 interface: 192.168.0.1
 access-control: 192.168.0.0/24 allow

 do-ip4: yes
 do-ip6: no  #désactivez si vous obtenez une erreur au lancement du service 
 do-udp: yes
 do-tcp: yes
 logfile: /var/log/unbound
 hide-identity: yes
 hide-version: yes
 harden-glue: yes
 use-caps-for-id: yes
 do-not-query-localhost: yes

forward-zone:
 name: "."
 forward-addr: 208.67.222.222   #serveur DNS OpenDNS
 forward-addr: 208.67.220.220  #serveur DNS OpenDNS
 forward-addr: 8.8.8.8                #serveur DNS de google
 forward-addr: 8.8.4.4               #serveur DNS de google
 
 
 

Gestion et Dépannage de Unbound

Pour supprimer cette application, il suffit de supprimer son paquet. Selon la méthode choisie, la configuration globale de l'application est conservée ou supprimée. Ne pas oublier de repositionner les DNS de son choix dans /etc/resolv.conf

  • unbound.txt
  • Dernière modification: Le 20/03/2018, 17:15
  • (modification externe)