Unbound
Le service DNS (Domain Name Service) est un service UDP/IP (et parfois TCP/IP) permettant la correspondance entre un nom de domaine qualifié (FQDN : Fully Qualified Domain Name) et une adresse IP, par exemple www.ubuntu-fr.org = 88.191.119.240. Ainsi, grâce à DNS, il n'est pas nécessaire de se souvenir des adresses IP.
Un serveur qui héberge le service DNS est appelé "serveur de noms".
Ubuntu propose de base Unbound, une alternative à bind9.
Unbound se veut plus simple a configurer que bind9 pour un LAN de petite taille.
Ce guide est destiné aux personnes désireuses d'apprendre à configurer et maintenir un serveur DNS Unbound.
Pré-requis
- Disposer des droits d'administration sur le serveur.
- Disposer d'un réseau local.
- Connaître les bases de TCP/IP.
- Éventuellement disposer d'une connexion à Internet configurée et activée, pour faire les tests.
Installation
Unbound est disponible dans le dépôt principal. Aucun dépôt supplémentaire n'est nécessaire;
Pour installer le serveur Unbound , il suffit d'installer le paquet unbound.
Configuration en serveur cache - Caching DNS
Dans cette configuration, Unbound va effectuer les requêtes DNS et mettre les réponses en mémoire cache pour les requêtes à venir.
Cette méthode permet de faire moins de requêtes DNS, et surtout gagner en temps de latence DNS.
Pour la configuration, il faut éditer en tant qu'administrateur un seul fichier /etc/unbound/unbound.conf
Exemple de configuration basique :
server: verbosity: 1 #de 0 à 5 en fonction de vos envies de messages ;), 0 seulement les erreurs interface: 192.168.0.1 #Adresse du serveur DNS Unbound, si vous désirez unbound sur plusieurs interfaces remplacer par 0.0.0.0 access-control: 192.168.0.0/24 allow #autorisez votre réseau # Par défaut tout est refusé ! à part localhost. # Possible choix : deny (drop message), refuse (polite error reply), allow (recursive ok), allow_snoop (recursive and nonrecursive ok) #Ajouter la zone qui transfère les requêtes DNS non effectuées par votre serveur vers le domaine racine (.) forward-zone: name: "." forward-addr: 208.67.222.222 #serveur DNS OpenDNS forward-addr: 208.67.220.220 #serveur DNS OpenDNS forward-addr: 8.8.8.8 #serveur DNS de google forward-addr: 8.8.4.4 #serveur DNS de google
Enregistrer votre fichier et redémarrer Unbound :
sudo service unbound restart
Enregistrer votre fichier et redémarrer Unbound : (Avec Systemd)
sudo systemctl restart unbound.service
Pour vérifier que la mise en cache fonctionne correctement, utiliser la commande drill (installer le paquet **[[apt>ldnsutils|ldnsutils]]**)sur un site pas encore visité :
drill maplestage.com @192.168.0.1
Relancer la commande
8-)La mise en cache fonctionne bien et nous pouvons observer le temps gagné !!!
Pour contrôler les erreurs éventuelles du fichier conf :
unbound-checkconf /etc/unbound/unbound.conf
—-
Options du serveur
Activer IPv4 et Support des Protocols :
do-ip4: yes do-ip6 no #désactivez si vous obtenez une erreur au lancement du service do-udp: yes do-tcp: yes
Activer les logs :
logfile: /var/log/unbound
Cacher l'identité et la version du serveur (Requêtes : id.server et hostname.bind) :
hide-identity: yes hide-version: yes
Paramètre limitant l'usurpation de DNS
harden-glue: yes
Résout gOogLe.cOm et google.com de la même manière
use-caps-for-id: yes
localhost peut être interrogé ! Seulement no pour test et debuging / Par défaut yes
do-not-query-localhost: yes
Exemple du fichier unbound.conf
server: verbosity: 1 interface: 192.168.0.1 access-control: 192.168.0.0/24 allow do-ip4: yes do-ip6: no #désactivez si vous obtenez une erreur au lancement du service do-udp: yes do-tcp: yes logfile: /var/log/unbound hide-identity: yes hide-version: yes harden-glue: yes use-caps-for-id: yes do-not-query-localhost: yes forward-zone: name: "." forward-addr: 208.67.222.222 #serveur DNS OpenDNS forward-addr: 208.67.220.220 #serveur DNS OpenDNS forward-addr: 8.8.8.8 #serveur DNS de google forward-addr: 8.8.4.4 #serveur DNS de google
Gestion et Dépannage de Unbound
Configuration DNS faisant autorité sur notre réseau local
Désinstallation
Pour supprimer cette application, il suffit de supprimer son paquet. Selon la méthode choisie, la configuration globale de l'application est conservée ou supprimée. Ne pas oublier de repositionner les DNS de son choix dans /etc/resolv.conf