Bonjour a tous
Depuis 1 an je mets a jour le tuto que j'ai fais sur le Wiki d'OpenSuse, concernrant le résolveur dns Unbound.
Pour ceux que ça interesse, j'ai mis a jour le fichier conf aujourd'hui.
La modification du fichier conf :
- Optimisation requettes, dns, udp, tpc, ttl
- Sécurité : ddos, dnssec, flood
- Corrections configurations
Les liens :
👉 Wiki Unbound
(https://fr.opensuse.org/Unbound) 👉 Fichier conf Unbound (https://fr.opensuse.org/index.php?title=Fichier:Unbound_git12.doc&oldid=17928)
merci yoman;p
Super @Yoman. Merci !
J'avais suivi il y a quelques temps le tuto en anglais.
Je profite que tu sois impliqué pour poser quelques questions O:) :
Merci pour tes lumières et ton travail !
1er point :exact, je vais préciser qu'il faut la dernière version d'unbound pour le fichier conf. 👍
2ème point :Un résolveur dans sa box, n'est JAMAIS préconisé dans les système BSD, LINUX, WINDOWS, macOS, pour des raisons de SÉCURITÉ... (j'ai pendant +4ans testé ces différentes distributions avec unbound et aucune préconisation d'enregistrer son résolveur dans sa box.
IPV6 : il y a 2 fronts // paranoïaque et non paranoïaque
il y a un soucis de tracabilité de ton adresse MAC si tu ne met pas un parefeu pour l'imité l'identification..
interssant pour administrer plusieurs machine en réseau...sinon aucune utilité pour le moment..
Très peu de site sont IPV6 site en ipv6 (https://www.google.fr/ipv6/statistics.html#tab=per-country-ipv6-adoption)
3ème pointJe n'ai pas suivi ou en était ce service
DNSMASQ..; mais il y en a un autre que personne ne parle, et qui fait office de resolveur dns, qu'il faut désactiver sinon il court-circuite la conf d'unbound
systemd-resolve status
4ème point:interface : 0.0.0.0
Tu ouvres ton interface a l'extérieur , pas bon pour la sécurité.. il faut qu'il y ait seulement en local qu'il y ait une requète dns.
Unbound ne doit écouter que 127.0.0.
Tu peux mettre a la limite ton adresse ip fixe local..
Ce n'est pas interdit de le faire, mais pas préconisé dans les confs que j'ai vu
interface: ::0 c'est utile si tu as activé IPV6
5ème point :Je test Doh en ce moment, mais résultat est une censure sur certains site... je le teste uniquement en local , mais jamais sur ma box... avec une configuration dans mon navigateur firefox, qui a commencer a expérimenter l'outils en 2019....
Je n'ai pas encore fait de tuto là-dessus car je suis toujours en mode test pour trouver la bonne configuration....
Voilà , j'espère avoir répondu a tes questions.. que tu peux vérifier sur le net bien entendu...
ps: j'ai proposé ce wiki a Fedora qui doive l'adapter normalement....
Il y aussi une version pour OS famille Debian... mais qui n'est pas mis a jour... il y que celle d'OpenSuse qui est a jour...
Merci
@yoman pour cette réponse très complète.
Je vais prendre le temps de regarder tout cela et d’ajuster la configuration selon tes conseils avisés.
Une question déjà cependant : que préconises-tu pour le router internet s’il ne faut le faire pointer sur la machine avec l’installation unbound ? Faut-il installer unbound sur toutes les machines ? Mais, dans ce cas, que faire pour les téléphones qui se connectent en wifi ? Je pensais en fait utiliser mon PC comme serveur DNS pour eux en faisant pointer le DNS de la box dessus...
Encore une fois, grand merci pour tes réponses pédagogiques.
A+
bonjour
Désolé pour cette réponse tardive...
Exact il faut faire pointer sur le PC Unbound..
Mettre des ip fixes aux pc..
et mettre en "manuelle" la configuration d'unbound et ajouter ip fixe + masque sous réseaux et passerelle ..
faire de même pour l'option Routes ...
Ça devrait le faire normalement...
Bonjour
@yoman Pas de souci pour le délai de réponse ; on a tous d'autres occupations.
J'ai modifié mon unbound.conf sur mon serveur en fonction de tes remarques. J'ai modifié la configuration de sa connexion par networkmanager comme tu le conseilles et j'ai désactivé IPv6 dans la configuration networkmanager (Free force maintenant l'utilisation de IPv6 sur sa box par contre).
Le PC serveur est donc "autonome" et utilise pleinement unbound. La configuration DNS de la box/router ne pointe plus sur le PC serveur.
Pour les autres appareils connectés en wifi sur ma box (android, ios, etc...), j'ai mis les adresses IPv4 et IPv6 de 2 serveurs du projet OpenNIC.
De cette façon, je passe le test DNSSEC que tu proposes (https://en.internet.nl/connection (https://en.internet.nl/connection)) ; je ne bénéficie pas de l'effet cache de Unbound mais je n'ai pas le temps (et pas certain que cela soit possible) de modifier les configurations de tous les appareils de la famille qui se connectent en wifi.
Voilà. Si tu as d'autres conseils, je suis preneur. En attendant, merci pour ton aide.
A+
re
@squid-f
Pour profiter du cache et de ta config avec les dns du projet OpenNIC,, je vais dans la semaine de proposer une autre configuration avec un :
foward-zone : dns OpenNIC
private-domaine : pour isoler tes pc
Je l'avais fait quand j'étais sous OpenBSD, et ça fonctionnait , je pouvais même isoler mon imprimante réseau dans unbound...
Faut que je retrouve la config sur mon NAS, je ne l'ai plus en tête...enfin j'ai la config en tête , mais avec le temps les choses ont du évoluer...
ps: je suis aussi entrain de préparer un wiki sur opensuse concernant la config pour squid... au oû
Génial ! Grand merci
@yoman Je regarderai cela avec beaucoup d’intérêts. 8)
A+
Salut @squid-f
Bon effectivement les choses ont changé depuis l'époque ou j'avais déclaré mes PC dans unbound...
Par contre en relisant ton dernier post, tu parlais d'une config en wifi... j'étais focus sur une conf "LAN" ..
J'ai fais des tests quand même pour toi et ça me servira par la même occasion et pourra agrémenter mon wiki sur unbound, en remettant en cause mes configs perso, car les choses évoluent.
1°) unbound 127.0.0.1 dans la config box
* position antérieure : c'est pas très sécure
* position après test : avec numéricable et activation parefeu box secure en y déclarant tcp/udp 53, connexion bcp plus rapide.
* test supplémentaire : test parefeu depuis l'extérieur, et bonne nouvelle mon port 53 résolveur dns est Invisible sur ma box
*
problème :
appareils directement connectés a ma box pas d'internet, j'ai dû mettre un DNS tiers sur les appareils..
ns8.fr.dns.opennic.glue : 151.80.222.79 +
DNSCryptC'est un peu normal car ma box est en mode routeur et non bridge....
Appareils en wifi : comme toi, pas de possibilité de bénéficier le cache d'unbound... il faut que les appareils se connectent directement sur le PC en mode wifi-direct.. solution possible avec DE gnome, mais pas encore testé sur KDE....
(peut--être en déclarant des domaines dans unbound, je dois creuser de ce côtépar contre la config secure :en Ethernet fonctionne bien, mais on peut trouver mieux ...
exemple pour ma part :
private-address: 192.168.0./16
private-domain: "home.lan"
access-control: 192.168.0.0/16 allow
local-zone: "home.lan." static
local-data: "wdmycloud.home.lan. IN A 192.168.0.20"
local-data-ptr: "192.168.0.20 wdmycloud.home.lan"
local-data: "pcchildren.home.lan. IN A 192.168.0.21"
local-data-ptr: "192.168.0.21 pcchildren.home.lan"
#requêtes DNS non effectuées en local mais faisant confiance a un dns tiers
forward-zone:
name: "."
forward-addr: 151.80.222.79 #serveur DNS : dns.opennic.glue
Ça ne t'a pas bcp plus avancé, ... mais je creuse toujours pour l'option wifi, je m'étais focalisé sur l'option LAN..
Bonjour
@yoman Merci quand même. J'essaye d'apprendre en suivant ce que tu expliques et cela me fait avancer ; d'autant que je ne suis pas certain de tout comprendre... :-[
Donc, désolé pour ma question de béotien mais, quand tu dis :
est-ce à dire que toutes les machines de ton réseau connectées en LAN utilisent forcément le DNS de la machine où Unbound est installé ?
Pour faire cela, que spécifies-tu comme adresse DNS dans le menu DCHP de ta box router ? Ou est-ce suffisant de faire pointer les autres machines (connectées en LAN) vers la machine où Unbound est installé ? (en fait, j'ai essayé de mettre l'adresse local de cette machine dans le champ DNS de Netwrok-manager des autres machines mais cela ne fonctionne pas... ::) ).
Merci encore et A+
re
1°) oui les PC et connexions LAN bénéficient du cache d'unbound.
2°) dhcp box je n'y touch pas , car il faut passer en mode bridge sur ta box pour que ton pc ou ton switch fasse office de distributeur dhcp...
3°) oui c'est suffisant..
4°) faut mettre l’adresse locale de la machine ou est installé unbound.
en fait tu donnes une adresse ip fixe a tout tes pc en LAN et en dns tu mets l'IP fixe du PC ou est installé UNBOUND
PC PRINCIPAL UNBOUND : ip fixe 192.168.0.30+ masque sous réseau + passerelle + dns manuel 127.0.0.1
PC 2 : ip fixe + dns pc principal (192.168.0.30) qui est en faite ip fixe pc principal ou est installé unbound.
Merci
@yoman Du coup, sur la machine/serveur où est installé unbound, est-ce que j'ai besoin d'ouvrir un port dans le pare-feu pour qu'elle accepte les requêtes DNS vers unbound ? Si oui, lequel ?
J'ai l'impression que c'est peut-être cela le souci car j'ai fait pointer vers l'adresse locale du serveur DNS mais je n'ai plus d'accès internet...
(c'est pas urgent, les machines sans unbound fonctionnent avec les DNS du projet OpenNIC pour l'instant)
A+
@chalu
Je pense que tu utilises Firewalld..
su -
MDP
# firewall-cmd --permanent --add-service dns
# firewall-cmd --reload
Tu as fait une erreur de pseudo je crois ;)
Indeed et, maintenant, cela fonctionne du tonnerre ! :)
Merci!
Bonjour
Bonjour
@yoman : ça marche mais petite précision tout de même : dans unbound.conf, je dois ajouter interface: 0.0.0.0 en plus de interface: 127.0.0.1
Sinon, mon autre PC fixe ne peut pas faire de requête DNS sur le PC où unbound est installé.
Est-ce normal ou est-ce que j'ai raté quelque chose dans ma configuration ?
Tu disais dans ton premier post que ce n'était pas sécure mais l'un de dernier post pourrait faire penser que tes nouveaux tests montrent que ce n'est pas tant un problème. Qu'en penses-tu ?
Merci.
A+
@squid-f
Bon bien content que ça fonctionne ;D
Pour l'interface configuration , là je joue le pointilleux, car on est des particuliers et pas bcp d'intérêt pour les hackers.. mais par principe..
Je t'explique rapidement : si tu utilises l'utilitaire "wireshark" tu verras pleins de trame qui se baladent sur ton réseau LAN, qui n'ont rien a voir avec tes requêtes.... si ta tv, ton home cinéma et ton pc sont connectés sur ta box et que tu ouvres l'interfaces 0.0.0.0 , tu envoies le signal que n'importe quelle interface peut passer par ton résolveur dns... (mais ça ne veut pas dire qu'on va se faire hacker, car ta boxe fait office d'une 1ère barrière ainsi que ton parefeu local firewalld)
Essaye de mettre en interface l'ip fixe de ton PC ou est installer unbound.
Je te passe la page d’hébergement et de discussion concernant le fichier unbound.conf
unbound.conf / opensuse (https://fr.opensuse.org/Fichier:Unbound_git12.doc)
Merci
@yoman C'est bien ce fichier unbound.conf que j'utilise (mise à part l'antipub que je gère différemment).
J'ajoute l'adresse IP du serveur donc en tant qu'interface et je te tiens au courant.
A+
Ca marche !! :) 8)
Plus de 0.0.0.0 donc. ;)
MERCI
A+
génial..
Jsuis preneur si tu gères l'option anti-pub autrement...
a+++
En fait, c'est surtout que je n'ai pas envie d'entendre râler à la maison : "tu as encore touché quelque chose, on ne peut plus charger le site !!!" ::)
Donc, j'ai mis uBlock origine comme extension Firefox pour tout le monde il y a quelque temps. Cela fait le job mais je n'ai pas de comparaison par rapport à ta proposition.
Tu vois, rien d'exceptionnel. Désolé si je te fais miroiter quelque chose qui n'est pas. :-[
A+