Différences
Ci-dessous, les différences entre deux révisions de la page.
| Les deux révisions précédentes Révision précédente Prochaine révision | Révision précédente | ||
|
utilisateurs:vrinse:brouillons:unbound_brouillon [Le 15/04/2015, 15:40] Vrinse [Installation] |
— (Version actuelle) | ||
|---|---|---|---|
| Ligne 1: | Ligne 1: | ||
| - | {{tag>réseau dns}} | ||
| - | |||
| - | ====== Unbound ====== | ||
| - | |||
| - | Le service [[:dns|DNS]] (Domain Name Service) est un service UDP/IP (et parfois TCP/IP) permettant la correspondance entre un nom de domaine qualifié (FQDN : Fully Qualified Domain Name) et une adresse IP, par exemple www.ubuntu-fr.org = 88.191.119.240. Ainsi, grâce à DNS, il n'est pas nécessaire de se souvenir des adresses IP. | ||
| - | |||
| - | Un serveur qui héberge le service DNS est appelé "serveur de noms".\\ | ||
| - | Ubuntu propose de base **[[apt>unbound|Unbound]]**, une alternative a [[:bind9]].\\ | ||
| - | Unbound se veut plus simple a configurer que bind9 pour un LAN de petite taille. | ||
| - | |||
| - | Ce guide est destiné aux personnes désireuses d'apprendre à configurer et maintenir un serveur DNS Unbound. | ||
| - | |||
| - | ===== Pré-requis ===== | ||
| - | |||
| - | * Disposer des [[:sudo|droits d'administration]] sur le serveur. | ||
| - | * Disposer d'un réseau local. | ||
| - | * Connaître les bases de TCP/IP. | ||
| - | * Éventuellement disposer d'une connexion à Internet configurée et activée, pour faire les tests. | ||
| - | |||
| - | |||
| - | ===== Installation ===== | ||
| - | [[:tutoriel:comment_installer_un_paquet#installer_un_paquet_present_dans_les_depots_recommande|Installer le paquet]] **[[apt>unbound|unbound]]**, disponible dans le [[:dépôts|dépôt]] principal. | ||
| - | ===== Configuration en serveur cache ===== | ||
| - | |||
| - | Dans cette configuration, Unbound va effectuer les requêtes DNS et mettre les réponses en mémoire cache pour les requêtes à venir.\\ | ||
| - | Cette méthode permet de faire moins de requêtes DNS, et surtout gagner en temps de latence DNS. | ||
| - | |||
| - | Pour la configuration, il faut [[:tutoriel:comment_editer_un_fichier|éditer en tant qu'administrateur un seul fichier]] **/etc/unbound/unbound.conf** | ||
| - | |||
| - | Les variables sont nombreuses et relativement bien expliquées en lignes de commentaires. | ||
| - | |||
| - | Voici un exemple de configuration, avec des résolutions de 3 machines du LAN : xbox, freeboxplayer et freebox | ||
| - | |||
| - | server: | ||
| - | verbosity: 1 | ||
| - | num-threads: 4 #car cpu 4 coeurs | ||
| - | interface: 0.0.0.0 | ||
| - | do-ip4: yes | ||
| - | do-udp: yes | ||
| - | do-tcp: yes | ||
| - | access-control: 192.168.0.0/24 allow # j'autorise toutes les machines de mon LAN a interroger le dns | ||
| - | chroot: "" #pas de chroot par défaut | ||
| - | logfile: "/var/log/unbound.log" #ici un fichier est dédié aux logs | ||
| - | use-syslog: no #log par défaut dans syslog | ||
| - | hide-identity: yes #pas besoin d être verbeux ici | ||
| - | hide-version: yes #pas besoin d être verbeux ici | ||
| - | harden-glue: yes | ||
| - | harden-dnssec-stripped: yes | ||
| - | use-caps-for-id: yes # on résout gOogLe.cOm et google.com de la même manière | ||
| - | private-domain: "monvlan" #a partir d'ici on définit son propre suffix dns de réseau local | ||
| - | local-zone: "monvlan." static | ||
| - | local-data: "freebox.monvlan. IN A 192.168.0.254" #résolution sens nom -> adresse | ||
| - | local-data: "freeboxplayer.monvlan. IN A 192.168.0.18" | ||
| - | local-data: "xbox.monvlan. IN A 192.168.0.50" | ||
| - | local-data-ptr: "192.168.0.50 xbox.monvlan" #résolution inverse : adresse -> nom | ||
| - | local-data-ptr: "192.168.0.18 freeboxplayer.monvlan" | ||
| - | local-data-ptr: "192.168.0.254 freebox.monvlan" | ||
| - | python: | ||
| - | remote-control: | ||
| - | forward-zone: | ||
| - | name: "." | ||
| - | forward-addr: 212.27.40.240 #serveur DNS de FAI | ||
| - | forward-addr: 8.8.8.8 #serveur DNS de google | ||
| - | |||
| - | |||
| - | === Pour utiliser les 13 serveurs racines d'internet, supprimer tout ce qu'il y a apres "forward-zone", et ajouter ceci : === | ||
| - | root-hints: "/etc/unbound/root.hints" | ||
| - | | ||
| - | La dernière version du fichier root.hints est a télécharger ici : ftp://FTP.INTERNIC.NET/domain/named.cache | ||
| - | |||
| - | Cela permet (entre autres) de court-circuiter les serveurs DNS de son FAI | ||
| - | |||
| - | === Pour utiliser dnssec*, rajouter aussi cette ligne : === | ||
| - | auto-trust-anchor-file: "/etc/unbound/root.key" | ||
| - | | ||
| - | Le fichier root.key est fabriqué depuis a partir du fichier délivré par l'IANA disponible ici : https://data.iana.org/root-anchors/root-anchors.xml | ||
| - | |||
| - | Pour l'année 2010/2011 il doit contenir : | ||
| - | |||
| - | . IN DS 19036 8 2 49AAC11D7B6F6446702E54A1607371607A1A41855200FD2CE1CDDE32F24E8FB5 | ||
| - | ===== Désinstallation ===== | ||
| - | Pour supprimer cette application, il suffit de [[:tutoriel:comment_supprimer_un_paquet|supprimer son paquet]]. Selon la méthode choisie, la configuration globale de l'application est conservée ou supprimée. | ||
| - | Ne pas oublier de repositionner les DNS de son choix dans /etc/resolv.conf | ||
| - | |||
| - | ===== Voir aussi ===== | ||
| - | |||
| - | * **(en)** [[http://en.wikipedia.org/wiki/Unbound_%28DNS_Server%29]] | ||
| - | * **(en)** [[http://unbound.net/]] | ||
| - | * **(fr)** [[http://www.bortzmeyer.org/unbound.html]] | ||
| - | * **(fr)** [[http://fr.wikipedia.org/wiki/DNSSEC]] | ||
| - | |||
| - | ---- | ||
| - | |||
| - | <note>FIXME Article a développer/compléter</note> | ||