configurer serveur dns local

AccueilDocumentationsForumA propos

PageDiscussion

LireVoir le texte sourceAfficher l’historique

Lire Rechercher

Installer et configurer son serveur DNS connectéaux serveurs root avec UnboundDe HomeServer.DIY.

Sur un réseau IP chaque machine est joignable par une adresse unique qui est son adresse IP. Elle seprésente sous la forme de nombres séparés par des points. Par exemple, 158.88.4.144. Mais lesutilisateurs trouvent souvent assez peu pratique de travailler avec ces nombres et préfèrent utiliser unnom de domaine comme homeserver-diy.net. Pour traduire un nom de domaine en adresse IP de façon àce que la machine cliente s'adresse au bon endroit, elle utilisera le protocole DNS. Pour simplifier,lorsque vous demanderez à votre PC de joindre un nom de domaine, il fera une requête à un serveurDNS qui lui répondra en lui disant à quelle adresse IP correspond à ce domaine. Ce tuto va expliquercomment mettre en place votre propre serveur DNS pour en tirer plusieurs bénéfices.

Sommaire

1 Informations succinctes à propos du DNS:2 Les avantages d'avoir son propre serveur DNS:3 Installation d'Unbound4 Configuration d'unbound5 Faire mentir son serveur DNS contre les pubs sur internet6 Utilisation7 Sources

Installer et configurer son serveur DNS connecté aux serveurs ro... http://homeserver-diy.net/wiki/index.php?title=Installer_et_conf...

1 sur 5 11/07/2015 18:34

Informations succinctes à propos du DNS:

Les serveurs DNS sont des machines discutant entre elles afin de se communiquer les correspondancesentre nom de domaine et adresses IP. Lors des requêtes faites par un client, les serveurs DNS répondentde façon hiérarchisée pour résoudre les différents composants d'un nom de domaine. Typiquement,"homeserver-diy", ".", "net" (dans un ordre différent). Pour accélérer ces résolutions, les serveurs DNSpeuvent s'appuyer sur un système de cache limitant le nombre de requêtes. De ce fait, les performancesd'un serveur DNS augmentent dans le temps car celui-ci cherche d'abord à résoudre les noms dedomaines via ce cache avant d’interroger ses comparses.

Les avantages d'avoir son propre serveur DNS:

Premièrement, pour ceux qui installeraient un serveur sur leur réseau local, ils réduiront notablement letemps que prennent les requêtes DNS. En effet, en configurant le serveur pour qu'il conserve les donnéesen cache, les requêtes se feront sans intermédiaires et en profitant des performances de votre réseaulocal. Ce qui rendra la navigation plus fluide.

Ensuite, cela permet de faire en sorte que les requêtes envoyées à notre serveur soient transmisesdirectement aux serveurs racines si il est configuré pour. Le but étant de conserver la neutralité de soninternet. En effet, si l'on passe par un serveur DNS contrôlé par un organisme, une société ou un état, ilse pourrait qu'ils aient un intérêt à analyser vos requêtes pour diverses raisons (enregistrement de voshabitudes de surf, priorisation ou limitation du débit vers certains sites...). Ils pourraient aussi en profiterpour faire mentir le serveur et par exemple faire disparaitre des sites de votre internet.

Autre point en rapport avec le précédent, la possibilité de censurer l'accès à certains noms de domaine.Non pas pour jouer à l'apprenti dictateur, mais par exemple fermer l'accès aux domaines des régiespublicitaires comme googlesyndication.com, doubleclick.net, ads.youtube.com, adserver.yahoo.com. Leprincipe étant de configurer votre serveur de DNS pour que ces noms de domaines pointent vers uneadresse ip ne pouvant rien renvoyer. Ce qui empêchera l'affichage des pubs.

Installation d'Unbound

Unbound est disponible sur les dépôts de la plus part des distributions linux. Dans cet article unboundsera installé sur une debian. L'installation se fait comme tout paquet via le terminal:

aptitude install unbound

Ensuite on télécharge un fichier nommé named.cache et on l'enregistre directement dans le répertoire/var/lib/unbound/ en le renommant root.hints

wget ftp://FTP.INTERNIC.NET/domain/named.cache -O /var/lib/unbound/root.hints

Ce fichier est la liste des serveurs DNS racines sur lequel s'appuiera unbound pour répondre auxrequêtes.


2 sur 5 11/07/2015 18:34

Configuration d'unbound

Voici un fichier de configuration qui sera une bonne base pour avoir un serveur DNS bien configuré.Certains choix me sont propres, et j'ai tenté d'être suffisamment explicite dans les commentaires de cefichier pour que vous puissiez l'adapter via winscp ou votre éditeur de texte favori en ligne decommande. Celui-ci se situe à cet endroit de l'arborescence:

/etc/unbound/unbound.conf

# Unbound configuration file for Debian.## See the unbound.conf(5) man page.## See /usr/share/doc/unbound/examples/unbound.conf for a commented# reference config file.server:# Les lignes suivantes concernent la configuration de unbound pour les# performance crypto DNSSEC en utilisant la clé des serveurs rootauto-trust-anchor-file: "/var/lib/unbound/root.key"# Activer les logsverbosity: 1#Répondre aux requêtes DNS sur toutes les interfaces réseau.interface: 0.0.0.0#Port sur lequel sont fait les requêtes DNSport: 53#support de l'IPv4do-ip4: yes#support de l'IPv6do-ip6: no#support udpdo-udp: yes#support tcpdo-tcp: yes#plages adresse ip autorisée à consulter le serveur dns#access-control: 127.0.0.0/8 allow#access-control: 192.168.1.0/24 allow#access-control: 192.168.1.26#emplacement du fichier indiquant les infos pour consulter les serveurs DNS root#fichier à télécharger là à cette adresse: ftp://FTP.INTERNIC.NET/domain/named.cacheroot-hints: "/var/lib/unbound/root.hints"#Cacher les infos sur le serveur DNShide-identity: yeshide-version: yes#paramètre limitant l'usurpation de DNSharden-glue: yes#Requérir les infos DNSSEC pour les zones de confianceharden-dnssec-stripped: yes#Options permettant de ne pas prendre la casse en compte lors des requêtes d'url. #HomeServer-DIY.net sera traduit en homeserver-diy.net par le serveur et il communiquera la bonne IPuse-caps-for-id: yes#valeur mini de la TTL en secondes. Ne pas dépasser 1hcache-min-ttl: 3600#valeur max de la TTL en secondes.cache-max-ttl: 86400#activation du prefetch. Si un requête est faite lorsque la tll expire dans moins de 10% du temps qu'il lui est imparti#le cache se mettra à jour aussitôt après avoir répondu à la requête.prefetch: yes#nombre de core du serveur dnsnum-threads: 2## Tweaks et optimisations du cache#Nombre de slabs à utiliser . Doit être une puissance de 2 du num-threads.msg-cache-slabs: 8rrset-cache-slabs: 8infra-cache-slabs: 8key-cache-slabs: 8


3 sur 5 11/07/2015 18:34

#Réglage de la taille du cache en Mo:rrset-cache-size: 51mmsg-cache-size: 25m#Taille du buffer pour le port UPD en entrée. Evite la perte de message lors des requêtesso-rcvbuf: 1m#Renforcer la vie privée des adresses du LAN. Ne mettre que des adresses localesprivate-address: 192.168.1.0/24#Si non nulles, les réponses indésirables ne sont pas seulement signalés dans les statistiques, #mais aussi ajoutées à un total cumulé maintenu par thread. #Si elle atteint le seuil, un avertissement est affiché et une action défensive est prise, le cache est vidé pour éviter l#Une valeur de 10000 est suggérée, la valeur par défaut est de 0 (service désactivé).unwanted-reply-threshold: 10000#Autorisé à répondre aux requêtes du localhostdo-not-query-localhost: no#Emplacement du fichier root.key pour utilisation de DNSSEC#auto-trust-anchor-file: "/var/lib/unbound/root.key"# Est-ce que cette section supplémentaire, doit être conservée intacte pour les données non-sécurisées# Utile pour protéger les utilisateurs d'une validation de données potentiellement boguées# Toutes les données non signés dans la section supplémentaire seront retirés des messages sécurisésval-clean-additional: yes

Faire mentir son serveur DNS contre les pubs sur internet

Cette dernière partie va à l'encontre de la neutralité d'internet puisque les machines qui utiliseront votreserveur unbound configuré de la sorte ne verront pas les pages web tel qu'elles le sont en réalité. En effet,de nombreuses pages web contiennent du code permettant d'afficher des pubs et s'appuyant sur les nomsde domaines des régies publicitaires de google, yahoo etc. Lors du chargement de la page, votreordinateur fera donc une requête DNS pour résoudre les domaines de ces régies. Si vous configurezunbound pour qu'il réponde que l'adresse ip de ces domaines soit des ip fausses, les pubs en question nes'afficheront pas. Dans mon cas je donne une adresse IP de mon réseau local n'étant pas attribuée. Maiscelle du localhost de l'exemple fonctionne aussi très bien. Voici ce qu'il suffit d'ajouter à la fin du fichierunbound.conf:

local-zone: "doubleclick.net" redirectlocal-data: "doubleclick.net A 127.0.0.1"local-zone: "googlesyndication.com" redirectlocal-data: "googlesyndication.com A 127.0.0.1"local-zone: "googleadservices.com" redirectlocal-data: "googleadservices.com A 127.0.0.1"local-zone: "google-analytics.com" redirectlocal-data: "google-analytics.com A 127.0.0.1"local-zone: "ads.youtube.com" redirectlocal-data: "ads.youtube.com A 127.0.0.1"local-zone: "adserver.yahoo.com" redirectlocal-data: "adserver.yahoo.com A 127.0.0.1"

Cette liste n'est pas exhaustive. Mais le fichier suivant contient un grand nombre de domaines utilisés parun grande nombre de régies publicitaires: Fichier:Regies pub.odt

Vous n'aurez qu'à faire votre choix.

Utilisation

Je ne vais pas détailler la configuration de chaque poste client auquel vous destinez votre serveur DNScar c'est dépendant de votre OS. Sachez que le protocole DHCP gère très bien cela tout seul. Il suffit


4 sur 5 11/07/2015 18:34

donc de déclarer l'adresse de votre serveur hébergeant unbound sur votre box ou votre routeur pour quetoutes vos machines utilisent ce nouveau service auto-hébergé.

Sources

Cet article est adapté de celui de Vincent Rabah sur son site:

http://www.it-wars.com/dns-back-to-the-roots/

Je remercie d'ailleurs Vincent pour son coup main dans la compréhension du fichier de conf.

Récupérée de « http://homeserver-diy.net/wiki/index.php?title=Installer_et_configurer_son_serveur_DNS_connect%C3%A9_aux_serveurs_root_avec_Unbound&oldid=450 »

Utilisateur

Connexion

Navigation

AccueilCommunautéActualitésModifications récentesPage au hasardAide

Boîte à outils

Pages liéesSuivi des pages liéesPages spécialesVersion imprimableAdresse de cette version

Copyright © HomeServer-DIY par Nicolas et Tom23


5 sur 5 11/07/2015 18:34

configurer serveur dns local

Documents