Debian-facile

LaFouine

Membre

Distrib. : Debian testing

Noyau : 4.19.0-4-amd64

(G)UI : Xfce

Inscription : 10-04-2017

unbound configuration des zones bloquées ?

Bonjours,

Je rencontre un souci depuis peu , le fichier de configuration seul  marche :

mai pas le fichier qui permet de configurer les zone redirigée du serveur:

 unbound-checkconf /etc/unbound/unbound.conf
/etc/unbound/unbound.conf.d/zoneinterdite.conf:1: error: syntax error
read /etc/unbound/unbound.conf failed: 1 errors in configuration file
 

cat /etc/unbound/unbound.conf.d/zoneinterdite.conf
local-data: "ad.doubleclick.net A 127.0.0.1"
local-data: "pixel.everesttech.net A 127.0.0.1"
local-data: "recover.operacdn.com A 127.0.0.1"
local-data: "recsys.op-cdn.net A 127.0.0.1"
local-data: "sd-images.operacdn.com A 127.0.0.1"
local-data: "www.googleadservices.com A 127.0.0.1"
local-zone: ad.doubleclick.net redirect
local-zone: pixel.everesttech.net redirect
local-zone: recover.operacdn.com redirect
local-zone: recsys.op-cdn.net redirect
local-zone: sd-images.operacdn.com redirect
local-zone: www.googleadservices.com redirect
 

Que je laisse 1 ligne seule ou pas ne change rien, est ce que la syntaxe aurai changer ?

dpkg -l |grep unbound
ii  libunbound8:amd64              1.9.0-2                     amd64        library implementing DNS resolution and validation
ii  unbound                        1.9.0-2                     amd64        validating, recursive, caching DNS resolver
ii  unbound-anchor                 1.9.0-2                     amd64        utility to securely fetch the root DNS trust anchor
 

cat /etc/unbound/unbound.conf
# Unbound configuration file for Debian.
#
# See the unbound.conf(5) man page.
#
# See /usr/share/doc/unbound/examples/unbound.conf for a commented
# reference config file.
#
# The following line includes additional configuration files from the
# /etc/unbound/unbound.conf.d directory.
include: "/etc/unbound/unbound.conf.d/*.conf"

#server:
port:                   53                              #port d'écoute
do-ip4:                 yes                             #
do-ip6:                 yes                             #
do-udp:                 yes                             #protocole autorisé
do-tcp:                 yes                             #indique de communiquer sur le protocole TCP
#interface: 0.0.0.0
access-control:         192.168.50.0/24 allow
interface:              192.168.50.51                   #requi wifi
interface:              192.168.4.21                    #requi rj45
interface:              192.168.3.21                    #requi rj45
interface:              192.168.2.21                    #requi rj45
interface:              127.0.0.1                       #?
access-control:         127.0.0.1       allow           #?
access-control:         192.168.0.0/24  allow           #requis rj45
access-control:         192.168.2.0/24  allow           #requis rj45
access-control:         192.168.3.0/24  allow           #requis rj45
access-control:         192.168.4.0/24  allow           #requis rj45
access-control:         192.168.50.0/24 allow           #requis wifi (pas en service)
private-address:        192.168.0.0/24                  #renforce le coter priver et  protège de la technique des "Relais DNS"
unwanted-reply-threshold: 10000000                      #eviter l'empoisonnement DNS
aggressive-nsec: yes
harden-algo-downgrade:  no                              #l algorithme le plus faible est exclut no
hide-identity:          yes                             #
hide-version:           yes
harden-glue:            yes
#ssl-upstream:          yes                             # oblige à communiquer sur le protocole TLS.                    :yes:erreur :debug: tcp error for address 8.8.8.8 port 53
#ssl-port:              853
prefetch:               yes                             # garde en cache les bons résultats
prefetch-key:           yes                             #
cache-min-ttl:          100000                          #durée minimal
cache-max-ttl:          200000                          #durée max
key-cache-size:         50m
infra-cache-numhosts:   1000000                         #nombre de host qui peuve etre mis en cache
do-ip6:                 no                              #desactive les requetes ipv6
tcp-idle-timeout:       15000                           #delai avant de signialer un timout sur la connextion

harden-below-nxdomain:  yes
harden-dnssec-stripped: yes                             #DNSSEC pour les zones de confiance
val-clean-additional:   no                              #toutes les données DNS non sécurisées son effacee
do-not-query-localhost: yes                             #permet d'interoger localhost
so-reuseport:           yes                             #linux seulment ameliore les performance udp
#serve-expired: <yes or no>                             # tester
num-threads: 4
key-cache-slabs: 8
infra-cache-slabs: 8
msg-cache-slabs: 8
rrset-cache-slabs: 8
key-cache-size:         100m
key-cache-slabs:        2m
harden-short-bufsize:   yes                             #contre les très petites tailles de mémoire tampon EDNS.
harden-large-queries:   yes                             #contre les requêtes volumineuses
num-queries-per-thread: 100

val-log-level:          2                               #log
verbosity:              5                               #plage de 1 a 5 , 5 permet le plus parlant
log-time-ascii:         yes                             #valable sur un autre fichier que syslog
log-queries:            yes                             #affiche une ligne par requete
log-replies:            yes                             #affiche une ligne par requete,(réponse)
log-local-actions:      yes                             #affiche les info de la zone local
log-servfail:           yes                             #afficher pourquoi les requêtes renvoient SERVFAIL Ref doc

logfile:                /var/log/unbound.log            #chemin d'accès

#private-domain:                "domroxlan.dom"                 #domaine local

forward-zone:
        name: "."
#forward-addr: 192.168.0.1@53
forward-addr: 1.1.1.1@53
forward-addr: 1.0.0.1@53
forward-addr: 64.32.17.60@53
forward-addr: 65.24.17.61@53
forward-addr: 66.22.24.158@53
forward-addr: 67.22.24.162@53
forward-addr: 8.8.8.8@53


 

Je ne vois pas ou ça coince, ça ressemble fortement a un bug , mai bon c'est peut être moi :

Merci d'avance

---

Debian testing, nvidia 980 gtx sli, cm asurock 16 gb ram cpu i7 4,2 ghz

raleur

Membre

Inscription : 03-10-2014

Re : unbound configuration des zones bloquées ?

Si tu affiches le fichier avec less, il n'y a pas de caractère bizarre ?

---

Il vaut mieux montrer que raconter.

LaFouine

Membre

Distrib. : Debian testing

Noyau : 4.19.0-4-amd64

(G)UI : Xfce

Inscription : 10-04-2017

Re : unbound configuration des zones bloquées ?

Si tu affiches le fichier avec less, il n'y a pas de caractère bizarre ?

non , j'ai crée un fichier avec: touch ajouter la ligne a la main avec nano ....incompréhensible même avec des droit 0777

---

Debian testing, nvidia 980 gtx sli, cm asurock 16 gb ram cpu i7 4,2 ghz

otyugh

CA Debian-Facile

Lieu : Quimperlé/Arzano

Distrib. : Debian Stable

Inscription : 20-09-2016

Site Web

Re : unbound configuration des zones bloquées ?

Y a ptéte un caractère spécial qui est passé, comme le suggère raleur (je me souviens d'un truc qui m'avait pris des heures à trouver : un "espace spécial" quand on fait altgr+espace qui donne un faux espace qui fait planter les fichiers de config : https://en.wikipedia.org/wiki/Non-breaking_space)

Dernière modification par otyugh (24-02-2019 21:44:34)

---

raleur

Membre

Inscription : 03-10-2014

Re : unbound configuration des zones bloquées ?

j'ai crée un fichier avec: touch ajouter la ligne a la main avec nano

Quelle ligne ?
nano est un éditeur de texte simple, il ne devrait pas insérer de caractère foireux.
Se méfier aussi des tirets spéciaux.

Une façon d'en avoir le coeur net serait d'afficher le contenu du fichier en hexadécimal avec la commande "hd".

Dernière modification par raleur (24-02-2019 22:05:28)

---

Il vaut mieux montrer que raconter.

LaFouine

Membre

Distrib. : Debian testing

Noyau : 4.19.0-4-amd64

(G)UI : Xfce

Inscription : 10-04-2017

Re : unbound configuration des zones bloquées ?

donc cela donne:

 hd /etc/unbound/unbound.conf.d/zoneinterdite.conf
00000000  6c 6f 63 61 6c 2d 64 61  74 61 3a 20 22 61 64 2e  |local-data: "ad.|
00000010  64 6f 75 62 6c 65 63 6c  69 63 6b 2e 6e 65 74 20  |doubleclick.net |
00000020  41 20 31 32 37 2e 30 2e  30 2e 31 22 0a           |A 127.0.0.1".|
0000002d
 

unbound-checkconf /etc/unbound/unbound.conf
/etc/unbound/unbound.conf.d/zoneinterdite.conf:1: error: syntax error
read /etc/unbound/unbound.conf failed: 1 errors in configuration file
 

j'ai repris les exemple du man:

of the zone with the local data for the zone.  It can be used to redirect a domain to return a different address
record  to  the  end  user,  with  
local-zone:  "example.com."  redirect
and
local-data: "example.com. A 127.0.0.1"
 

donc j'ai ceci:

local-zone: "example.com." redirect
local-data: "example.com. A 127.0.0.1"
 

unbound-checkconf /etc/unbound/unbound.conf
/etc/unbound/unbound.conf.d/zoneinterdite.conf:1: error: syntax error
read /etc/unbound/unbound.conf failed: 1 errors in configuration file

pas la moindre idée d'ou cela peux venir

Dernière modification par LaFouine (25-02-2019 01:39:56)

---

Debian testing, nvidia 980 gtx sli, cm asurock 16 gb ram cpu i7 4,2 ghz

LaFouine

Membre

Distrib. : Debian testing

Noyau : 4.19.0-4-amd64

(G)UI : Xfce

Inscription : 10-04-2017

Re : unbound configuration des zones bloquées ?

il y un bug quelque part:
pour essayer de cerner la source du problème, j'ai deplacer le fichier qui contien les zone interdite.

il ce trouve dans /etc/unbound/zoneinterdite

j'ai donc ajouter la ligne:

include: "/etc/unbound/zoneinterdite"

juste après

 include: "/etc/unbound/unbound.conf.d/*.conf"

et de cette manière pas d'erreur ?!

si j'ajoute la même ligne mai a la fin du fichier de configuration = même erreur

A ce stade je résume  pris séparément , le fichier de configuration  est ok, le fichier de zone est ok .
seul l'emplacement dérange. (dans le fichier de config et peut être aussi le répertoire)

Le problème n'est pas résolut mai contourner.

Dernière modification par LaFouine (25-02-2019 03:20:56)

---

Debian testing, nvidia 980 gtx sli, cm asurock 16 gb ram cpu i7 4,2 ghz

raleur

Membre

Inscription : 03-10-2014

Re : unbound configuration des zones bloquées ?

En tout cas je ne vois aucun caractère spécial dans le code hexa du fichier.

---

Il vaut mieux montrer que raconter.

otyugh

CA Debian-Facile

Lieu : Quimperlé/Arzano

Distrib. : Debian Stable

Inscription : 20-09-2016

Site Web

Re : unbound configuration des zones bloquées ?

le dossier "/etc/unbound/unbound.conf.d/" est vide ?

---

LaFouine

Membre

Distrib. : Debian testing

Noyau : 4.19.0-4-amd64

(G)UI : Xfce

Inscription : 10-04-2017

Re : unbound configuration des zones bloquées ?

le dossier "/etc/unbound/unbound.conf.d/" est vide ?

ls -la /etc/unbound/unbound.conf.d/

total 16
drwxr-xr-x 2 root root 4096 fév 25 02:45 .
drwxr-xr-x 3 root root 4096 fév 25 03:14 ..
-rw-r--r-- 1 root root  302 fév 10 03:10 qname-minimisation.conf
-rw-r--r-- 1 root root  190 fév 10 03:10 root-auto-trust-anchor-file.conf
 

Note:Le fichier de zone est donc déplacer dans /etc/unbound

---

Debian testing, nvidia 980 gtx sli, cm asurock 16 gb ram cpu i7 4,2 ghz

otyugh

CA Debian-Facile

Lieu : Quimperlé/Arzano

Distrib. : Debian Stable

Inscription : 20-09-2016

Site Web

Re : unbound configuration des zones bloquées ?

Peut être qu'un de ces fichiers de config ouvre "un contexte" ou ajoute des arguments qui fait que ton truc de zone passe, et il faut donc qu'il soit executé avant.
... Fin j'ai pas d'autre hypothèse. Je connais pas du tout assez unbound.

---