Vous n'êtes pas identifié(e).
L'icône rouge permet de télécharger chaque page du wiki visitée au format
PDF et la grise au format ODT →
Ci-dessous, les différences entre deux révisions de la page.
Les deux révisions précédentes Révision précédente | Prochaine révision Les deux révisions suivantes | ||
atelier:chantier:une-box-maison [20/02/2019 09:09] LaFouine [Installation] |
atelier:chantier:une-box-maison [20/02/2019 09:46] LaFouine [Lien] |
||
---|---|---|---|
Ligne 256: | Ligne 256: | ||
- | ===== Lien ===== | + | ===== Serveur Unbound pour un dns local ===== |
+ | Soiyer particulièrement prudent car ce service est sensible aux vulnérabilité. | ||
+ | Note. Je ne suis pas parvenu a trouver une traduction en français des paramètres, | ||
+ | les valeurs sont à adapter selon vos besoins. j'ai donc juste indiquer les valeurs que j'utilise. | ||
+ | <code root> | ||
+ | nano /etc/unbound/unbound.conf | ||
+ | </code> | ||
+ | <code root> | ||
+ | cat /etc/unbound/unbound.conf | ||
+ | # Unbound configuration file for Debian. | ||
+ | # | ||
+ | # See the unbound.conf(5) man page. | ||
+ | # | ||
+ | # See /usr/share/doc/unbound/examples/unbound.conf for a commented | ||
+ | # reference config file. | ||
+ | # | ||
+ | # The following line includes additional configuration files from the | ||
+ | # /etc/unbound/unbound.conf.d directory. | ||
+ | include: "/etc/unbound/unbound.conf.d/*.conf" | ||
+ | #server: | ||
+ | port: 53 #port d'écoute | ||
+ | do-ip4: yes # | ||
+ | do-ip6: yes # | ||
+ | do-udp: yes #protocole autorisé | ||
+ | do-tcp: yes #indique de communiquer sur le protocole TCP | ||
+ | #interface: 0.0.0.0 | ||
+ | access-control: 192.168.50.0/24 allow | ||
+ | interface: 192.168.50.51 #requi wifi | ||
+ | interface: 192.168.4.21 #requi rj45 | ||
+ | interface: 192.168.3.21 #requi rj45 | ||
+ | interface: 192.168.2.21 #requi rj45 | ||
+ | interface: 127.0.0.1 #? | ||
+ | access-control: 127.0.0.1 allow #? | ||
+ | access-control: 192.168.0.0/24 allow #requis rj45 | ||
+ | access-control: 192.168.2.0/24 allow #requis rj45 | ||
+ | access-control: 192.168.3.0/24 allow #requis rj45 | ||
+ | access-control: 192.168.4.0/24 allow #requis rj45 | ||
+ | access-control: 192.168.50.0/24 allow #requis wifi (pas en service) | ||
+ | private-address: 192.168.0.0/24 #renforce le coter priver et protège de la technique des "Relais DNS" | ||
+ | unwanted-reply-threshold: 10000000 #eviter l'empoisonnement DNS | ||
+ | aggressive-nsec: yes | ||
+ | harden-algo-downgrade: no #l algorithme le plus faible est exclut no | ||
+ | hide-identity: yes # | ||
+ | hide-version: yes | ||
+ | harden-glue: yes | ||
+ | #ssl-upstream: yes # oblige à communiquer sur le protocole TLS. :yes:erreur :debug: tcp error for address 8.8.8.8 port 53 | ||
+ | #ssl-port: 853 | ||
+ | prefetch: yes # garde en cache les bons résultats | ||
+ | prefetch-key: yes # | ||
+ | cache-min-ttl: 100000 #durée minimal | ||
+ | cache-max-ttl: 200000 #durée max | ||
+ | key-cache-size: 50m | ||
+ | infra-cache-numhosts: 1000000 #nombre de host qui peuve etre mis en cache | ||
+ | do-ip6: no #desactive les requetes ipv6 | ||
+ | tcp-idle-timeout: 15000 #delai avant de signialer un timout sur la connextion | ||
+ | harden-below-nxdomain: yes | ||
+ | harden-dnssec-stripped: yes #DNSSEC pour les zones de confiance | ||
+ | val-clean-additional: no #toutes les données DNS non sécurisées son effacee | ||
+ | do-not-query-localhost: yes #permet d'interoger localhost | ||
+ | so-reuseport: yes #linux seulment ameliore les performance udp | ||
+ | #serve-expired: <yes or no> # tester | ||
+ | num-threads: 4 | ||
+ | key-cache-slabs: 8 | ||
+ | infra-cache-slabs: 8 | ||
+ | msg-cache-slabs: 8 | ||
+ | rrset-cache-slabs: 8 | ||
+ | key-cache-size: 100m | ||
+ | key-cache-slabs: 2m | ||
+ | harden-short-bufsize: yes #contre les très petites tailles de mémoire tampon EDNS. | ||
+ | harden-large-queries: yes #contre les requêtes volumineuses | ||
+ | num-queries-per-thread: 100 | ||
+ | |||
+ | val-log-level: 2 #log | ||
+ | verbosity: 5 #plage de 1 a 5 , 5 permet le plus parlant | ||
+ | log-time-ascii: yes #valable sur un autre fichier que syslog | ||
+ | log-queries: yes #affiche une ligne par requete | ||
+ | log-replies: yes #affiche une ligne par requete,(réponse) | ||
+ | log-local-actions: yes #affiche les info de la zone local | ||
+ | log-servfail: yes #afficher pourquoi les requêtes renvoient SERVFAIL Ref doc | ||
+ | |||
+ | logfile: /var/log/unbound.log #chemin d'accès | ||
+ | |||
+ | #private-domain: "domroxlan.dom" #domaine local | ||
+ | |||
+ | forward-zone: | ||
+ | name: "." | ||
+ | #forward-addr: 192.168.0.1@53 | ||
+ | forward-addr: 1.1.1.1@53 | ||
+ | forward-addr: 1.0.0.1@53 | ||
+ | forward-addr: 65.2.17.60@53 | ||
+ | forward-addr: 65.2.17.61@53 | ||
+ | forward-addr: 66.2.24.158@53 | ||
+ | forward-addr: 67.2.24.162@53 | ||
+ | forward-addr: 8.8.8.8@53 | ||
+ | </code> | ||
+ | |||
+ | |||
+ | il peux être nécessaire de changer le fichier | ||
+ | |||
+ | <code root>/etc/resolv.conf</code> | ||
+ | |||
+ | de façons a ce qu'il contienne : | ||
+ | <code root> | ||
+ | nameserver 127.0.0.1 | ||
+ | </code> | ||
+ | |||
+ | Rappelle: Ce fichier a la fâcheuse tendance a ce modifier. Vous pouvez donc le verrouiller avec la commande chattr, | ||
+ | **Attention** c'est pas anodin car le système ne peux plus mettre a jour le fichier. | ||
+ | Par exemple, si vous supprimer le paquer unbound l'ip ne pourra plus ce mettre à jours. (c'est un exemple parmi les nombreuse autres mauvaise surprise qui en découle.) | ||
+ | |||
+ | Pour tester utiliser la commande: dig | ||
+ | |||
+ | Si vous êtes sur un O.S propriétaire il peux s'avérer utile d'y effacer le cache dns sur un client windows on utilisera: | ||
+ | <code>ipconfig /flushdns </code> | ||
+ | |||
+ | |||
+ | |||
+ | A partir la cela devrai suffire pour une connexion filaire, | ||
+ | |||
+ | |||
+ | |||
+ | |||
+ | |||
+ | ===== a suivre le wifi ===== | ||