logo Debian Debian Debian-France Debian-Facile Debian-fr.org Forum-Debian.fr Debian ? Communautés logo inclusivité

Debian-facile

Bienvenue sur Debian-Facile, site d'aide pour les nouveaux utilisateurs de Debian.

Vous n'êtes pas identifié(e).

L'icône rouge permet de télécharger chaque page du wiki visitée au format PDF et la grise au format ODT → ODT PDF Export

Différences

Ci-dessous, les différences entre deux révisions de la page.

Lien vers cette vue comparative

Les deux révisions précédentes Révision précédente
Prochaine révision Les deux révisions suivantes
atelier:chantier:une-box-maison [20/02/2019 09:09]
LaFouine [Installation] 		atelier:chantier:une-box-maison [20/02/2019 09:46]
LaFouine [Lien]
Ligne 256: Ligne 256:
  
  
-===== Lien =====+===== Serveur Unbound pour un dns local =====
  
  
 +Soiyer particulièrement prudent car ce service est sensible aux vulnérabilité.
  
 +Note. Je ne suis pas parvenu a trouver une traduction en français des paramètres, ​
 +les valeurs sont à adapter selon vos besoins. j'ai donc juste indiquer les valeurs que j'​utilise.
  
 +<code root>
 +nano  /​etc/​unbound/​unbound.conf
 +</​code>​
  
 +<code root>
 +cat /​etc/​unbound/​unbound.conf
 +# Unbound configuration file for Debian.
 +#
 +# See the unbound.conf(5) man page.
 +#
 +# See /​usr/​share/​doc/​unbound/​examples/​unbound.conf for a commented
 +# reference config file.
 +#
 +# The following line includes additional configuration files from the
 +# /​etc/​unbound/​unbound.conf.d directory.
 +include: "/​etc/​unbound/​unbound.conf.d/​*.conf"​
  
 +#server:
 +port:                   ​53 ​                             #port d'​écoute
 +do-ip4: ​                ​yes ​                            #
 +do-ip6: ​                ​yes ​                            #
 +do-udp: ​                ​yes ​                            #​protocole autorisé
 +do-tcp: ​                ​yes ​                            #​indique de communiquer sur le protocole TCP
 +#interface: 0.0.0.0
 +access-control: ​        ​192.168.50.0/​24 allow
 +interface: ​             192.168.50.51 ​                  #​requi wifi
 +interface: ​             192.168.4.21 ​                   #requi rj45
 +interface: ​             192.168.3.21 ​                   #requi rj45
 +interface: ​             192.168.2.21 ​                   #requi rj45
 +interface: ​             127.0.0.1 ​                      #?
 +access-control: ​        ​127.0.0.1 ​      ​allow ​          #?
 +access-control: ​        ​192.168.0.0/​24 ​ allow           #​requis rj45
 +access-control: ​        ​192.168.2.0/​24 ​ allow           #​requis rj45
 +access-control: ​        ​192.168.3.0/​24 ​ allow           #​requis rj45
 +access-control: ​        ​192.168.4.0/​24 ​ allow           #​requis rj45
 +access-control: ​        ​192.168.50.0/​24 allow           #​requis wifi (pas en service)
 +private-address: ​       192.168.0.0/​24 ​                 #renforce le coter priver et  protège de la technique des "​Relais DNS"
 +unwanted-reply-threshold:​ 10000000 ​                     #eviter l'​empoisonnement DNS
 +aggressive-nsec:​ yes
 +harden-algo-downgrade: ​ no                              #l algorithme le plus faible est exclut no
 +hide-identity: ​         yes                             #
 +hide-version: ​          yes
 +harden-glue: ​           yes
 +#​ssl-upstream: ​         yes                             # oblige à communiquer sur le protocole TLS.                    :yes:erreur :debug: tcp error for address 8.8.8.8 port 53
 +#​ssl-port: ​             853
 +prefetch: ​              ​yes ​                            # garde en cache les bons résultats
 +prefetch-key: ​          ​yes ​                            #
 +cache-min-ttl: ​         100000 ​                         #durée minimal
 +cache-max-ttl: ​         200000 ​                         #durée max
 +key-cache-size: ​        50m
 +infra-cache-numhosts: ​  ​1000000 ​                        #​nombre de host qui peuve etre mis en cache
 +do-ip6: ​                ​no ​                             #desactive les requetes ipv6
 +tcp-idle-timeout: ​      ​15000 ​                          #​delai avant de signialer un timout sur la connextion
  
 +harden-below-nxdomain: ​ yes
 +harden-dnssec-stripped:​ yes                             #​DNSSEC pour les zones de confiance
 +val-clean-additional: ​  ​no ​                             #toutes les données DNS non sécurisées son effacee
 +do-not-query-localhost:​ yes                             #​permet d'​interoger localhost
 +so-reuseport: ​          ​yes ​                            #​linux seulment ameliore les performance udp
 +#​serve-expired:​ <yes or no> ​                            # tester
 +num-threads:​ 4
 +key-cache-slabs:​ 8
 +infra-cache-slabs:​ 8
 +msg-cache-slabs:​ 8
 +rrset-cache-slabs:​ 8
 +key-cache-size: ​        100m
 +key-cache-slabs: ​       2m
 +harden-short-bufsize: ​  ​yes ​                            #​contre les très petites tailles de mémoire tampon EDNS.
 +harden-large-queries: ​  ​yes ​                            #​contre les requêtes volumineuses
 +num-queries-per-thread:​ 100
 +
 +val-log-level: ​         2                               #log
 +verbosity: ​             5                               #​plage de 1 a 5 , 5 permet le plus parlant
 +log-time-ascii: ​        ​yes ​                            #​valable sur un autre fichier que syslog
 +log-queries: ​           yes                             #​affiche une ligne par requete
 +log-replies: ​           yes                             #​affiche une ligne par requete,​(réponse)
 +log-local-actions: ​     yes                             #​affiche les info de la zone local
 +log-servfail: ​          ​yes ​                            #​afficher pourquoi les requêtes renvoient SERVFAIL Ref doc
 +
 +logfile: ​               /​var/​log/​unbound.log ​           #chemin d'​accès
 +
 +#​private-domain: ​               "​domroxlan.dom" ​                #​domaine local
 +
 +forward-zone:​
 +        name: "​."​
 +#​forward-addr:​ 192.168.0.1@53
 +forward-addr:​ 1.1.1.1@53
 +forward-addr:​ 1.0.0.1@53
 +forward-addr:​ 65.2.17.60@53
 +forward-addr:​ 65.2.17.61@53
 +forward-addr:​ 66.2.24.158@53
 +forward-addr:​ 67.2.24.162@53
 +forward-addr:​ 8.8.8.8@53
 +</​code>​
 +
 +
 +il peux être nécessaire de changer le fichier
 +
 +<code root>/​etc/​resolv.conf</​code>​
 +
 +de façons a ce qu'il contienne :
 +<code root>
 +nameserver 127.0.0.1
 +</​code>​
 +
 +Rappelle: Ce fichier a la fâcheuse tendance a ce modifier. Vous pouvez donc le verrouiller avec la commande chattr,
 +**Attention** c'est pas anodin car le système ne peux plus mettre a jour le fichier.
 +Par exemple, si vous supprimer le paquer unbound l'ip ne pourra plus ce mettre à jours. (c'est un exemple parmi les nombreuse autres mauvaise surprise qui en découle.)
 +
 +Pour tester utiliser la commande: dig 
 +
 +Si vous êtes sur un O.S propriétaire il peux s'​avérer utile d'y effacer le cache dns sur un client windows on utilisera: ​
 +<​code>​ipconfig /flushdns </​code>​
 +
 +
 +
 +A partir la cela devrai suffire pour une connexion filaire, ​
 +
 +
 +
 +
 +
 +===== a suivre le wifi =====
  
  
atelier/chantier/une-box-maison.txt · Dernière modification: 29/10/2022 11:39 par ubub
Donate Powered by PHP Valid HTML5 Valid XHTML 1.0 Valid CSS Driven by DokuWiki

Pied de page des forums

Propulsé par FluxBB