francois/resolveur-dot-doh
1
0
Fork 0
Code Issues Pull Requests Actions Packages Projects Releases Wiki Activity

Fix

Browse Source
This commit is contained in:
francois
2024-07-02 00:04:57 +02:00
parent 2c5b689180
commit 3ca8d6fdd3
1 changed files with 8 additions and 7 deletions
Download Patch File Download Diff File Expand all files Collapse all files

15
README.md
View File

@@ -46,8 +46,9 @@ système d'exploitation Debian 10.
* [Automatisation avec cron](#automatisation-avec-cron)
* [Automatisation avec un timer systemd](#automatisation-avec-un-timer-systemd)
* [Remarques](#remarques)
* [Partie V - NGINX Reverse proxy](#partie-v-nginx-reverse-proxy)
* [Partie IV - Testez votre résolveur avec l'outil Homer](#partie-iv-testez-votre-résolveur-avec-loutil-homer)
* [Partie V - Utilisez votre résolveur](#partie-v-utilisez-votre-résolveur)
* [Partie VI - Utilisez votre résolveur](#partie-vi-utilisez-votre-résolveur)
---
@@ -65,7 +66,7 @@ La solution technique retenue ici pour le résolveur DoT/DoH est composée d'un
frontal dnsdist qui assure la terminaison des sessions TLS et HTTPS et transmet
les requêtes vers un résolveur DNS unbound installé en local sur la machine.
# Partie I - Résolveur
# Partie I - Résolveur {#partie-i-résolveur}
Commençons par installer et configurer le résolveur DNS. Il existe plusieurs
logiciels pour faire de la résolution comme [BIND 9](https://www.isc.org/bind),
@@ -203,7 +204,7 @@ $ dig +tcp @127.0.0.1 AAAA afnic.fr # connexion TCP en IPv4 au résolveur
`53`. Il peut donc être utilisé pour résoudre toutes les requêtes en provenance
de la machine.
# Partie II - Frontal DNS
# Partie II - Frontal DNS {#partie-ii-frontal-dns}
Cette section s'attarde sur l'installation et la configuration d'un frontal
DoT/DoH qui transmettra les requêtes DNS à un résolveur local écoutant sur le
@@ -420,7 +421,7 @@ $ dnsdist -c 127.0.0.1:5199
1 [2001:db8::19]:443 0 0 0 0 0 0
```
# Partie III - Gestion des certificats
# Partie III - Gestion des certificats {#partie-iii-gestion-des-certificats}
Afin de pouvoir proposer une connexion sécurisée au résolveur, il est
nécessaire de posséder au moins un certificat par service. Il est tout à fait
@@ -635,7 +636,7 @@ l'option `--post-hook "systemctl start program"`.
$ sudo certbot renew --pre-hook "systemctl stop apache2" --post-hook "systemctl start apache2" --deploy-hook "/path/to/deploy-cert.sh"
```
# Partie IV - Testez votre résolveur avec l'outil Homer
# Partie IV - Testez votre résolveur avec l'outil Homer {#partie-iv-testez-votre-résolveur-avec-loutil-homer}
Pour s'assurer que le résolveur fonctionne de manière nominal, il est possible
d'utiliser Homer.
@@ -734,7 +735,7 @@ framasoft.org. 3600 IN AAAA 2a01:4f8:141:3421::212
Total elapsed time: 0.04 seconds (41.83 ms/request)
```
# Partie V - NGINX Reverse proxy
# Partie V - NGINX Reverse proxy {#partie-v-nginx-reverse-proxy}
Il est possible d'utiliser NGINX pour diriger le flux vers le serveur DoH en local. Pour ce faire, modifier le fichier dnsdist.conf comme ci.
@@ -781,7 +782,7 @@ server {
Ici on utilise grpc_pass grpc://dns-backend parce qu'à partir de la version 1.9 de dnsdist, il n'y a plus de support HTTP/1 mais HTTP/2. Or, NGINX ne supporte que HTTP/1. La solution de contournement consiste à utiliser grpc_pass.
# Partie VI - Utilisez votre résolveur
# Partie VI - Utilisez votre résolveur {#partie-vi-utilisez-votre-résolveur}
Vous voilà désormais en possession d'un résolveur DoT/DoH public.