From c33d4d29b0ef3674bc3b202b0ea60aa9556d41ec Mon Sep 17 00:00:00 2001 From: Alexandre Pion Date: Wed, 28 Oct 2020 10:49:09 +0100 Subject: [PATCH] Utilisation d'une unique adresse loopback --- README.md | 20 ++++---------------- 1 file changed, 4 insertions(+), 16 deletions(-) diff --git a/README.md b/README.md index 6c60c62..2e7c897 100644 --- a/README.md +++ b/README.md @@ -94,11 +94,10 @@ server: port: 53 - # refuser tout le monde sauf les connexions locales (IPv4 et IPv6) + # refuser tout le monde sauf les connexions locales (pas forcément + # nécessaire vu que le serveur n'écoute que sur la boucle locale en IPv4) access-control: 0.0.0.0/0 refuse access-control: 127.0.0.1/32 allow - access-control: ::0/0 refuse - access-control: ::1 allow # par défaut, unbound ne log pas les requêtes ni les réponses # on peut le rappeler au cas où @@ -113,15 +112,6 @@ server: qname-minimisation-strict: yes ``` -Il est tout à fait possible de désactiver IPv4 ou IPv6, pour cela ne pas -définir l'interface associée et ajouter la règle suivante en fonction : - -``` -server: - do-ip4: no # désactive IPv4 - do-ip6: no # désactive IPv6 -``` - Enregistrer le contenu de ce fichier dans `/etc/unbound/unbound.conf`. Il est possible de vérifier la validité du fichier de configuration avec la commande suivante : @@ -183,13 +173,11 @@ afnic.fr. 600 IN AAAA 2001:67c:2218:302::51:231 ``` Une réponse est bien renvoyée. Le résolveur fonctionne. Il est possible de -s'assurer que tout est opérationnel en IPv6, et en utilisant UDP et TCP. +s'assurer que tout est opérationnel en IPv4, et en utilisant UDP et TCP. ``` $ dig +notcp @127.0.0.1 AAAA afnic.fr # connexion UDP en IPv4 au résolveur $ dig +tcp @127.0.0.1 AAAA afnic.fr # connexion TCP en IPv4 au résolveur -$ dig +notcp @::1 AAAA afnic.fr # connexion UDP en IPv6 au résolveur -$ dig +tcp @::1 AAAA afnic.fr # connexion TCP en IPv6 au résolveur ``` À ce stade, un résolveur Unbound est configuré en local et écoute sur le port @@ -200,7 +188,7 @@ de la machine. Cette section s'attarde sur l'installation et la configuration d'un frontal DoT/DoH qui transmettra les requêtes DNS à un résolveur local écoutant sur le -port 53 de l'interface local `127.0.0.1` (IPv4) et/ou `::1` (IPv6). +port 53 de l'interface local `127.0.0.1` (IPv4). Ici `dnsdist` se trouve être une très bonne solution pour remplir ce rôle.