francois/resolveur-dot-doh
1
0
Fork 0
Code Issues Pull Requests Actions Packages Projects Releases Wiki Activity

Utilisation d'une unique adresse loopback

Browse Source
This commit is contained in:
Alexandre Pion
2020-10-28 10:49:09 +01:00
parent c05154bd55
commit c33d4d29b0
1 changed files with 4 additions and 16 deletions
Download Patch File Download Diff File Expand all files Collapse all files

20
README.md
View File

@@ -94,11 +94,10 @@ server:
port: 53 port: 53
# refuser tout le monde sauf les connexions locales (IPv4 et IPv6) # refuser tout le monde sauf les connexions locales (pas forcément
# nécessaire vu que le serveur n'écoute que sur la boucle locale en IPv4)
access-control: 0.0.0.0/0 refuse access-control: 0.0.0.0/0 refuse
access-control: 127.0.0.1/32 allow access-control: 127.0.0.1/32 allow
access-control: ::0/0 refuse
access-control: ::1 allow
# par défaut, unbound ne log pas les requêtes ni les réponses # par défaut, unbound ne log pas les requêtes ni les réponses
# on peut le rappeler au cas où # on peut le rappeler au cas où
@@ -113,15 +112,6 @@ server:
qname-minimisation-strict: yes qname-minimisation-strict: yes
``` ```
Il est tout à fait possible de désactiver IPv4 ou IPv6, pour cela ne pas
définir l'interface associée et ajouter la règle suivante en fonction :
```
server:
do-ip4: no # désactive IPv4
do-ip6: no # désactive IPv6
```
Enregistrer le contenu de ce fichier dans `/etc/unbound/unbound.conf`. Il est Enregistrer le contenu de ce fichier dans `/etc/unbound/unbound.conf`. Il est
possible de vérifier la validité du fichier de configuration avec la commande possible de vérifier la validité du fichier de configuration avec la commande
suivante : suivante :
@@ -183,13 +173,11 @@ afnic.fr. 600 IN AAAA 2001:67c:2218:302::51:231
``` ```
Une réponse est bien renvoyée. Le résolveur fonctionne. Il est possible de Une réponse est bien renvoyée. Le résolveur fonctionne. Il est possible de
s'assurer que tout est opérationnel en IPv6, et en utilisant UDP et TCP. s'assurer que tout est opérationnel en IPv4, et en utilisant UDP et TCP.
``` ```
$ dig +notcp @127.0.0.1 AAAA afnic.fr # connexion UDP en IPv4 au résolveur $ dig +notcp @127.0.0.1 AAAA afnic.fr # connexion UDP en IPv4 au résolveur
$ dig +tcp @127.0.0.1 AAAA afnic.fr # connexion TCP en IPv4 au résolveur $ dig +tcp @127.0.0.1 AAAA afnic.fr # connexion TCP en IPv4 au résolveur
$ dig +notcp @::1 AAAA afnic.fr # connexion UDP en IPv6 au résolveur
$ dig +tcp @::1 AAAA afnic.fr # connexion TCP en IPv6 au résolveur
``` ```
À ce stade, un résolveur Unbound est configuré en local et écoute sur le port À ce stade, un résolveur Unbound est configuré en local et écoute sur le port
@@ -200,7 +188,7 @@ de la machine.
Cette section s'attarde sur l'installation et la configuration d'un frontal Cette section s'attarde sur l'installation et la configuration d'un frontal
DoT/DoH qui transmettra les requêtes DNS à un résolveur local écoutant sur le DoT/DoH qui transmettra les requêtes DNS à un résolveur local écoutant sur le
port 53 de l'interface local `127.0.0.1` (IPv4) et/ou `::1` (IPv6). port 53 de l'interface local `127.0.0.1` (IPv4).
Ici `dnsdist` se trouve être une très bonne solution pour remplir ce rôle. Ici `dnsdist` se trouve être une très bonne solution pour remplir ce rôle.