Vous êtes sur la page 1sur 5

Installer et configurer son serveur DNS connect aux serveurs ro...

http://homeserver-diy.net/wiki/index.php?title=Installer_et_conf...

Accueil
Documentations
Forum
A propos

Page
Discussion
Lire
Voir le texte source
Afficher lhistorique
Lire

Rechercher

Installer et configurer son serveur DNS connect


aux serveurs root avec Unbound
De HomeServer.DIY.
Sur un rseau IP chaque machine est joignable par une adresse unique qui est son adresse IP. Elle se
prsente sous la forme de nombres spars par des points. Par exemple, 158.88.4.144. Mais les
utilisateurs trouvent souvent assez peu pratique de travailler avec ces nombres et prfrent utiliser un
nom de domaine comme homeserver-diy.net. Pour traduire un nom de domaine en adresse IP de faon
ce que la machine cliente s'adresse au bon endroit, elle utilisera le protocole DNS. Pour simplifier,
lorsque vous demanderez votre PC de joindre un nom de domaine, il fera une requte un serveur
DNS qui lui rpondra en lui disant quelle adresse IP correspond ce domaine. Ce tuto va expliquer
comment mettre en place votre propre serveur DNS pour en tirer plusieurs bnfices.

Sommaire
1 Informations succinctes propos du DNS:
2 Les avantages d'avoir son propre serveur DNS:
3 Installation d'Unbound
4 Configuration d'unbound
5 Faire mentir son serveur DNS contre les pubs sur internet
6 Utilisation
7 Sources

1 sur 5

11/07/2015 18:34

Installer et configurer son serveur DNS connect aux serveurs ro...

http://homeserver-diy.net/wiki/index.php?title=Installer_et_conf...

Informations succinctes propos du DNS:


Les serveurs DNS sont des machines discutant entre elles afin de se communiquer les correspondances
entre nom de domaine et adresses IP. Lors des requtes faites par un client, les serveurs DNS rpondent
de faon hirarchise pour rsoudre les diffrents composants d'un nom de domaine. Typiquement,
"homeserver-diy", ".", "net" (dans un ordre diffrent). Pour acclrer ces rsolutions, les serveurs DNS
peuvent s'appuyer sur un systme de cache limitant le nombre de requtes. De ce fait, les performances
d'un serveur DNS augmentent dans le temps car celui-ci cherche d'abord rsoudre les noms de
domaines via ce cache avant dinterroger ses comparses.

Les avantages d'avoir son propre serveur DNS:


Premirement, pour ceux qui installeraient un serveur sur leur rseau local, ils rduiront notablement le
temps que prennent les requtes DNS. En effet, en configurant le serveur pour qu'il conserve les donnes
en cache, les requtes se feront sans intermdiaires et en profitant des performances de votre rseau
local. Ce qui rendra la navigation plus fluide.
Ensuite, cela permet de faire en sorte que les requtes envoyes notre serveur soient transmises
directement aux serveurs racines si il est configur pour. Le but tant de conserver la neutralit de son
internet. En effet, si l'on passe par un serveur DNS contrl par un organisme, une socit ou un tat, il
se pourrait qu'ils aient un intrt analyser vos requtes pour diverses raisons (enregistrement de vos
habitudes de surf, priorisation ou limitation du dbit vers certains sites...). Ils pourraient aussi en profiter
pour faire mentir le serveur et par exemple faire disparaitre des sites de votre internet.
Autre point en rapport avec le prcdent, la possibilit de censurer l'accs certains noms de domaine.
Non pas pour jouer l'apprenti dictateur, mais par exemple fermer l'accs aux domaines des rgies
publicitaires comme googlesyndication.com, doubleclick.net, ads.youtube.com, adserver.yahoo.com. Le
principe tant de configurer votre serveur de DNS pour que ces noms de domaines pointent vers une
adresse ip ne pouvant rien renvoyer. Ce qui empchera l'affichage des pubs.

Installation d'Unbound
Unbound est disponible sur les dpts de la plus part des distributions linux. Dans cet article unbound
sera install sur une debian. L'installation se fait comme tout paquet via le terminal:
aptitude install unbound

Ensuite on tlcharge un fichier nomm named.cache et on l'enregistre directement dans le rpertoire


/var/lib/unbound/ en le renommant root.hints
wget ftp://FTP.INTERNIC.NET/domain/named.cache -O /var/lib/unbound/root.hints

Ce fichier est la liste des serveurs DNS racines sur lequel s'appuiera unbound pour rpondre aux
requtes.
2 sur 5

11/07/2015 18:34

Installer et configurer son serveur DNS connect aux serveurs ro...

http://homeserver-diy.net/wiki/index.php?title=Installer_et_conf...

Configuration d'unbound
Voici un fichier de configuration qui sera une bonne base pour avoir un serveur DNS bien configur.
Certains choix me sont propres, et j'ai tent d'tre suffisamment explicite dans les commentaires de ce
fichier pour que vous puissiez l'adapter via winscp ou votre diteur de texte favori en ligne de
commande. Celui-ci se situe cet endroit de l'arborescence:
/etc/unbound/unbound.conf

# Unbound configuration file for Debian.


#
# See the unbound.conf(5) man page.
#
# See /usr/share/doc/unbound/examples/unbound.conf for a commented
# reference config file.
server:
# Les lignes suivantes concernent la configuration de unbound pour les
# performance crypto DNSSEC en utilisant la cl des serveurs root
auto-trust-anchor-file: "/var/lib/unbound/root.key"
# Activer les logs
verbosity: 1
#Rpondre aux requtes DNS sur toutes les interfaces rseau.
interface: 0.0.0.0
#Port sur lequel sont fait les requtes DNS
port: 53
#support de l'IPv4
do-ip4: yes
#support de l'IPv6
do-ip6: no
#support udp
do-udp: yes
#support tcp
do-tcp: yes
#plages adresse ip autorise consulter le serveur dns
#access-control: 127.0.0.0/8 allow
#access-control: 192.168.1.0/24 allow
#access-control: 192.168.1.26
#emplacement du fichier indiquant les infos pour consulter les serveurs DNS root
#fichier tlcharger l cette adresse: ftp://FTP.INTERNIC.NET/domain/named.cache
root-hints: "/var/lib/unbound/root.hints"
#Cacher les infos sur le serveur DNS
hide-identity: yes
hide-version: yes
#paramtre limitant l'usurpation de DNS
harden-glue: yes
#Requrir les infos DNSSEC pour les zones de confiance
harden-dnssec-stripped: yes
#Options permettant de ne pas prendre la casse en compte lors des requtes d'url.
#HomeServer-DIY.net sera traduit en homeserver-diy.net par le serveur et il communiquera la bonne IP
use-caps-for-id: yes
#valeur mini de la TTL en secondes. Ne pas dpasser 1h
cache-min-ttl: 3600
#valeur max de la TTL en secondes.
cache-max-ttl: 86400
#activation du prefetch. Si un requte est faite lorsque la tll expire dans moins de 10% du temps qu'il lui est impar
#le cache se mettra jour aussitt aprs avoir rpondu la requte.
prefetch: yes
#nombre de core du serveur dns
num-threads: 2
## Tweaks et optimisations du cache
#Nombre de slabs utiliser . Doit tre une puissance de 2 du num-threads.
msg-cache-slabs: 8
rrset-cache-slabs: 8
infra-cache-slabs: 8
key-cache-slabs: 8

3 sur 5

11/07/2015 18:34

Installer et configurer son serveur DNS connect aux serveurs ro...

http://homeserver-diy.net/wiki/index.php?title=Installer_et_conf...

#Rglage de la taille du cache en Mo:


rrset-cache-size: 51m
msg-cache-size: 25m
#Taille du buffer pour le port UPD en entre. Evite la perte de message lors des requtes
so-rcvbuf: 1m
#Renforcer la vie prive des adresses du LAN. Ne mettre que des adresses locales
private-address: 192.168.1.0/24
#Si non nulles, les rponses indsirables ne sont pas seulement signals dans les statistiques,
#mais aussi ajoutes un total cumul maintenu par thread.
#Si elle atteint le seuil, un avertissement est affich et une action dfensive est prise, le cache est vid pour vi
#Une valeur de 10000 est suggre, la valeur par dfaut est de 0 (service dsactiv).
unwanted-reply-threshold: 10000
#Autoris rpondre aux requtes du localhost
do-not-query-localhost: no
#Emplacement du fichier root.key pour utilisation de DNSSEC
#auto-trust-anchor-file: "/var/lib/unbound/root.key"
# Est-ce que cette section supplmentaire, doit tre conserve intacte pour les donnes non-scurises
# Utile pour protger les utilisateurs d'une validation de donnes potentiellement bogues
# Toutes les donnes non signs dans la section supplmentaire seront retirs des messages scuriss
val-clean-additional: yes

Faire mentir son serveur DNS contre les pubs sur internet
Cette dernire partie va l'encontre de la neutralit d'internet puisque les machines qui utiliseront votre
serveur unbound configur de la sorte ne verront pas les pages web tel qu'elles le sont en ralit. En effet,
de nombreuses pages web contiennent du code permettant d'afficher des pubs et s'appuyant sur les noms
de domaines des rgies publicitaires de google, yahoo etc. Lors du chargement de la page, votre
ordinateur fera donc une requte DNS pour rsoudre les domaines de ces rgies. Si vous configurez
unbound pour qu'il rponde que l'adresse ip de ces domaines soit des ip fausses, les pubs en question ne
s'afficheront pas. Dans mon cas je donne une adresse IP de mon rseau local n'tant pas attribue. Mais
celle du localhost de l'exemple fonctionne aussi trs bien. Voici ce qu'il suffit d'ajouter la fin du fichier
unbound.conf:
local-zone:
local-data:
local-zone:
local-data:
local-zone:
local-data:
local-zone:
local-data:
local-zone:
local-data:
local-zone:
local-data:

"doubleclick.net" redirect
"doubleclick.net A 127.0.0.1"
"googlesyndication.com" redirect
"googlesyndication.com A 127.0.0.1"
"googleadservices.com" redirect
"googleadservices.com A 127.0.0.1"
"google-analytics.com" redirect
"google-analytics.com A 127.0.0.1"
"ads.youtube.com" redirect
"ads.youtube.com A 127.0.0.1"
"adserver.yahoo.com" redirect
"adserver.yahoo.com A 127.0.0.1"

Cette liste n'est pas exhaustive. Mais le fichier suivant contient un grand nombre de domaines utiliss par
un grande nombre de rgies publicitaires: Fichier:Regies pub.odt
Vous n'aurez qu' faire votre choix.

Utilisation
Je ne vais pas dtailler la configuration de chaque poste client auquel vous destinez votre serveur DNS
car c'est dpendant de votre OS. Sachez que le protocole DHCP gre trs bien cela tout seul. Il suffit

4 sur 5

11/07/2015 18:34

Installer et configurer son serveur DNS connect aux serveurs ro...

http://homeserver-diy.net/wiki/index.php?title=Installer_et_conf...

donc de dclarer l'adresse de votre serveur hbergeant unbound sur votre box ou votre routeur pour que
toutes vos machines utilisent ce nouveau service auto-hberg.

Sources
Cet article est adapt de celui de Vincent Rabah sur son site:
http://www.it-wars.com/dns-back-to-the-roots/
Je remercie d'ailleurs Vincent pour son coup main dans la comprhension du fichier de conf.
Rcupre de http://homeserver-diy.net
/wiki/index.php?title=Installer_et_configurer_son_serveur_DNS_connect
%C3%A9_aux_serveurs_root_avec_Unbound&oldid=450

Utilisateur
Connexion

Navigation
Accueil
Communaut
Actualits
Modifications rcentes
Page au hasard
Aide

Bote outils
Pages lies
Suivi des pages lies
Pages spciales
Version imprimable
Adresse de cette version

Copyright HomeServer-DIY par Nicolas et Tom23

5 sur 5

11/07/2015 18:34