evolix/wiki
22
0
Fork 0
Code Releases Activity

Compléments unbound

Browse source
This commit is contained in:
Ludovic Poujol 2023-12-07 17:49:04 +01:00
parent 0faa0cc1d7
commit 7e5236d818
1 changed files with 15 additions and 3 deletions
Show stats Download patch file Download diff file Expand all files Collapse all files

18
HowtoUnbound.md
View file

@ -37,6 +37,8 @@ Unbound est intégré dans la base d'OpenBSD, il est donc déjà présent.
<https://manpages.debian.org/bookworm/unbound/unbound.conf.5.en.html> ou <https://man.openbsd.org/unbound.conf>
### Emplacement de la configuration sous Debian
Fichiers de configuration sous Debian :
~~~
@ -47,7 +49,7 @@ Fichiers de configuration sous Debian :
│ └── root-auto-trust-anchor-file.conf
~~~
**Remarque** : Dans Debian 11 et précédents, le fichier `/etc/unbound/unbound.conf.d/remote-control.conf` n'est pas présent. Les opérations de rechargement de la configuration (avec `systemctl reload unbound.service`) ne fonctionnent pas. Mais on peut manuellement rajouer ce fichier :
**Remarque** : Dans Debian 11 et précédents, le fichier `/etc/unbound/unbound.conf.d/remote-control.conf` n'est pas présent. Les opérations de rechargement de la configuration (avec `systemctl reload unbound.service`) ne fonctionnent pas. Mais on peut manuellement rajouter le fichier suivant pour que ça puisse fonctionner :
~~~
remote-control:
@ -57,13 +59,17 @@ remote-control:
control-interface: /run/unbound.ctl
~~~
Fichiers de configuration sous OpenBSD (Unbound est dans un chroot) :
### Emplacement de la configuration sous OpenBSD
Fichiers de configuration sous OpenBSD (Attention, Unbound est dans un chroot dans `/var/unbound/`) :
~~~
/var/unbound/etc/
└── unbound.conf
~~~
### Configuration générale
Par défaut, Unbound écoute uniquement sur _localhost_, la configuration minimale suivante consiste surtout à le sécuriser :
~~~
@ -72,11 +78,17 @@ server:
hide-version: yes
~~~
Si l'on veut le faire écouter sur un réseau local, il faut ajuster les directives `interface` et `access-control` :
Si l'on veut le faire écouter sur un réseau local, il faut ajuster les directives `interface` et `access-control` :
* La directive `interface <Adresse IP ou Nom d'interface réseau [@PORT]>` permet de préciser sur quelles IP ou interfaces réseau Unbound doit se mettre en écoute. On peut préciser le port aussi, avec `@PORT`. Exemple `interface: 192.0.2.254`, `interface: ens3` ou `interface: 192.0.2.1@5353`
* La directive `access-control <Bloc IP> <action>` permet de faire des d'autorisation pour permettre ou non l'utilisation du résolveur. Les valeurs habituelles pour `<action>` sont deny (ignore sans répondre), refuse (répond avec un message d'erreur), allow (autorise l'usage du résolveur).
Exemple :
~~~
server:
interface: 192.0.2.254
interface: 192.0.2.254@5353
interface: 127.0.0.1
interface: ::1