From 7e5236d81890e25ad964d4870634b8e093dba11f Mon Sep 17 00:00:00 2001 From: lpoujol Date: Thu, 7 Dec 2023 17:49:04 +0100 Subject: [PATCH] =?UTF-8?q?Compl=C3=A9ments=20unbound?= MIME-Version: 1.0 Content-Type: text/plain; charset=UTF-8 Content-Transfer-Encoding: 8bit --- HowtoUnbound.md | 18 +++++++++++++++--- 1 file changed, 15 insertions(+), 3 deletions(-) diff --git a/HowtoUnbound.md b/HowtoUnbound.md index 747dad1c..3800a89c 100644 --- a/HowtoUnbound.md +++ b/HowtoUnbound.md @@ -37,6 +37,8 @@ Unbound est intégré dans la base d'OpenBSD, il est donc déjà présent. ou +### Emplacement de la configuration sous Debian + Fichiers de configuration sous Debian : ~~~ @@ -47,7 +49,7 @@ Fichiers de configuration sous Debian : │ └── root-auto-trust-anchor-file.conf ~~~ -**Remarque** : Dans Debian 11 et précédents, le fichier `/etc/unbound/unbound.conf.d/remote-control.conf` n'est pas présent. Les opérations de rechargement de la configuration (avec `systemctl reload unbound.service`) ne fonctionnent pas. Mais on peut manuellement rajouer ce fichier : +**Remarque** : Dans Debian 11 et précédents, le fichier `/etc/unbound/unbound.conf.d/remote-control.conf` n'est pas présent. Les opérations de rechargement de la configuration (avec `systemctl reload unbound.service`) ne fonctionnent pas. Mais on peut manuellement rajouter le fichier suivant pour que ça puisse fonctionner : ~~~ remote-control: @@ -57,13 +59,17 @@ remote-control: control-interface: /run/unbound.ctl ~~~ -Fichiers de configuration sous OpenBSD (Unbound est dans un chroot) : +### Emplacement de la configuration sous OpenBSD + +Fichiers de configuration sous OpenBSD (Attention, Unbound est dans un chroot dans `/var/unbound/`) : ~~~ /var/unbound/etc/ └── unbound.conf ~~~ +### Configuration générale + Par défaut, Unbound écoute uniquement sur _localhost_, la configuration minimale suivante consiste surtout à le sécuriser : ~~~ @@ -72,11 +78,17 @@ server: hide-version: yes ~~~ -Si l'on veut le faire écouter sur un réseau local, il faut ajuster les directives `interface` et `access-control` : +Si l'on veut le faire écouter sur un réseau local, il faut ajuster les directives `interface` et `access-control` : +* La directive `interface ` permet de préciser sur quelles IP ou interfaces réseau Unbound doit se mettre en écoute. On peut préciser le port aussi, avec `@PORT`. Exemple `interface: 192.0.2.254`, `interface: ens3` ou `interface: 192.0.2.1@5353` + +* La directive `access-control ` permet de faire des d'autorisation pour permettre ou non l'utilisation du résolveur. Les valeurs habituelles pour `` sont deny (ignore sans répondre), refuse (répond avec un message d'erreur), allow (autorise l'usage du résolveur). + +Exemple : ~~~ server: interface: 192.0.2.254 + interface: 192.0.2.254@5353 interface: 127.0.0.1 interface: ::1