63 lines
1.6 KiB
Markdown
63 lines
1.6 KiB
Markdown
---
|
|
categories: openbsd network
|
|
title: HowToOpenBSD/Unbound
|
|
---
|
|
|
|
Voici ce que doit contenir le fichier `/var/unbound/etc/unbound.conf`
|
|
|
|
~~~
|
|
server:
|
|
# interface sur laquelle le daemon écoute
|
|
interface: XX.XX.XX.XX
|
|
interface: 127.0.0.1
|
|
interface: ::1
|
|
|
|
access-control: 0.0.0.0/0 refuse
|
|
access-control: 127.0.0.0/8 allow
|
|
# important, on précise qui pourra interroger le service
|
|
access-control: XX.XX.XX.0/24 allow
|
|
access-control: ::0/0 refuse
|
|
access-control: ::1 allow
|
|
|
|
hide-identity: yes
|
|
hide-version: yes
|
|
|
|
auto-trust-anchor-file: "/var/unbound/db/root.key"
|
|
~~~
|
|
|
|
On active unbound dans `rc.conf.local` et on démarre le daemon !
|
|
|
|
~~~
|
|
# rcctl enable unbound
|
|
# rcctl start unbound
|
|
~~~
|
|
|
|
## Utiliser un serveur dns particulier pour une zone
|
|
|
|
On pourra forwarder certaines requêtes vers un serveur différent en rajoutant les directives ci-dessous :
|
|
|
|
~~~
|
|
forward-zone:
|
|
name: "foo.local."
|
|
forward-addr: 192.0.2.1
|
|
forward-first: yes
|
|
~~~
|
|
|
|
Dans le cas présent, les requêtes concernent une zone locale, ainsi afin d'éviter une vérification DNSSEC pour ces dernières on ajoutera la directive suivante dans la configuration de unbound :
|
|
|
|
~~~
|
|
domain-insecure: "foo.local."
|
|
~~~
|
|
|
|
## Rajouter / modifier un enregistrement DNS
|
|
|
|
Parfois on veut pouvoir modifier un enregistrement DNS, par exemple
|
|
quand on a un VPN. On peut utiliser `/etc/hosts` pour les champs A
|
|
mais pas pour les MX. On peut donc utiliser unbound pour mentir :
|
|
|
|
~~~
|
|
local-zone: "example.com." typetransparent
|
|
local-data: "example.com. IN MX 10 fakemx.example.com."
|
|
local-data: "fakemx.example.com. IN A 192.168.1.3"
|
|
~~~
|