Ci-dessous, les différences entre deux révisions de la page.
Les deux révisions précédentes Révision précédente Prochaine révision | Révision précédente | ||
debian10:dns_unbound [2020/05/10 16:32] jpg [Ma configuration] |
debian10:dns_unbound [2020/05/10 17:59] (Version actuelle) jpg [Blocage des DMP avec Unbound] |
||
---|---|---|---|
Ligne 5: | Ligne 5: | ||
La source de la documentation officielle (en anglais) [[https://nlnetlabs.nl/documentation/unbound/ | est ici.]] | La source de la documentation officielle (en anglais) [[https://nlnetlabs.nl/documentation/unbound/ | est ici.]] | ||
- | Je me suis aussi inspiré d'un tuto de [[https://static.cinay.xyz/ | Yannick]] sur le sujet mais qui n'est plus disponible pour le moment. | + | Je me suis aussi inspiré d'un tuto de [[https://static.cinay.xyz/2018/04/unbound-resolveur-DNS.html | Yannick]] sur le sujet. |
===== Installation ===== | ===== Installation ===== | ||
sudo apt update && sudo apt upgrade | sudo apt update && sudo apt upgrade | ||
Ligne 47: | Ligne 46: | ||
On peut modifier directement ce fichier mais personnellement je préfère créer deux fichiers contenant ma config dans **/etc/unbound/unbound.conf.d/perso.conf** et **/etc/unbound/unbound.conf.d/default.conf** | On peut modifier directement ce fichier mais personnellement je préfère créer deux fichiers contenant ma config dans **/etc/unbound/unbound.conf.d/perso.conf** et **/etc/unbound/unbound.conf.d/default.conf** | ||
- | Mes fichiers de configuration amplement inspirer du web. \\ | + | Mes fichiers de configuration amplement inspiré du web. \\ |
[[http://download.tuxfamily.org/popaul77/gulliver77/default.conf | Le fichier de configuration du serveur.]]\\ | [[http://download.tuxfamily.org/popaul77/gulliver77/default.conf | Le fichier de configuration du serveur.]]\\ | ||
[[http://download.tuxfamily.org/popaul77/gulliver77/perso.conf | Mon fichier perso.]] | [[http://download.tuxfamily.org/popaul77/gulliver77/perso.conf | Mon fichier perso.]] | ||
Ligne 89: | Ligne 88: | ||
# Blocage des sites de pub et plus | # Blocage des sites de pub et plus | ||
include: "/etc/unbound/unbound.conf.d/adslist" | include: "/etc/unbound/unbound.conf.d/adslist" | ||
+ | |||
+ | </code> | ||
+ | |||
+ | //Il est possible d'améliorer la configuration du serveur en limitant les requettes au réseau local et plein d'autre chose mais j'ai encore quelques tests a faire avant de modifier ma configuration par défaut.//\\ | ||
+ | [[https://nlnetlabs.nl/documentation/unbound/howto-optimise/ | Optimiser unbound.]] | ||
+ | |||
+ | Quelques paramètres a modifier: | ||
+ | <code> | ||
+ | interface: 192.168.1.74 | ||
+ | interface: ::1 | ||
+ | do-ip4: yes | ||
+ | do-ip6: yes | ||
+ | do-udp: yes | ||
+ | do-tcp: yes | ||
+ | |||
+ | # autoriser mon serveur | ||
+ | access-control: 127.0.0.0/8 allow | ||
+ | |||
+ | # autoriser les réseaux locaux | ||
+ | access-control: 192.168.1.0/24 allow | ||
+ | access-control: 192.168.2.0/24 allow | ||
+ | |||
+ | # interdire tout le reste | ||
+ | access-control: 0.0.0.0/0 refuse | ||
+ | |||
+ | Temps de rétention du cache | ||
+ | cache-min-ttl: 3600 | ||
+ | cache-max-ttl: 86400 | ||
+ | |||
+ | Nombre de réponses pourries avant que le cache se vide | ||
+ | unwanted-reply-threshold: 10000 | ||
</code> | </code> | ||
Ligne 111: | Ligne 141: | ||
</code> | </code> | ||
==== Vérification et redémarrage ==== | ==== Vérification et redémarrage ==== | ||
- | unbound-checkconf va lire le fichier et afficher les erreurs (corriger si nécessaire). | + | Tester le fichier de configuration. |
- | | + | unbound-checkconf |
+ | Redemarrer unbound | ||
systemctl start unbound (démarre le serveur) | systemctl start unbound (démarre le serveur) | ||
systemctl reload unbound recharge la configuration) | systemctl reload unbound recharge la configuration) | ||
Ligne 214: | Ligne 245: | ||
NOTE: Cette procédure n'est valide qu'avec une version égale ou supérieure à la version 1.7 de unbound, sur Raspbian ou Debian il faut donc une Buster (10) pour avoir cette version de Unbound. | NOTE: Cette procédure n'est valide qu'avec une version égale ou supérieure à la version 1.7 de unbound, sur Raspbian ou Debian il faut donc une Buster (10) pour avoir cette version de Unbound. | ||
- | Pour les curieux il faut faire un tour sur ce site[[https://framagit.org/Shaft/blocage-dmp-unbound | Blocage de DMP avec unbound]] | + | Pour les curieux il faut faire un tour sur ce site[[https://framagit.org/Shaft/blocage-dmp-unbound | Blocage de DMP avec unbound]] où les fichiers nécessaires sont maintenu à jour. |
Ce projet regroupe la configuration nécessaire pour Unbound afin de bloquer certaines « Data Management Platforms » (DMP) utilisées par de plus en plus de sites (liberation.fr, oui.scnf, lemonde.fr, fnac.com...) et qui échappent – pour l'instant aux bloqueurs de traqueurs traditionnels (uBlock Origin ou uMatrix par exemple) ou un peu plus sophistiqué. | Ce projet regroupe la configuration nécessaire pour Unbound afin de bloquer certaines « Data Management Platforms » (DMP) utilisées par de plus en plus de sites (liberation.fr, oui.scnf, lemonde.fr, fnac.com...) et qui échappent – pour l'instant aux bloqueurs de traqueurs traditionnels (uBlock Origin ou uMatrix par exemple) ou un peu plus sophistiqué. | ||
Ligne 222: | Ligne 253: | ||
==== Mise en place du blocage supplémentaire ==== | ==== Mise en place du blocage supplémentaire ==== | ||
Copier [[http://download.tuxfamily.org/popaul77/gulliver77/blocked.zone | blocked.zone]] dans /var/lib/unbound/ \\ | Copier [[http://download.tuxfamily.org/popaul77/gulliver77/blocked.zone | blocked.zone]] dans /var/lib/unbound/ \\ | ||
+ | wget http://download.tuxfamily.org/popaul77/gulliver77/blocked.zone /var/lib/unbound/blocked.zone | ||
+ | chown unbound:unbound /var/lib/unbound/blocked.zone | ||
+ | |||
Copier la version Debian de [[http://download.tuxfamily.org/popaul77/gulliver77/adblock-war.conf | adblock-war.conf]] dans /etc/unbound/unbound.conf.d/ \\ | Copier la version Debian de [[http://download.tuxfamily.org/popaul77/gulliver77/adblock-war.conf | adblock-war.conf]] dans /etc/unbound/unbound.conf.d/ \\ | ||
+ | wget http://download.tuxfamily.org/popaul77/gulliver77/adblock-war.conf /etc/unbound/unbound.conf.d/adblock-war.conf | ||
+ | chown unbound:unbound /etc/unbound/unbound.conf.d/adblock-war.conf | ||
+ | | ||
+ | Tester la nouvelle configuration | ||
+ | unbound-checkconf | ||
Redémarrer Unbound et c'est normalement fonctionnel | Redémarrer Unbound et c'est normalement fonctionnel | ||
+ | systemctl restart unbound | ||
+ | systemctl status unbound | ||
- | Verifier que ça fonctionne car chez moi c'est pas le cas (mais je creuse) | + | Verifier que ça fonctionne. |
<code> | <code> |