Installation et configuration de son serveur DNS

N’ayant plus envie de donner toutes mes requêtes DNS à mon FAI ou à une autre entité j’ai décidé de mettre en place mon propre résolveur DNS, celui-ci est basé sur Unbound et va chercher directement sa résolution sur les 13 serveurs ROOT si il ne l’a pas déjà dans son cache.

L’installation est on ne peut plus simple puisque l’application se trouve sur les dépôts Debian.

apt install unbound

On télécharge le fichier où se trouvent les adresses des serveurs ROOT.

wget ftp://FTP.INTERNIC.NET/domain/named.cache -O /var/lib/unbound/root.hints

Puis on édite le fichier de configuration, en modifiant les ips

nano /etc/unbound/unbound.conf

server:
verbosity: 3
interface: votreipv4

interface: votreipv6

port: 53
do-ip4: yes
do-ip6: yes
do-udp: yes
do-tcp: no
access-control: 0.0.0.0/0 allow ## j’autorise n’importe quel utilisateur en ipv4 !
access-control: ::/0 allow ## j’autorise n’importe quel utilisateur en ipv6 !
auto-trust-anchor-file: « /var/lib/unbound/root.key »
root-hints: « /var/lib/unbound/root.hints »
hide-identity: yes
hide-version: yes
harden-glue: yes
harden-dnssec-stripped: yes
use-caps-for-id: yes
cache-min-ttl: 3600
cache-max-ttl: 86400
prefetch: yes
num-threads: 6
msg-cache-slabs: 16
rrset-cache-slabs: 16
infra-cache-slabs: 16
key-cache-slabs: 16
rrset-cache-size: 256m
msg-cache-size: 128m
so-rcvbuf: 1m
unwanted-reply-threshold: 10000
do-not-query-localhost: yes
val-clean-additional: yes
use-syslog: yes
logfile: /var/log/unbound.log

On peut ajouter les lignes suivantes afin de bloquer quelques pubs.

##je bloque cetaines pubs
local-zone: « doubleclick.net » redirect
local-data: « doubleclick.net A 127.0.0.1 »
local-zone: « googlesyndication.com » redirect
local-data: « googlesyndication.com A 127.0.0.1 »
local-zone: « googleadservices.com » redirect
local-data: « googleadservices.com A 127.0.0.1 »
local-zone: « google-analytics.com » redirect
local-data: « google-analytics.com A 127.0.0.1 »
local-zone: « ads.youtube.com » redirect
local-data: « ads.youtube.com A 127.0.0.1 »
local-zone: « adserver.yahoo.com » redirect
local-data: « adserver.yahoo.com A 127.0.0.1 »
local-zone: « ask.com » redirect
local-data: « ask.com A 127.0.0.1 »

Une fois la configuration éditée, il suffit de la tester avec la commande suivante.

unbound-checkconf /etc/unbound/unbound.conf

Il ne restera plus qu’a renseigner les ips dans vos périphériques ou pour encore plus facile dans votre serveur DHCP.

 

Pour ceux qui voudraient voici les ips de mon resolveur.

 91.121.61.180 et 2001:41d0:b:4aa::5

  • Firefox 47.0 Firefox 47.0 Windows 10 x64 Edition Windows 10 x64 Edition
    Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:47.0) Gecko/20100101 Firefox/47.0

    Tout fonctionne au top ! Les redirections se font correctement et surtout très rapidement.
    – pas con du tout les redirections des pubs, ça permet de gagner un peu en rapidité pour les bloquer !
    Merci pour le tuto 🙂

    • Arowan
      Firefox 48.0 Firefox 48.0 Windows 10 x64 Edition Windows 10 x64 Edition
      Mozilla/5.0 (Windows NT 10.0; WOW64; rv:48.0) Gecko/20100101 Firefox/48.0

      Au plaisir 😉

  • Pingback: Accéder à un serveur DNS derrière le pare-feu et le NAT depuis internet()