N’ayant plus envie de donner toutes mes requêtes DNS à mon FAI ou à une autre entité j’ai décidé de mettre en place mon propre résolveur DNS, celui-ci est basé sur Unbound et va chercher directement sa résolution sur les 13 serveurs ROOT si il ne l’a pas déjà dans son cache.
L’installation est on ne peut plus simple puisque l’application se trouve sur les dépôts Debian.
apt install unbound
On télécharge le fichier où se trouvent les adresses des serveurs ROOT.
wget ftp://FTP.INTERNIC.NET/domain/named.cache -O /var/lib/unbound/root.hints
Puis on édite le fichier de configuration, en modifiant les ips
nano /etc/unbound/unbound.conf
server:
verbosity: 3
interface: votreipv4interface: votreipv6
port: 53
do-ip4: yes
do-ip6: yes
do-udp: yes
do-tcp: no
access-control: 0.0.0.0/0 allow ## j’autorise n’importe quel utilisateur en ipv4 !
access-control: ::/0 allow ## j’autorise n’importe quel utilisateur en ipv6 !
auto-trust-anchor-file: « /var/lib/unbound/root.key »
root-hints: « /var/lib/unbound/root.hints »
hide-identity: yes
hide-version: yes
harden-glue: yes
harden-dnssec-stripped: yes
use-caps-for-id: yes
cache-min-ttl: 3600
cache-max-ttl: 86400
prefetch: yes
num-threads: 6
msg-cache-slabs: 16
rrset-cache-slabs: 16
infra-cache-slabs: 16
key-cache-slabs: 16
rrset-cache-size: 256m
msg-cache-size: 128m
so-rcvbuf: 1m
unwanted-reply-threshold: 10000
do-not-query-localhost: yes
val-clean-additional: yes
use-syslog: yes
logfile: /var/log/unbound.log
On peut ajouter les lignes suivantes afin de bloquer quelques pubs.
##je bloque cetaines pubs
local-zone: « doubleclick.net » redirect
local-data: « doubleclick.net A 127.0.0.1 »
local-zone: « googlesyndication.com » redirect
local-data: « googlesyndication.com A 127.0.0.1 »
local-zone: « googleadservices.com » redirect
local-data: « googleadservices.com A 127.0.0.1 »
local-zone: « google-analytics.com » redirect
local-data: « google-analytics.com A 127.0.0.1 »
local-zone: « ads.youtube.com » redirect
local-data: « ads.youtube.com A 127.0.0.1 »
local-zone: « adserver.yahoo.com » redirect
local-data: « adserver.yahoo.com A 127.0.0.1 »
local-zone: « ask.com » redirect
local-data: « ask.com A 127.0.0.1 »
Une fois la configuration éditée, il suffit de la tester avec la commande suivante.
unbound-checkconf /etc/unbound/unbound.conf
Il ne restera plus qu’a renseigner les ips dans vos périphériques ou pour encore plus facile dans votre serveur DHCP.
Pour ceux qui voudraient voici les ips de mon resolveur.
91.121.61.180 et 2001:41d0:b:4aa::5
Tout fonctionne au top ! Les redirections se font correctement et surtout très rapidement.
– pas con du tout les redirections des pubs, ça permet de gagner un peu en rapidité pour les bloquer !
Merci pour le tuto 🙂
Au plaisir 😉