Rechercher
SupportConsoleDéveloppeursCommencer un essaiContact

Chapitre 2. Mise en place d'un serveur DNS non lié

download PDF

Le serveur DNS unbound est un résolveur DNS validant, récursif et de mise en cache. En outre, unbound met l'accent sur la sécurité et a, par exemple, activé par défaut les extensions de sécurité du système de noms de domaine (DNSSEC).

2.1. Configuration d'Unbound en tant que serveur DNS de mise en cache

Par défaut, le service DNS unbound résout et met en cache les recherches réussies et celles qui ont échoué. Le service répond ensuite aux requêtes portant sur les mêmes enregistrements à partir de son cache.

Procédure

  1. Installez le paquetage unbound: 

    # dnf install unbound

  2. Modifiez le fichier /etc/unbound/unbound.conf et apportez les modifications suivantes à la clause server:

    1. Ajoutez les paramètres interface pour configurer les adresses IP sur lesquelles le service unbound écoute les requêtes, par exemple : 

      interface: 127.0.0.1
interface: 192.0.2.1
interface: 2001:db8:1::1

      Avec ces paramètres, unbound n'écoute que les adresses IPv4 et IPv6 spécifiées.

      Le fait de limiter les interfaces aux interfaces requises empêche les clients de réseaux non autorisés, tels que l'internet, d'envoyer des requêtes à ce serveur DNS.

    2. Ajoutez les paramètres access-control pour configurer les sous-réseaux à partir desquels les clients peuvent interroger le service DNS, par exemple : 

      access-control: 127.0.0.0/8 allow
access-control: 192.0.2.0/24 allow
access-control: 2001:db8:1::/64 allow

  3. Créer des clés privées et des certificats pour gérer à distance le service unbound: 

    # systemctl restart unbound-keygen

    Si vous sautez cette étape, la vérification de la configuration à l'étape suivante signalera les fichiers manquants. Cependant, le service unbound crée automatiquement les fichiers s'ils sont manquants.

  4. Vérifier le fichier de configuration : 

    # unbound-checkconf
unbound-checkconf: no errors in /etc/unbound/unbound.conf

  5. Mettez à jour les règles firewalld pour autoriser le trafic DNS entrant : 

    # firewall-cmd --permanent --add-service=dns
# firewall-cmd --reload

  6. Activez et démarrez le service unbound: 

    # systemctl enable --now unbound

Vérification

  1. Demander au serveur DNS unbound écoutant sur l'interface localhost de résoudre un domaine : 

    # dig @localhost www.example.com
...
www.example.com.    86400    IN    A    198.51.100.34

;; Query time: 330 msec
...

    Après avoir interrogé un enregistrement pour la première fois, unbound ajoute l'entrée à son cache.

  2. Répétez la requête précédente : 

    # dig @localhost www.example.com
...
www.example.com.    85332    IN    A    198.51.100.34

;; Query time: 1 msec
...

    Grâce à l'entrée mise en cache, les requêtes ultérieures pour le même enregistrement sont nettement plus rapides jusqu'à l'expiration de l'entrée.

Prochaines étapes

  • Configurez les clients de votre réseau pour qu'ils utilisent ce serveur DNS. Par exemple, utilisez l'utilitaire nmcli pour définir l'IP du serveur DNS dans un profil de connexion NetworkManager : 

    # nmcli connection modify Example_Connection ipv4.dns 192.0.2.1
# nmcli connection modify Example_Connection ipv6.dns 2001:db8:1::1

Ressources supplémentaires

  • unbound.conf(5) page de manuel
Red Hat logoGithubRedditYoutubeTwitter

Apprendre

Essayez, achetez et vendez

Communautés

À propos de la documentation Red Hat

Nous aidons les utilisateurs de Red Hat à innover et à atteindre leurs objectifs grâce à nos produits et services avec un contenu auquel ils peuvent faire confiance.

Rendre l’open source plus inclusif

Red Hat s'engage à remplacer le langage problématique dans notre code, notre documentation et nos propriétés Web. Pour plus de détails, consultez leBlog Red Hat.

À propos de Red Hat

Nous proposons des solutions renforcées qui facilitent le travail des entreprises sur plusieurs plates-formes et environnements, du centre de données central à la périphérie du réseau.

© 2024 Red Hat, Inc.