Forum

Bonjour

J'ai installé unbound sur une machine sous MGA8.
Pas de souci d'installation avec le paquet dans les dépôts de MGA8.

Par contre, je me demande si j'ai bien paramétré.
J'ai bien récupéré la liste des serveurs root par :

bash

curl --output /etc/unbound/root.hints https://www.internic.net/domain/named.cache

J'indique dans /etc/unbound/unbound.conf :


Comme chroot est activé, je n'ai pas à indiquer un chemin complet comme /etc/unbound/root.hints

J'ai bien spécifié via net_applet que le DNS est 127.0.0.1

Si je fais un test par https://www.dnsleaktest.com/ , j'ai le résultat que ce sont les DNS de mon FAI qui sont utilisés. Pourtant, je m'attendais à pouvoir m'en passer (?)

Je pense que ma configuration est bonne car si j'indique en forward-zone dans unbound.conf que je souhaite utiliser les DNS de https://www.fdn.fr/actions/dns/ , le test via dnsleaktest.com m'indique bien cette fois-ci que ce sont ces DNS alternatifs qui sont utilisés.

J'ai beau écumer le web, je n'arrive pas à trouver de réponse.

Est-ce que les DNS root doivent forcément pouvoir déléguer la fin de la résolution de domaine à d'autres DNS tiers ? Auquel cas, il faut laisser les paramètres dans forward-zone. Ou est-ce que dnsleaktest.com fonctionne mal dans ce cas ? Ou, tout simplement, est-ce que j'ai mal configuré unbound !?

Merci pour vos lumières

A+

Salut squid,
C'est pointu ton histoire
Tout ce que je connais, c'est /etc/nsswitch.conf qui définit un ordre dans lequel les différents fournisseurs de résolution de noms sont interrogés.
Tu as notamment la ligne

files: le fichier /etc/hosts
mdns4_minimal: le service microDNS, alias avahi
nis: sais pas
dns: c'est dit

Édité par Papoteur Le 06/02/2021 à 22h32

Merci papoteur pour essayer de m’aider.
En fait, j’arrive à définir des DNS tiers (FDN par exemple) dans unbound ; et ça fonctionne.
Par contre, si je ne définis que les DNS root, cela à l’air de ne pas fonctionner.

Donc, la question est d’abord théorique : est-ce que les serveurs DNS root ont forcément besoin de DNS tiers pour déléguer la fin de la résolution du nom de domaine ?
Si tel est le cas, je dois forcément les indiquer dans forward-zone pour complément contrôler l’ensemble du processus de résolution.

De plus, comme je suis en train d’écrire un wiki là-dessus, je voudrais ne pas dire de bêtises ; même si l’installation tiendra la route quoiqu’il en soit.

A+

Édité par squid-f Le 07/02/2021 à 11h32

Bonjour

J'avance un peu. Effectivement, le root DNS peut déléguer en série à 2 autres serveurs s'il n'a pas la réponse en cache.
https://securitytrails.com/blog/dns-root-servers
Par contre, cela n'explique pas pourquoi dnsleaktest voit les DNS de mon FAI dans ce cas? Est-ce que c'est dû à la façon dont le test est fait?

A+