« Unbound - Pihole » : différence entre les versions
| (10 versions intermédiaires par le même utilisateur non affichées) | |||
| Ligne 4 : | Ligne 4 : | ||
== Unbound == | == Unbound == | ||
si erreur : <code>warning: so-rcvbuf 1048576 was not granted. Got 425984. To fix: start with root permissions(linux) or sysctl bigger net.core.rmem_max</code> | |||
- Ouvrez le fichier de configuration des paramètres sysctl : | |||
<syntaxhighlight lang="bash" line copy> | |||
sudo nano /etc/sysctl.conf | |||
</syntaxhighlight> | |||
- Ajoutez ou modifiez la ligne suivante : | |||
net.core.rmem_max=1048576 | |||
</syntaxhighlight> | |||
- Appliquez les modifications : | |||
<syntaxhighlight lang="bash" line copy> | |||
bash sudo sysctl -p | |||
</syntaxhighlight> | |||
<syntaxhighlight lang="bash" line copy> | |||
sudo systemctl restart unbound | |||
</syntaxhighlight> | |||
- Vérifiez la valeur actuelle de net.core.rmem_max : | |||
<syntaxhighlight lang="bash" line copy> | |||
sysctl net.core.rmem_max | |||
</syntaxhighlight> | |||
=== Services === | === Services === | ||
| Ligne 93 : | Ligne 116 : | ||
sudo systemctl restart unbound | sudo systemctl restart unbound | ||
</syntaxhighlight> | </syntaxhighlight> | ||
: Version quad 9 | |||
<syntaxhighlight lang="yaml" line copy> | |||
server: | |||
# Désactiver la résolution récursive | |||
# DNSSEC est géré par quad 9 et ne transmet pas le flag ad contrairement à d'autres (aucune incidence) | |||
module-config: "iterator" | |||
# Rediriger toutes les requêtes vers Quad9 avec DNS-over-TLS | |||
forward-zone: | |||
name: "." | |||
# quad9 via WoodyNet | |||
forward-addr: 9.9.9.9@853 # Quad9 avec DNS-over-TLS | |||
forward-addr: 149.112.112.112@853 # Secondaire Quad9 avec DNS-over-TLS | |||
forward-addr: 2620:fe::fe@853 # IPV6 Quad9 avec DNS-over-TLS | |||
forward-addr: 2620:fe::9@853 # IPV6 Secondaire Quad9 avec DNS-over-TLS | |||
forward-tls-upstream: yes # Activer DNS-over-TLS | |||
</syntaxhighlight> | |||
: test : | |||
<syntaxhighlight lang="bash" line copy> | |||
dig example.com @127.0.0.1 +dnssec | |||
</syntaxhighlight> | |||
==== 5. Vérifiez que DoT est utilisé ==== | ==== 5. Vérifiez que DoT est utilisé ==== | ||
Utilisez tcpdump ou tshark pour capturer le trafic entre Unbound et le résolveur DNS en amont :<br /> | Utilisez tcpdump ou tshark pour capturer le trafic entre Unbound et le résolveur DNS en amont :<br /> | ||
| Ligne 100 : | Ligne 145 : | ||
</syntaxhighlight> | </syntaxhighlight> | ||
Vous devriez voir du trafic chiffré sur le port 853. | Vous devriez voir du trafic chiffré sur le port 853. | ||
: [https://pimylifeup.com/rapberry-pi-dns-over-https/ install cloudflared et utliser par exemple quad9] | |||
=== DNSSEC === | === DNSSEC === | ||
| Ligne 254 : | Ligne 300 : | ||
En remplacement de unbound sur 127.0.0.1#5053 | En remplacement de unbound sur 127.0.0.1#5053 | ||
: [https://pimylifeup.com/rapberry-pi-dns-over-https/ install cloudflared et utliser par exemple quad9] | : [https://pimylifeup.com/rapberry-pi-dns-over-https/ install cloudflared et utliser par exemple quad9] | ||
== logs == | |||
<syntaxhighlight lang="bash" line copy> | |||
sudo pihole -t | |||
</syntaxhighlight> | |||
Pour filtrer les logs pour une adresse IP spécifique (par exemple, 192.168.1.10), utilisez : | |||
<syntaxhighlight lang="bash" line copy> | |||
sudo pihole -t | grep 192.168.1.10 | |||
</syntaxhighlight> | |||
Vous pouvez également consulter les logs historiques dans le fichier : | |||
<syntaxhighlight lang="bash" line copy> | |||
sudo cat /var/log/pihole.log | grep 192.168.1.10 | |||
</syntaxhighlight> | |||
== sqllite3 == | == sqllite3 == | ||