Marmits Wiki

« Unbound - Pihole » : différence entre les versions

← Modification précédente
Aucun résumé des modifications
 
(68 versions intermédiaires par le même utilisateur non affichées)
Ligne 1 : Ligne 1 :
== Services ==
== NetworkManager DNS ==
*[[Bookworm#NetworkManager_DNS|Voir DNS local sur le serveur PiHole]]
*[https://www.dnscheck.tools/ dnscheck.tools]
 
== Unbound ==
 
si erreur : <code>warning: so-rcvbuf 1048576 was not granted. Got 425984. To fix: start with root permissions(linux) or sysctl bigger net.core.rmem_max</code>
 
- Ouvrez le fichier de configuration des paramètres sysctl :
<syntaxhighlight lang="bash" line copy>
sudo nano /etc/sysctl.conf
</syntaxhighlight>
- Ajoutez ou modifiez la ligne suivante :
net.core.rmem_max=1048576
</syntaxhighlight>
- Appliquez les modifications :
<syntaxhighlight lang="bash" line copy>
bash sudo sysctl -p
</syntaxhighlight>
 
<syntaxhighlight lang="bash" line copy>
sudo systemctl restart unbound
</syntaxhighlight>
 
- Vérifiez la valeur actuelle de net.core.rmem_max :
<syntaxhighlight lang="bash" line copy>
sysctl net.core.rmem_max
</syntaxhighlight>
 
=== Services ===
<pre>
<pre>
DNS local avec unbound et pihole
DNS local avec unbound et pihole
Ligne 5 : Ligne 34 :
une conf pour les domaines en local dans /etc/unbound/unbound.conf.d/local.conf
une conf pour les domaines en local dans /etc/unbound/unbound.conf.d/local.conf
</pre>
</pre>
=== Unbound ===


* https://www.azurs.net/carnet/2016/02/serveur-dns-local-sur-raspberry-pi-sous-arch-linux-arm/
* https://www.azurs.net/carnet/2016/02/serveur-dns-local-sur-raspberry-pi-sous-arch-linux-arm/
* http://gregoryborysiak.blogspot.com/2015/04/configurer-unbound-sur-raspberry-pi.html
* http://gregoryborysiak.blogspot.com/2015/04/configurer-unbound-sur-raspberry-pi.html


<pre>
<syntaxhighlight lang="bash" line>
/etc/unbound/unbound.conf.d
# /etc/unbound/unbound.conf.d
sudo service unbound restart
sudo service unbound restart
unbound-checkconf
unbound-checkconf
</syntaxhighlight>


#logrotate
<syntaxhighlight lang="bash" line>
# logrotate
touch /var/log/unbound.log
touch /var/log/unbound.log
sudo chmod 640 /var/log/unbound.log
sudo chmod 640 /var/log/unbound.log
sudo chown unbound:unbound /var/log/unbound.log
sudo chown unbound:unbound /var/log/unbound.log
 
</syntaxhighlight>
<pre>
/var/log/unbound.log
/var/log/unbound.log
{
{
Ligne 35 : Ligne 65 :
         endscript
         endscript
}
}
</pre>
<syntaxhighlight lang="bash" line>
# forcer logrotate
sudo logrotate -f /etc/logrotate.d/unbound
</syntaxhighlight>
* https://docs.pi-hole.net/guides/dns/unbound/
* https://echolib.in/raspberry-installer-pi-hole-unbound
* https://docs.pi-hole.net/guides/unbound/
=== DNS over TLS (DoT) ===
DNS over TLS (DoT)<br />
Pas besoin d'activer DNS over TLS (DoT) directement dans Pi-hole si Unbound est déjà configuré pour utiliser un résolveur DNS en amont qui gère lui-même DoT.
==== 1. Explication du flux DNS : ====
: 1. Pi-hole reçoit les requêtes DNS des clients du réseau.
: 2. Unbound agit comme un résolveur DNS récursif local et transmet les requêtes DNS à un résolveur DNS en amont.
: 3. Si le résolveur DNS en amont d'Unbound prend en charge DNS DoT, alors les requêtes DNS entre Unbound et le résolveur en amont seront chiffrées.


Dans ce cas, Pi-hole n'a pas besoin de gérer DoT directement, car c'est Unbound qui s'en charge.


#forcer logrotate
==== 2. Pourquoi ne pas activer DoT dans Pi-hole ? ====
sudo logrotate -f /etc/logrotate.d/unbound
:- Redondance : Si Unbound est déjà configuré pour utiliser DoT, activer DoT dans Pi-hole serait redondant et pourrait compliquer la configuration.
:- Simplicité : Laisser Unbound gérer DoT simplifie la configuration de Pi-hole et évite les conflits potentiels.
:- Performance : Unbound est optimisé pour gérer les requêtes DNS récursives et peut mieux gérer le chiffrement TLS que Pi-hole.
==== 3. Configuration recommandée ====
: 1. Pi-hole :
::- Configurez Pi-hole pour utiliser Unbound comme résolveur DNS en amont.
::- Ne configurez pas DoT dans Pi-hole, car Unbound s'en chargera.
: 2. Unbound :
::- Configurez Unbound pour utiliser un résolveur DNS en amont qui prend en charge DoT (par exemple, Cloudflare, Quad9 ou Google).
::- Assurez-vous que DoT est activé dans la configuration d'Unbound.
==== 4. Configurez Unbound ====
Pour utiliser un résolveur DNS en amont avec DoT. Par exemple, avec Cloudflare :
Ouvrez le fichier de configuration d'Unbound :
<syntaxhighlight lang="bash" line copy>
sudo nano /etc/unbound/unbound.conf
Ajoutez les lignes suivantes :
</syntaxhighlight>
<syntaxhighlight lang="yaml" line copy>
forward-zone:
    name: "."
    forward-tls-upstream: yes
    forward-addr: 1.1.1.1@853#cloudflare-dns.com
    forward-addr: 1.0.0.1@853#cloudflare-dns.com
</syntaxhighlight>
Redémarrez Unbound :
<syntaxhighlight lang="bash" line copy>
sudo systemctl restart unbound
</syntaxhighlight>
: Version quad 9
<syntaxhighlight lang="yaml" line copy>
server:
    # Désactiver la résolution récursive
    # DNSSEC est géré par quad 9 et ne transmet pas le flag ad contrairement à d'autres (aucune incidence)
    module-config: "iterator"
   
    # Rediriger toutes les requêtes vers Quad9 avec DNS-over-TLS
    forward-zone:
        name: "."
        # quad9 via WoodyNet
        forward-addr: 9.9.9.9@853  # Quad9 avec DNS-over-TLS
        forward-addr: 149.112.112.112@853 # Secondaire Quad9 avec DNS-over-TLS
        forward-addr: 2620:fe::fe@853 # IPV6 Quad9 avec DNS-over-TLS
        forward-addr: 2620:fe::9@853 # IPV6 Secondaire Quad9 avec DNS-over-TLS
        forward-tls-upstream: yes # Activer DNS-over-TLS
</syntaxhighlight>
: test :
<syntaxhighlight lang="bash" line copy>
dig example.com @127.0.0.1 +dnssec
</syntaxhighlight>
 
==== 5. Vérifiez que DoT est utilisé ====
Utilisez tcpdump ou tshark pour capturer le trafic entre Unbound et le résolveur DNS en amont :<br />
DoT
<syntaxhighlight lang="bash" line copy>
sudo tcpdump -i eth0 port 853
</syntaxhighlight>
Vous devriez voir du trafic chiffré sur le port 853.
: [https://pimylifeup.com/rapberry-pi-dns-over-https/ install cloudflared et utliser par exemple quad9]
 
=== DNSSEC ===
[https://wiki.debian-fr.xyz/Utiliser_Unbound_avec_DNSSEC Utiliser Unbound avec DNSSEC]
[https://nlnetlabs.nl/documentation/unbound/howto-anchor/ howto unbound-anchor]
dig com. SOA +dnssec
 
=== Chiffré ? ===
<pre>
server:
interface: 2001:db8:1::dead:beef@853
ssl-service-key: "/etc/unbound/unbound_server.key"
ssl-service-pem: "/etc/unbound/unbound_server.pem"
ssl-port: 853
</pre>
 
=== fail: the anchor is NOT ok and could not be fixed ===
Si le serveur DNS unbound ne fonctionne pas :
<pre>
sudo service unbound status
=>
systemd[1]: Starting Unbound DNS server...
package-helper[499]: /var/lib/unbound/root.key has content
package-helper[499]: fail: the anchor is NOT ok and could not be fixed
systemd[1]: Started Unbound DNS server.


solution:
sudo wget -O /var/lib/unbound/root.hints https://www.internic.net/domain/named.root
</pre>
</pre>


=== unbound pihole ===
=== Configuration de l'adresse du résolveur ===  
* https://echolib.in/raspberry-installer-pi-hole-unbound
[https://papy-tux.legtux.org/doc1150/index.php Configuration de l'adresse du résolveur]
* https://docs.pi-hole.net/guides/unbound/
L'adresse du résolveur unbound est 127.0.0.1 et doit-être configurée dans <code>/etc/resolv.conf</code>. Pour que l'adresse soit persistance et ne soit pas remplacée par les adresses des DNS du fournisseur d'accès à chaque reconnexion :
installer openresolv
 
 
 
== pihole ==
* https://docs.pi-hole.net/core/pihole-command/
* https://docs.pi-hole.net/core/pihole-command/
* https://mediacenterz.com/tutoriel-complete-pi-hole-bloqueur-dannonces-pour-toute-la-maison/
* https://mediacenterz.com/tutoriel-complete-pi-hole-bloqueur-dannonces-pour-toute-la-maison/


=== pihole ===
<syntaxhighlight lang="bash" line>
<pre>
#mise à jour pihole car pas apt
#mise à jour pihole car pas apt
pihole -up (le repertoire admin doit se trouver ds /var/www/html)
pihole -up #(le repertoire admin doit se trouver ds /var/www/html)


# relancer  
# relancer  
Ligne 60 : Ligne 197 :


#Rechercher dans la black liste un terme
#Rechercher dans la black liste un terme
pihole -q -all expression
pihole -q -all facebook.com
 
pihole -q -adlist -exact facebook.com
</syntaxhighlight>
 
<syntaxhighlight lang="bash" line>
#pihole status
sudo netstat -nltup | grep 'Proto\|:53 \|:8082 \|:80 \|:5335 \|:443 \|:51820'
</syntaxhighlight>
 
<pre>
pihole : core
pihole -w, pihole -b, pihole -regex, pihole -wild : Whitelisting, Blacklisting and Regex
pihole debug : Debugger   
pihole flush : Log Flush
pihole reconfigure : Reconfigure
pihole tail : Tail
pihole -a : Admin
pihole : chronometer : Chronometer
pihole : updateGravity Gravity
pihole : logging Logging
pihole : query Query
pihole updatePihole : Update
pihole version : Version
pihole uninstall : Uninstall
pihole status : Status
pihole enable : Enable & Disable
pihole restartdns : Restart DNS
pihole checkout : Checkout
</pre>
</pre>


=== BDD de pihole===
=== Ports ===
<pre>
<pre>
We need ports 53, 80, and 4711. Port 80 is optional if you decide not to install the Web dashboard during installation.
Port 53(DNS) should be used by dnsmasq
TCP/UDP
If you happen to have another DNS server running, such as BIND, you will need to turn it off in order for Pi-hole to respond to DNS queries.
Port 80(HTTP) should be used by lighttpd
TCP
If you have another Web server already running, such as Apache, Pi-hole's Web server will not work. You can either disable the other Web server or change the port on which lighttpd listens, which allows you keep both Web servers running.
Port 4711 should be used by pihole-FTL
TCP
FTL is our API engine and by default uses port 4711, but will increment if it's already in use by something else
FTL is our API engine and uses port 4711 on the localhost interface. This port should not be accessible from any other interface.
Port 67 (DHCP) should be used by DHCP
IPV4 UDP
(option) pas de service DHCP
The DHCP server is an optional feature that requires additional ports.
Port 547 should be used by DHCPv6
IPV6 UDP
(option) pas de service DHCP
The DHCP server is an optional feature that requires additional ports.
Info:
The use of lighttpd on port 80 is optional if you decide not to install the Web dashboard during installation. The use of pihole-FTL on ports 67 or 547 is optional, but required if you use the DHCP functions of Pi-hole.
</pre>
=== BDD de pihole ===
<syntaxhighlight lang="bash" line>
#sqlite3  
#sqlite3  
/etc/pihole/pihole-FTL.db
/etc/pihole/pihole-FTL.db
Ligne 70 : Ligne 265 :
#backup avec un cron
#backup avec un cron
sqlite3 /etc/pihole/pihole-FTL.db ".backup /home/pi/pihole-FTL.db.backup"
sqlite3 /etc/pihole/pihole-FTL.db ".backup /home/pi/pihole-FTL.db.backup"
</pre>
</syntaxhighlight>


* https://docs.pi-hole.net/ftldns/database/
* https://docs.pi-hole.net/ftldns/database/


=== Chiffré ? ===
=== Block lists ===
<pre>
* [https://www.malekal.com/les-meilleures-listes-de-blocage-adlists-pour-pi-hole/ Listes de blocage]
server:
* [https://fleuryk.kappatau.fr/pihole-blocklist/ pihole-blocklist]
interface: 2001:db8:1::dead:beef@853
* https://raw.githubusercontent.com/deathbybandaid/piholeparser/master/Subscribable-Lists/ParsedBlacklists/Block-EU-Cookie-Shit-List.txt
ssl-service-key: "/etc/unbound/unbound_server.key"
* https://raw.githubusercontent.com/deathbybandaid/piholeparser/master/Subscribable-Lists/CountryCodesLists/France.txt
ssl-service-pem: "/etc/unbound/unbound_server.pem"
* https://easylist-downloads.adblockplus.org/liste_fr%2Beasylist.txt
ssl-port: 853
* https://blocklist.site/app/dl/malware
</pre>
* https://blocklist.site/app/dl/ransomware
* https://blocklist.site/app/dl/phishing
* https://blocklist.site/app/dl/ads
* https://gist.githubusercontent.com/BBcan177/4a8bf37c131be4803cb2/raw/343ff780e15205b4dd0de37c86af34cfb26b2fbe/MS-2
* https://raw.githubusercontent.com/anudeepND/youtubeadsblacklist/master/domainlist.txt
* https://blocklist.site/app/dl/spam
* https://hosts.ubuntu101.co.za/domains.list
* https://hosts.ubuntu101.co.za/ips.list
 
=== update pihole ===
<span style="color: red;font-weight:bold;">pihole -up</span>


=== Contrôle parental ===
=== Contrôle parental ===
[https://tutox.fr/2019/05/27/mettre-en-place-un-controle-parental-avec-pihole/ controle parental avec pihole]
<syntaxhighlight lang="bash" line>
#bloquer
pihole --wild facebook.com
#débloquer
pihole --wild -d facebook.com
</syntaxhighlight>
[https://tutox.fr/2019/05/27/mettre-en-place-un-controle-parental-avec-pihole/ controle parental avec pihole]
 
== DNS-Over-HTTPS (DoH) ==
En remplacement de unbound sur 127.0.0.1#5053
: [https://pimylifeup.com/rapberry-pi-dns-over-https/ install cloudflared et utliser par exemple quad9]
== logs ==
<syntaxhighlight lang="bash" line copy>
sudo pihole -t
</syntaxhighlight>
Pour filtrer les logs pour une adresse IP spécifique (par exemple, 192.168.1.10), utilisez :
<syntaxhighlight lang="bash" line copy>
sudo pihole -t | grep 192.168.1.10
</syntaxhighlight>
Vous pouvez également consulter les logs historiques dans le fichier :
<syntaxhighlight lang="bash" line copy>
sudo cat /var/log/pihole.log | grep 192.168.1.10
</syntaxhighlight>
 
== sqllite3 ==
<syntaxhighlight lang="bash" line>
sqllite3
sqlite> .open pihole-FTL.db
# voir les tables
sqlite> SELECT name FROM sqlite_master WHERE type = "table";
 
#nom des colonnes d'une table
PRAGMA table_info(tablename);
</syntaxhighlight>
 
* Vérifier nombre d'élements à supprimer
<syntaxhighlight lang="sql" line>
SELECT COUNT(*) FROM query_storage
WHERE EXISTS
  ( SELECT *
    FROM domain_by_id
    WHERE query_storage.domain = domain_by_id.id AND  domain_by_id.domain LIKE '%lb._dns-sd._udp.0.10.168.192.in-addr.arpa%');
 
DELETE FROM query_storage
WHERE EXISTS
  ( SELECT *
    FROM domain_by_id
    WHERE query_storage.domain = domain_by_id.id AND  domain_by_id.domain LIKE '%lb._dns-sd._udp.0.10.168.192.in-addr.arpa%');
</syntaxhighlight>
 
 


[[Catégorie: Raspian]]
[[Catégorie: Raspian]]
Récupérée de « https://marmits.com/wiki/Unbound_-_Pihole »