Chez oim, forum libreChez oim, forum libre

favicon Google Recherche avancée  

private life

Vous êtes soucieux de votre vie privée ?
Activez ou désactivez les boutons de réseaux sociaux en 3 clics.



Pages: 1 ... 4 5 6 [7]   En bas

Auteur Sujet: Tuto Windows : Installez votre serveur DNS avec Unbound et oubliez les blocages  (Lu 9314 fois)

alex

  • Administrateur
  • Dictionnaire ambulant
  • ********
  • Hors ligne Hors ligne
  • Sexe: Homme
  • Messages: 14.888
  • Proprio officiel chez oim !

Salut Jacky.

Je me doutais un peu que c'était une histoire de firewall.
Quand on commence à jongler avec la box et des routeurs, il y a toujours un pare feu qui fini par faire chier...

Unbound n'est pas le plus rapide au départ, il suffit juste de lui laisser le temps de faire du cache et ça s'améliore plus que notablement.
Par contre, tout ce que tu as mis en commentaire concerne justement la mise en cache.
Du coup, ton DNS ne fait plus de cache et va chercher les résultats sur le net à chaque fois...

Je ne suis pas certain que ce soit la meilleure solution que de supprimer le cache... ::)

En tout cas, merci pour le feed back ! :)
IP archivée

Jacky

  • Orateur balbutiant
  • Hors ligne Hors ligne
  • Messages: 10

Saut Alex,

j'ai tenu compte de ton observation et j'ai remis le cache en fonction.

Tout fonctionne , mais difficultés de redemarrage sur la 32b.... je ne sais pas pourquoi...

Cordialement
Jacky
IP archivée

alex

  • Administrateur
  • Dictionnaire ambulant
  • ********
  • Hors ligne Hors ligne
  • Sexe: Homme
  • Messages: 14.888
  • Proprio officiel chez oim !

Oui, c'est beaucoup mieux.
Avec le cache, tu seras gagnant en vitesse de résolution des domaines.
Parce qu'on dirait pas comme ça. Mais la majeure partie des pages web font appel à des scripts venus de partout ! (Réseaux sociaux, régies pubs, statistiques, et j'en passe...)
Il est préférable de faire du cache.

Le redémarrage 32bits, c'est le système entier ou c'est juste Unbound qui pétouille ?
C'est bien la version 32 ? Le fichier de config 32 bits également ? Tu n'as pas oublié named.cache ?
Quelle adresse à le DNS ? Localhost ou 192.168.x.y en statique ?

IP archivée

Jacky

  • Orateur balbutiant
  • Hors ligne Hors ligne
  • Messages: 10

Non c'est juste le redemarrage de unbound, qui même, met un message disant qu'il n'a pas pu démarrer , alors qu'il a redémmaré et fonctionne.
Le rédem jusqu'au message prend environ 2-3 mn.

Je suis en localhost mais aussi l'ip de ma machine 32b sur le réseau, mais j'ai aussi gardé la ligne 192.168.x.y qui correspond à la box de mon FAI placé avant le routeur, box qui me donne le net.
interface 127.0.0.1
interface 10.207.137.72 (c'est la machine, ce qui la rend accecible par le réseau),
puis
   
Code
access-control: 0.0.0.0/0 refuse          ---> je ne comprends pas cette ligne ?
    access-control: 127.0.0.0/24 allow
    access-control: 10.207.137.0/24 allow   ---> mon réseau intra
    access-control: 192.168.1.0/16 allow     ----> la box de mon FAI que est r, .....1.0 et pas en .....0.0

si j'ai mal compris indique moi   svp

IP archivée

alex

  • Administrateur
  • Dictionnaire ambulant
  • ********
  • Hors ligne Hors ligne
  • Sexe: Homme
  • Messages: 14.888
  • Proprio officiel chez oim !

Ah oui ! Ca fait long !
A tous les coups, ton routeur est en 10.x.y.z mais le PC en 192.168.x.y et c'est ça qui merde au démarrage.
Unbound doit certainement se perdre dans les adresses ou il perd du temps à attendre une réponse.


La ligne suivante est là pour l'exemple
Code
access-control: 0.0.0.0/0 refuse
Elle permet de connaitre la syntaxe permettant de bloquer des plages d'IP.


La ligne
Code
access-control: 192.168.1.0/16 allow
Doit rester en (sans le 1)
Code
access-control: 192.168.0.0/16 allow
Cette ligne signifie toutes les adresses débutant par 192.168 (ne mets que des zéros derrière).
Ca veut dire 192.168 + 16 bits (soit 2 octets) Ca couvre donc la plage 192.168.0.0 - 192.168.255.255


Attention !
Les exemples ci dessus ne bloquent pas les IP mais ne les autorisent pas pour autant !
Si tu veux que ton DNS traite des requêtes sur une IP précise, il te faudra une ligne du type
Code
interface: 192.168.1.24
Par exemple. Sous la ligne autorisant localhost (127.0.0.1)


Théoriquement, ton PC à deux adresses.
Localhost
et une autre débutant par 192.168.
Je crois que tes adresse en 10.x.y.z ne là que pour le routage.
IP archivée

Jacky

  • Orateur balbutiant
  • Hors ligne Hors ligne
  • Messages: 10

puis-je mettre en interface, par exemple 192.168.0.0/16....?
Pour moi ce serait10.207.0.0/16

est-il utile de dimensionner le cache dns , peux  tu commenter les lignes de paramétrage du cache svp.  :iq:

comennt vérifier / mettre à jour named.cache ?

je t'explique ma config en fait internet arrive via une box de mon FAI qui envoie vers mon routeur perso par une adrese statique ou en dmz, bien sur j'ai ouvert tous les ports nécessaire et utiles.
mon routeur reçoit donc le net en entrée, puis derrière j'ai paramétré MON réseau local , d'où 10.x.y.z. Unbound se trouve donc sur une machine en 10.x.y.z  :if:
IP archivée

alex

  • Administrateur
  • Dictionnaire ambulant
  • ********
  • Hors ligne Hors ligne
  • Sexe: Homme
  • Messages: 14.888
  • Proprio officiel chez oim !

Si ton réseau local est en 10.x.y.z, pourquoi pas ?
Que dis la carte réseau quand tu vas dans ses paramètres ? Elle adopte une IP en 10.x.y.z ou 192.168.x.y ?
Windows est étudié pour les réseaux de classe C (192.168.x.y)

Sinon, t'expliquer le cache, ok, mais que te dire ?
La ligne prefetch renouvelle le cache avant qu'il n'arrive à péremption.
Toutes les autres concernent les requêtes et la place qui leur est accordée.
msg-cache-size représente la taille véritable de ton cache.

Pour comprendre les autre paramètres, il est utile de connaitre Dig et ses paramètres.
Dig sort tout droit de Bind, qui est un autre DNS un peu plus compliqué que Unbound, c'est celui que j'utilise.
Je n'utilise pas Bind pour jouer les "grands garçons geeks", mais pour sa souplesse d'utilisation. Compliqué, certes, mais très pratique !
Par contre, sous Windows, Bind est hyper capricieux ! Si le réseau local est chargé, les paquets UDP de Bind ont la fâcheuse tendance de se perdre...
Pour un usage classique qui est celui de simple résolveur DNS, sous Windows, il est préférable d'utiliser Unbound qui, en plus d'être simple d'utilisation, est beaucoup plus fiable.
Bind n'est pas du tout conçu pour Windows. Il chie dans la colle dès qu'il y a du trafic sur le réseau local...
IP archivée

Jacky

  • Orateur balbutiant
  • Hors ligne Hors ligne
  • Messages: 10

j'avoue que pour l'instant , utilisé sur 2 machines ,une en 32b et une en 64b, je ne suis pas convaincu... :o

non seulement c'est beaucoup plus lent, mais aussi beaucoup d’impossibilité à se connecter.... ça marche pas bien..!



IP archivée

alex

  • Administrateur
  • Dictionnaire ambulant
  • ********
  • Hors ligne Hors ligne
  • Sexe: Homme
  • Messages: 14.888
  • Proprio officiel chez oim !

Par contre, j'ai oublié une chose. :je:

Oui, c'est bon pour 10.207.0.0/16
IP archivée

Jacky

  • Orateur balbutiant
  • Hors ligne Hors ligne
  • Messages: 10

J'ai désinstallé unbound version 64b, puis je viens de réinstaller en version 32b, puis modifications des chemins d'installation....
Je verrai si ça fonctionne mieux. :iq:
IP archivée

alex

  • Administrateur
  • Dictionnaire ambulant
  • ********
  • Hors ligne Hors ligne
  • Sexe: Homme
  • Messages: 14.888
  • Proprio officiel chez oim !

Je ne crois pas ça change grand chose au schmilblik.

Le plus pénible, c'est les chemins. Qu'est-ce que ça peut être emmerdant d'avoir des chemins 32bits et des autres 64. ::)


N'oublie pas de me tenir au jus ! ;)
IP archivée

Jacky

  • Orateur balbutiant
  • Hors ligne Hors ligne
  • Messages: 10

Effectivement, c'est pareil..!
J'ai donc désinstallé sur la machine en X64. Curieusement sur l'autre machine en 32b ça fonctionne très bien...!
Cordialement :iq:
IP archivée

alex

  • Administrateur
  • Dictionnaire ambulant
  • ********
  • Hors ligne Hors ligne
  • Sexe: Homme
  • Messages: 14.888
  • Proprio officiel chez oim !

Ah bon ?! Deux versions de Unbound sur deux machines se marcheraient dessus ?
C'est bon à savoir.

Le souci, c'est que chez Unbound, il n'existe pas de notion de serveur maitre et esclave...

A la limite, si tu as une machine toujours allumée, tu peux la désigner comme DNS principal et entrer son adresse dans la config réseau des autres machines.
IP archivée

alex

  • Administrateur
  • Dictionnaire ambulant
  • ********
  • Hors ligne Hors ligne
  • Sexe: Homme
  • Messages: 14.888
  • Proprio officiel chez oim !

Pourquoi utiliser un serveur DNS personnel comme Unbound ?


Au mois de juillet 2017, la justice française a ordonné le blocage de 4 sites de streaming ou de téléchargement. Les fournisseurs d'accès sont chargés de ce blocage.
Bien entendu, les FAI/ISP ont fait au plus simple en effectuant un blocage DNS.

Comme vous l'aurez remarqué, cette censure est passée totalement inaperçue et a été mise en oeuvre dans la plus grande des discrétions. Aucun média n'a parlé de ces blocages qui deviennent de plus en plus nombreux.

Prenons l'exemple du site allomovies.com dont j'ai appris l'existence en lisant la décision de justice (Ne rigolez pas, c'est vrai).


Regardons en images :




En utilisant les serveurs DNS de NUMERICABLE (1), le serveur retourne la réponse NXDOMAIN (2), ce qui signifie Non-Existent Domain ou domaine inexistant en français.
Il n'y a pas de réponse pour l'adresse demandée, elle n'existe pas. Le navigateur des internautes va afficher une erreur disant que le site n'existe pas et l'internaute passera son chemin sans se poser de questions.


Par contre, pour ceux utilisant leur propre serveur DNS, la chanson est différente...
En utilisant Unbound (3), on s'aperçoit que le site existe bel et bien et que ses serveurs DNS répondent correctement (4), ce qui permettra de se rendre sur le site !


Ce type de censure est sournoise. Comme je l'ai dit, l'internaute qui utilise les DNS de son FAI/ISP aura un message d'erreur l'informant que le site n'existe pas. Dans le meilleur des cas, il fera une recherche Google, apprendra que le site est bloqué et il se résignera.
Dans le pire des cas, l'internaute ne cherchera pas à comprendre ou ne trouvera pas de réponse à ses questions et il se résignera également.

Avec un DNS personnel, la question ne se posera même pas, le site existe et l'internaute peut le visiter.
IP archivée
Pages: 1 ... 4 5 6 [7]   En haut
 

+ Réponse Rapide

Page générée en 0.148 secondes avec 22 requêtes.