(https://static.chez-oim.org/img/dns.png) (https://static.chez-oim.org/Logo/unbound.png)
Tuto Windows : Installez votre serveur DNS avec Unbound et oubliez la censure
Mise à jour du 21 août 2021 :
Mise à jour du fichier PDF.
Signatures numériques également mises à jour (signature interne au PDF avec le certificat et signature PGP).
Télécharger le PDF (https://chez-oim.org/web-download/unbound.pdf) (Fichier de signature PGP (https://chez-oim.org/web-download/unbound.pdf.sig))
Mise à jour du 20 août 2021 :
Ce tuto a été mis à jour afin de rendre Unbound compatible IPv6.
Aujourd'hui, Unbound ne pose plus aucun problème avec l'IPv6. Il serait donc absurde de s'en passer.
Le PDF sera mis à jour prochainement.
Introduction (#post_introduction) (petit blabla pour vous convaincre)
Un peu de théorie (#post_theorie)
Passons à la pratique (#post_pratique)
Vérifier l'état des services (#post_services)
Configurer la carte réseau (#post_reseau)
Procéder à un premier test (#post_test)
Explications sur le fichier de configuration (#post_config)
J'ai Windows 10 et Unbound ne fonctionne pas (#post_win10)
Exemple avec un site bloqué, pourquoi utiliser un serveur DNS personnel comme Unbound ? (#post_pourquoi)
Activer DNSSEC sur son serveur Unbound (#post_dnssec)
(Haut de page) (#post_haut)
Introduction
Comme vous l'avez remarqué, ces dernier temps, la France (et tous les autres pays "démocratiques") ne se gêne plus pour bloquer les sites qui dérangent. Et T411 dans le passé, ou Ygg aujourd'hui, ne sont pas les seuls dans ces mesures de censure/blocage.
Nombre de personnes recommandent de changer les serveurs DNS de sa configuration mais là encore, ce n'est pas la panacée.
Ceux qui vont opter pour les DNS de Google opteront pour un pistage dans les règles. D'autres DNS vous donneront l'adresse de pages de pub lorsque vous entrerez une adresse inexistante, officiellement pour se financer (ce sont donc des DNS menteurs). etc, etc.
En France, on ne parlera même pas des serveurs DNS de votre FAI qui tombent sous le coup de la loi renseignement et passent donc leur temps à archiver tous les sites que vous visitez.
Bref ! Vous l'aurez compris, les DNS sont une véritable jungle et trouver celui qui fera l'affaire relève du parcours du combattant.
Qu'à cela ne tienne... Puisque c'est comme ça, puisqu'on ne peut faire confiance en personne, nous allons installer notre propre serveur DNS et celui là, à part vous, personne ne pourra le faire mentir.
Pour ce faire, nous allons utiliser Unbound. Unbound est un serveur DNS pouvant tourner sous Windows. C'est l'équivalent de BIND (https://fr.wikipedia.org/wiki/BIND) qui fait la même chose mais en beaucoup plus simple.
(Haut de page) (#post_haut)
Un peu de théorie avant de commencer :kd:
Tout d'abord, vous savez ce qu'est un serveur DNS, n'est-ce pas ? Pour faire simple, c'est une espèce d'annuaire. Ce serveur DNS(Domains Names System) reçoit des noms de domaine et il vous retourne des adresses IP.
C'est comme l'annuaire téléphonique qui reçoit un nom & prénom et qui vous retourne le numéro de téléphone. Le DNS, lui, reçoit un nom de domaine et il vous retourne son adresse IP (il peut faire bien plus, mais on n'est pas là pour entrer dans les détails).
Ouais mais attends. Si j'ai un serveur DNS sur mon PC, où il va aller chercher les réponses ? Mon PC ne connait personne !
C'est vrai ! Votre PC ne connait personne, absolument personne. Il contient peut-être quelques adresses IP dans son fichier hosts mais c'est pas avec ça qu'on va faire le tour de la planète !
Votre serveur DNS va tout simplement faire comme tous les autres DNS de la planète (sauf certains qui bloquent quelques domaines...)
Il va tout d'abord s'adresser à la racine. Sur terre, il existe 13 serveurs DNS racine (https://fr.wikipedia.org/wiki/Serveur_racine_du_DNS) chargés de vous orienter vers les bons serveurs DNS.
En réalité, il existe beaucoup plus de serveurs répartis sur la planète pour que le système reste rapide. C'est les serveurs de la racine qui délèguent une partie de leur travail à d'autre serveurs. Donc, la racine est bien constituée de 13 serveurs.
Cette liste des 13 serveurs racine est simple : (ne faites pas attention au dernier point ".", ce n'est pas une erreur)
A.ROOT-SERVERS.NET.
B.ROOT-SERVERS.NET.
C.ROOT-SERVERS.NET.
D.ROOT-SERVERS.NET.
E.ROOT-SERVERS.NET.
F.ROOT-SERVERS.NET.
G.ROOT-SERVERS.NET.
H.ROOT-SERVERS.NET.
I.ROOT-SERVERS.NET.
J.ROOT-SERVERS.NET.
K.ROOT-SERVERS.NET.
L.ROOT-SERVERS.NET.
M.ROOT-SERVERS.NET.
N'entrez jamais ces serveurs DNS dans votre configuration réseau, ça ne marcherait pas ! Ces serveurs racine sont spéciaux. Ils ne servent qu'à "déchiffrer" le TLD d'un nom de domaine (.com, .org, .fr, etc.). Ils ne connaissent pas les noms de domaine !
Faisant l'essai avec irc.t411.in qui est actuellement bloqué en France
Notre serveur DNS perso va interroger la racine qui va lui répondre que le .in est géré par les serveurs DNS suivants :
c0.in.afilias-nst.info.
b2.in.afilias-nst.org.
b1.in.afilias-nst.in.
b0.in.afilias-nst.org.
a2.in.afilias-nst.info.
a1.in.afilias-nst.in.
a0.in.afilias-nst.info.
Notre serveur DNS va donc maintenant demander au premier serveur de la liste si il connait irc.t411.in et il obtiendra cette réponse :
hope.ns.cloudflare.com.
bayan.ns.cloudflare.com.
Ouf ! On y a arrive. Notre domaine irc.t411.in semble connu et notre DNS a la liste des serveurs qui connaissent sont adresse IP.
Notre serveur DNS va donc demander une dernière fois la réponse en utilisant cette dernière liste et il obtiendra :
irc.t411.in. 3600 IN A 88.198.168.163
Et voilà ! En 3 requêtes, notre serveur DNS saura que l'adresse irc.t411.in a pour IP 88.198.168.163 et il n'aura questionné aucun DNS qui n'est pas nécessaire.
Comme vous l'aurez remarqué, notre DNS n'a questionné ni votre FAI, ni Google, ni personne d'autre pouvant être jugé comme "peu fiable".
Votre serveur DNS interrogera toujours les serveurs DNS faisant autorité. Cela signifie qu'il n'interrogera que les serveurs connaissant la vérité.
Un serveur DNS qui représente l'autorité ne vous mentira pas, sauf cas exceptionnel, mais c'est très, très rare.
Les serveurs DNS de votre FAI/ISP ne sont en aucune façon une autorité ! Même les serveurs DNS de Google ne font pas autorité, ce ne sont que de simples relais de l'information.
(Haut de page) (#post_haut)
Passons à la pratique !
Pour l'instant, posez tous vos téléchargements sur le bureau. On s'en occupera après. D'abord on télécharge tout ce qu'il faut et ensuite on réparti là où il faut.
Tout d'abord, vous allez avoir besoin de Unbound, bien entendu.
Téléchargez le à l'adresse suivante : https://unbound.net/download.html (https://unbound.net/download.html) Sélectionnez bien la version pour windows ! (Attention, le premier lien concerne les versions 64 bits de Windows. Le 32 bits est à droite)
Ensuite, nous allons avoir besoin de la liste des 13 serveurs DNS de la racine.
Faites un clic droit sur le lien ci dessous et sélectionnez Enregistrer la cible sous... (ou Enregistrer le contenu lié sous...)
Vous pouvez également cliquer directement sur le lien, puis copier/coller la page qui s'affiche dans un fichier texte que vous appellerez named.cache
https://www.internic.net/domain/named.cache (https://www.internic.net/domain/named.cache)
Et enfin, nous allons charger un fichier de configuration tout prêt préparé par votre serviteur. Cliquez sur le lien ci dessous et téléchargez le fichier, toujours sur votre bureau.
Fichier de configuration service.conf pour windows 32 bits (https://drive.google.com/open?id=0B9eDFxy89xPMeURzUWtmeEEtaUU)
Fichier de configuration service.conf pour windows 64 bits (https://drive.google.com/open?id=0B9eDFxy89xPMeURzUWtmeEEtaUU) - Pour une toute nouvelle installation, c'est ce fichier qu'il vous faut, que ce soit Windows 32bit ou 64bit.
(Pour les personnes ayant déjà Unbound installé) Fichier de configuration service.conf pour windows 64 bits (https://drive.google.com/open?id=0B9eDFxy89xPMMXFKaHRHQ2ZaNTA) et Unbound installé dans /program files (x86)/ (Update (mise à jour) pour Unbound < v1.6.2 vers v1.6.2 ou plus)
Nous reparlerons de ce fichier de config plus loin.
Si vous avez peur que j'ai trafiqué ce fichier, copiez/collez la config ci dessous dans un fichier texte que nous appellerons service.conf (pour Windows 32 bits)
# Unbound configuration file on windows.
server:
verbosity: 1
logfile: "C:\Program Files\unbound\unbound.log"
log-queries: no
# on Windows, this setting makes reports go into the Application log
# found in ControlPanels - System tasks - Logs
#use-syslog: yes
#auto-trust-anchor-file: "C:\Program Files\Unbound\root.key"
interface: ::1
interface: 127.0.0.1
port: 53
# access-control: 0.0.0.0/0 refuse
access-control: 127.0.0.0/24 allow
access-control: 192.168.0.0/16 allow
access-control: ::1 allow
do-ip4: yes
do-ip6: yes
do-udp: yes
do-tcp: yes
hide-identity: yes
hide-version: yes
harden-glue: yes
use-caps-for-id: yes
cache-min-ttl: 300
cache-max-ttl: 86400
do-not-query-localhost: yes
prefetch: yes
msg-cache-slabs: 8
rrset-cache-slabs: 8
infra-cache-slabs: 8
key-cache-slabs: 8
rrset-cache-size: 64m
msg-cache-size: 32m
so-rcvbuf: 1m
root-hints: "C:\Program Files\Unbound\named.cache"
#local-zone: "exemple.net." redirect
#local-data: "exemple.net. 60 IN NS localhost."
#local-data: "exemple.net. 60 IN A 127.0.0.1"
Si vous avez peur que j'ai trafiqué ce fichier et que vous avez un Windows 64 bits, copiez/collez la config ci dessous dans un fichier texte que vous appellerez service.conf (pour Windows 64 bits avec installation dans /program files (x86)/)
# Unbound configuration file on windows.
server:
verbosity: 1
logfile: "C:\Program Files (x86)\Unbound\unbound.log"
log-queries: no
# on Windows, this setting makes reports go into the Application log
# found in ControlPanels - System tasks - Logs
#use-syslog: yes
#auto-trust-anchor-file: "C:\Program Files (x86)\Unbound\root.key"
interface: ::1
interface: 127.0.0.1
port: 53
# access-control: 0.0.0.0/0 refuse
access-control: 127.0.0.0/24 allow
access-control: 192.168.0.0/16 allow
access-control: ::1 allow
do-ip4: yes
do-ip6: yes
do-udp: yes
do-tcp: yes
hide-identity: yes
hide-version: yes
harden-glue: yes
use-caps-for-id: yes
cache-min-ttl: 300
cache-max-ttl: 86400
do-not-query-localhost: yes
prefetch: yes
msg-cache-slabs: 8
rrset-cache-slabs: 8
infra-cache-slabs: 8
key-cache-slabs: 8
rrset-cache-size: 64m
msg-cache-size: 32m
so-rcvbuf: 1m
root-hints: "C:\Program Files (x86)\Unbound\named.cache"
#local-zone: "exemple.net." redirect
#local-data: "exemple.net. 60 IN NS localhost."
#local-data: "exemple.net. 60 IN A 127.0.0.1"
Installation de Unbound
Vous allez voir, c'est très simple et rapide. Double cliquez sur l'installer Unbound et installez tout sans rien toucher.
Attention ! Si vous modifiez le chemin d'installation, le fichier de configuration ne conviendra plus !
(https://static.chez-oim.org/img/unbound1.png)
(https://static.chez-oim.org/img/unbound2.png)
(https://static.chez-oim.org/img/unbound3.png)
(https://static.chez-oim.org/img/unbound4.png)
(https://static.chez-oim.org/img/unbound5.png)
(https://static.chez-oim.org/img/unbound6.png)
(https://static.chez-oim.org/img/unbound7.png)
Maintenant, pour Windows 32 ou 64 bits, ouvrez le dossier "c:\program files\unbound\" et copiez-y les fichiers named.cache et service.conf
Pour Windows 64 bits, dans le cadre d'une mise à jour ou d'une réparation d'une vieille version de Unbound (Version < 1.6.2), ouvrez le dossier "c:\program files (x86)\unbound\" et copiez-y les fichiers named.cache et service.conf
Si les fichiers existent déjà, renommez les ou supprimez les.
(Haut de page) (#post_haut)
Rendez vous maintenant dans les services. Appuyer sur Win + R ou cliquez sur Démarrer puis Exécuter et entrez ce qui suit :
Recherchez le service Unbound DNS validator dans la liste.
(https://static.chez-oim.org/img/unbound8.png)
Vérifiez que ce service est bien sur "Automatique" (1). Si il n'est pas en "Démarré" (2), cliquez sur "Démarrer" (3) sinon, cliquez sur "Redémarrer" (3) afin que le fichier de configuration soit chargé.
Si le service n'est pas en "automatique", double cliquez sur le nom Unbound DNS validator et sélectionnez le mode de démarrage "Automatique" puis cliquez sur "Appliquer".
(https://static.chez-oim.org/img/unbound9.png)
(Haut de page) (#post_haut)
C'est bientôt fini, paramétrons notre carte réseau !
(https://static.chez-oim.org/Themes/core/images/warn.gif) Assurez vous que le service unbound est bien démarré ! Si ce n'est pas le cas, démarrez le comme expliqué ci dessus.
Si le service refuse de démarrer, vous avez un problème, n'allez pas plus loin et contrôlez votre fichier de configuration, service.conf, ainsi que la présence et le contenu de named.cache.
N'hésitez pas à poser des questions en cas de problème. Les invités peuvent poster.
On touche à la fin. Allons dans les connexions réseau afin de pouvoir utiliser notre DNS.
Appuyer sur Win + R ou cliquez sur Démarrer puis Exécuter et entrez ce qui suit :
Double cliquez sur votre carte réseau (Le plus souvent, elle s'appelle "Connexion au réseau local") et cliquez sur "propriétés".
(https://static.chez-oim.org/img/unbound14.png)
(https://static.chez-oim.org/img/unbound10.png)
Sur l'onglet "Gestion de réseau" sélectionnez "Protocole internet version 4 (TCP/IPv4)" et cliquez sur "Propriétés" (Pas IPv6 !).
(https://static.chez-oim.org/img/unbound11.png)
Pour finir, dans la partie DNS (2) entrez l'adresse 127.0.0.1 comme serveur DNS préféré. Vous pouvez laisser le deuxième champ vide où y mettre le DNS de votre choix, il y a peu de chances qu'il soit utilisé.
(https://static.chez-oim.org/img/unbound12.png)
Rendez-vous également sur la ligne "Protocole internet version 6 (TCP/IPv6)" et cliquez sur "Propriétés".
Entrez l'adresse de serveur DNS ::1 comme indiqué ci-dessous, sur la capture.
Si des adresses de serveurs DNS sont déjà présentes, notez les (au cas où) et supprimez les. Il s'agit des DNS de votre FAI dont nous ne voulons plus.
(https://static.chez-oim.org/img/unbound-ipv6.png)
N'hésitez pas à répéter ces opérations sur votre carte WIFI si votre PC en est équipé (optionnel, c'est vous qui voyez).
*** OPTIONNEL ***
La partie 1 ne sera à modifier que si vous souhaitez que votre DNS soit accessible à partir de votre réseau local, depuis d'autres ordinateurs ou smartphones.
Dans ce cas, il vous faudra choisir une adresse IP fixe. Cette adresse et celle de la passerelle dépendront de votre réseau local et de l'adresse de votre box.
Ouvrez le fichier
service.conf de Unbound et ajoutez une ligne
interface: votre adresse locale sous la ligne
interface: 127.0.0.1 et redémarrez le service Unbound pour que la modification soit prise en compte.
(Haut de page) (#post_haut)
Vous pouvez maintenant valider et procéder à votre premier essai.
Appuyer sur Win + R ou cliquez sur Démarrer puis Exécuter et entrez ce qui suit :
Une fenêtre MS-DOS s'ouvre. Entrez ce qui suit pour vider votre cache DNS:
Puis entrez ceci pour faire un essai:
(https://static.chez-oim.org/img/unbound13.png)
Il est possible que le serveur affiché ne soit pas localhost mais Unknown. Ce n'est pas grave si votre DNS n'a pas de nom, cela vient du contenu du fichier hosts de votre machine. Le principal est l'adresse du serveur.
Le serveur DNS utilisé pour le test est bien le 127.0.0.1 ou le ::1 ? Alors c'est tout bon, votre serveur DNS perso fonctionne à merveille !
Dorénavant, vous n'aurez plus à vous soucier des différents blocages DNS des FAI de France et d'ailleurs de même que les DNS menteurs seront bientôt un vieux souvenir. :)
Si vous êtes parano, vous imaginerez que votre serveur DNS est moins rapide que les autres. Votre serveur va faire de la mise en cache, c'est à dire qu'il va mémoriser les résultats qu'il a déjà obtenu et il va devenir bien plus rapide que tous les autres, puisqu'il aura les résultats directement sous le nez, et non chez votre FAI ou ailleurs.
La preuve que votre DNS est très rapide, en image : (le serveur ayant l'adresse 192.168.0.2 est le même que 127.0.0.1 mais il est accessible sur mon réseau local par tous les appareils connectés (en wifi, par exemple).
(https://static.chez-oim.org/img/unbound_speed.png)
(Haut de page) (#post_haut)
Éclaircissements sur le fichier de configuration donné dans ce tuto
Revenons sur le fichier de configuration que vous avez installé.
# Unbound configuration file on windows.
server:
verbosity: 1
logfile: "C:\Program Files\unbound\unbound.log"
log-queries: no
# on Windows, this setting makes reports go into the Application log
# found in ControlPanels - System tasks - Logs
#use-syslog: yes
Cette partie demande au serveur de ne pas enregistrer les requêtes DNS dans le fichier unbound.log. Seuls les arrêts/démarrages, erreurs et quelques chiffres seront enregistrés dans ce fichier.
#auto-trust-anchor-file: "C:\Program Files\Unbound\root.key"
interface: ::1
interface: 127.0.0.1
port: 53
# access-control: 0.0.0.0/0 refuse
access-control: 127.0.0.0/24 allow
access-control: 192.168.0.0/16 allow
access-control: ::1 allow
do-ip4: yes
do-ip6: yes
do-udp: yes
do-tcp: yes
Le serveur sera accessible sur les adresses IP 127.0.0.1 et ::1 via le port 53 (les requêtes DNS s'effectuent sur le port 53, ne le modifiez pas).
Le serveur sera également accessible depuis votre réseau local si vous ajoutez une ligne interface: adresse locale
Il utilisera les protocoles UDP et TCP et l'IPv4 ainsi que l'IPv6.
hide-identity: yes
hide-version: yes
harden-glue: yes
use-caps-for-id: yes
cache-min-ttl: 300
cache-max-ttl: 86400
do-not-query-localhost: yes
Cette partie est avant tout dédiée à la sécurité de votre serveur. Il n'est pas conseillé d'y toucher à moins de savoir ce que l'on fait.
prefetch: yes
msg-cache-slabs: 8
rrset-cache-slabs: 8
infra-cache-slabs: 8
key-cache-slabs: 8
rrset-cache-size: 64m
msg-cache-size: 32m
so-rcvbuf: 1m
Cette partie concerne la mise en cache et influe directement sur la vitesse de votre serveur. Comme pour la sécurité, ne la modifiez que si vous savez ce que vous faites.
root-hints: "C:\Program Files\Unbound\named.cache"
Cette ligne désigne l'emplacement du fichier contenant la liste des serveurs DNS racine.
Cette liste change très, très rarement. Si votre serveur venait à retourner des erreurs en relation avec cette liste dans le futur, il vous suffira de charger la nouvelle (l'adresse du serveur où obtenir cette liste se trouve dans le fichier lui même).
Si votre serveur semble mal fonctionner (il retourne des erreurs ou devient beaucoup plus lent), c'est qu'il y a un problème avec la racine. Chargez la nouvelle liste des serveurs racine dans le fichier named.cache et redémarrez le service unbounb.
Je vous le répète. L'adresse des serveurs racine change très, très rarement. Il est plus profitable d'avoir cette liste dans un fichier pour avoir un serveur DNS rapide.
#local-zone: "exemple.net." redirect
#local-data: "exemple.net. 60 IN NS localhost."
#local-data: "exemple.net. 60 IN A 127.0.0.1"
En commentaires, vous trouverez un exemple de "DNS menteur". Ici, le domaine exemple.net retournera l'IP 127.0.0.1
Bien entendu, installer un serveur DNS pour en faire un DNS menteur est totalement ridicule, vous en conviendrez...
J'ai placé cet exemple afin que vous sachiez comment procèdent les FAI quand ils bloquent un domaine et décident que leurs DNS vont devenir des menteurs.
Posséder son propre serveur DNS, c'est aussi avoir la liberté de lui faire répondre des mensonges...
Par contre, en matière de DNS menteur, la très grosse utilité de posséder son propre serveur DNS est de pouvoir le faire mentir pour les domaines connus affichant de la pub, comme doubleclick, par exemple.
Vous pouvez également bloquer les sites de cul préférés de votre ado si celui ci est un peu trop jeune. ;)
ATTENTION !
Après chaque modification de la configuration, le service Unbound doit être redémarré afin qu'il charge le fichier modifié.
(Haut de page) (#post_haut)
J'ai Windows 10 et Unbound ne fonctionne pas
Sous Windows 10, des problèmes ont été rapportés mais ne concernent pas tout le monde. Sous ce système d'exploitation, ça peut marcher comme ça peut ne pas marcher.
Ne me demandez pas pourquoi, je suis bien incapable de vous répondre. En plus, je ne possède pas Windows 10.
Ceci dit, vous pouvez toujours essayer ce qui suit avec votre Windows 10 si tout est correctement installé mais que Unbound refuse de fonctionner :
Ouvrez le gestionnaire des tâches (CTRL + ALT + SUPPR) et allez dans les processus.
Faites un clic droit sur Unbound suivi de propriétés.
Allez sur l'onglet compatibilité et lancez la résolution des problèmes de compatibilité en acceptant tout ce qui est proposé.
Théoriquement, cela devrait marcher. Sinon, n'hésitez pas à poser vos questions.
Pourquoi utiliser un serveur DNS personnel comme Unbound ?
Au mois de juillet 2017, la justice française a ordonné le blocage de 4 sites de streaming ou de téléchargement (en France). Les fournisseurs d'accès sont chargés de ce blocage.
Bien entendu, les FAI/ISP ont fait au plus simple en effectuant un blocage DNS.
Comme vous l'aurez remarqué, cette censure est passée totalement inaperçue et a été mise en oeuvre dans la plus grande des discrétions. Aucun média n'a parlé de ces blocages qui deviennent de plus en plus nombreux.
Prenons l'exemple du site allomovies.com dont j'ai appris l'existence en lisant la décision de justice (Ne rigolez pas, c'est vrai).
Regardons en images :
(https://static.chez-oim.org/uploads/member_1/stock1/1506362281.png)
En utilisant les serveurs DNS de NUMERICABLE (1), le serveur retourne la réponse NXDOMAIN (2), ce qui signifie Non-Existent Domain ou domaine inexistant en français.
Il n'y a pas de réponse pour l'adresse demandée, elle n'existe pas. Le navigateur des internautes va afficher une erreur disant que le site n'existe pas et l'internaute passera son chemin sans se poser de questions.
Par contre, pour ceux utilisant leur propre serveur DNS, la chanson est différente...
En utilisant Unbound (3), on s'aperçoit que le site existe bel et bien et que ses serveurs DNS répondent correctement (4), ce qui permettra de se rendre sur le site !
Ce type de censure est sournoise. Comme je l'ai dit, l'internaute qui utilise les DNS de son FAI/ISP aura un message d'erreur l'informant que le site n'existe pas. Dans le meilleur des cas, il fera une recherche Google, apprendra que le site est bloqué et il se résignera.
Dans le pire des cas, l'internaute ne cherchera pas à comprendre ou ne trouvera pas de réponse à ses questions et il se résignera également.
Avec un DNS personnel, la question ne se posera même pas, le site existe et l'internaute peut le visiter.
(Haut de page) (#post_haut)
Activer DNSSEC sur son serveur Unbound
DNSSEC est un système de protection contre l'empoisenement du cache DNS. Je vous explique.
Le DNS, dans l'état où il existe, est vulnérable. Ce n'est pas spécifique à Unbound, mais à tous les serveurs DNS de la planète.
Cela consiste à bombarder un serveur DNS de requêtes pour que le serveur qui pose une question ne puisse plus faire la différence entre le serveur officiel qui répond et le faux serveur qui répond n'importe quoi.
Vous vous retrouvez sur un site qui a exactement l'adresse demandée mais qui n'est pas du tout ce site !
DNSSEC permet d'ajouter des signatures aux réponses obtenues afin de vérifier que la réponse est belle et bien officielle. Pour info, chez oim utilise DNSSEC.
Passons à l'activation de DNSSEC sur notre serveur !
Vous allez voir, c'est simple.
- Ouvrez le dossier dans lequel Unbound.exe est installé.
Il s'agit soit de C:\Program Files\Unbound\ ou de C:\Program Files (x86)\Unbound\
Notez bien ce dossier ! Vous en aurez besoin plus tard !
Dans ce dossier, repérez le programme unbound-anchor.exe et exécutez le en double cliquant dessus. Vous verrez apparaitre un fichier root.key dans le dossier.
Ensuite, ouvrez le fichier service.conf.
La ligne pour DNSSEC est déjà présente si vous utilisez le fichier donné ici dans ce tuto.
Il s'agit de cette ligne :
#auto-trust-anchor-file: "C:\Program Files\Unbound\root.key"
OU
#auto-trust-anchor-file: "C:\Program Files (x86)\Unbound\root.key"
Retirez simplement la dièse, (#), en début de ligne et enregistrez.
Vous n'avez plus qu'à redémarrer le service Unbound et à tester que tout fonctionne correctement.
Maintenant, il faut vérifier que DNSSEC est bien pris en charge par votre serveurs DNS, rendez-vous à cette adresse : (si vous testez les DNS de votre FAI/ISP, il y a peut de chances que ça fonctionne...)
https://www.rootcanary.org/test.html (https://www.rootcanary.org/test.html)
Sur la page qui s'affiche, un peu de patience va vous être demandée. Votre DNS Unbound est en train d'être testé, soyez patient !
Passé un délai de quelques minutes, vous devriez obtenir quelque chose de similaire à ceci :
(https://static.chez-oim.org/uploads/member_1/1585747797.png)
Un test plus simple est possible à cette adresse :
https://dnssec.vs.uni-due.de/ (https://dnssec.vs.uni-due.de/)
Un gentil troll va se charger de vérifier votre installation DNS. Laissez-le faire, c'est un gentil troll que je vous ai dit :)
Cliquez sur le bouton Start Test et patientez.
Si vous obtenez cette image, malheureusement, DNSSEC n'est pas pris en charge, vous avez fait une erreur... N'hésitez pas à poser une question.
Vous n'êtes pas protégé et vous êtes donc une victime potentielle.
(https://static.chez-oim.org/img/dns-no.png)
Par contre, si vous obtenez cette image, bravo ! DNSSEC est pris en charge par votre DNS Unbound.
Vous êtes protégé. Les enfoirés du net ne vous atteindrons pas.
(https://static.chez-oim.org/img/dns-yes.png)
Vous pouvez également effectuer un test plus complet à cette adresse : http://en.conn.internet.nl/connection/
En bas de page, vous devriez obtenir un résultat comme le suivant :
(https://static.chez-oim.org/uploads/member_1/1585738078.png)
Haut de page (#post_haut)
(https://static.chez-oim.org/Logo/logo_seul.png)
Mise à jour : le 28 août 2016
Ajout de liens pour naviguer dans le tuto sans avoir à tout "dérouler"
Face à la foule d'une personne ayant demandé à ce que ce tuto existe en pdf, vous pouvez désormais le retrouver au format .PDF (https://chez-oim.org/web-download/unbound.pdf) (Signature d'intégrité PGP/GnuPG [.sig (https://chez-oim.org/web-download/unbound.pdf.sig)]) comme demandé. ;)
Attention, vous pouvez l'imprimer mais quelque chose me dit que, sur papier, les liens risquent de moins bien fonctionner.
Bien qu'il soit gratuit, vous pouvez aussi acheter ce tuto PDF si le coeur vous en dit. O:-)
Conversation démarrée en MP et copiée/collée ici
Yam25 :
Bonjour Alex,
Suite à votre Tuto : Installer son propre serveur DNS sous Windows avec Unbound/
Tout d'abord un grand merci !
excellente tuto, très clair.
le IPV4 marche très bien !
j'ai tenté de changer l'IPv6 ;
service.conf -j'ai changé LE ipv6 en yes
dns ipv6 0:0:0:0:0:0:0:1
C:\WINDOWS\system32>nslookup google.fr
Serveur : localhost
Address: ::1
DNS request timed out.
timeout was 2 seconds.
DNS request timed out.
timeout was 2 seconds.
*** Le délai de la requête sur localhost est dépassé.
il me semble que c'est ok ...quel est votre avis ?
Bonne journée?
Alex :
Salut,
J'aurais préféré que tu poses ta question en public. En privé, ça ne profite à personne.
Ton truc ne marche pas. Ton serveur DNS ne répond plus (DNS request timed out)
J'avais prévenu, Unbound pose souvent souci avec l'IPv6.
Essaye en lui donnant l'adresse ::1 et pas 0:0:0:0:0:0:0:1 (c'est pas juste).
Yam25 :
Salut,
Tu as raison pour la question en public...sorry.
IPV6 ne marche pas...dans ce cas comment se fait le choix de serveur DNS?
Est-ce nécessaire de désactiver IPv6 pour profiter de mon serveur DNS ?
Merci,
yam
Bonjour Alex,
interrogations de jour:
1.
C:\WINDOWS\system32>nslookup google.fr
Serveur : UnKnown
Address: fe80:....
Réponse ne faisant pas autorité :
Nom : google.fr
Addresses: 2a00:1450:4007:80d::2003
216.58.204.99
j'ai désinstaller le service Unbound (sc delete)
j'ai réinstallé à nouveau et toujours serveur UnKnown
à la différence de première jour serveur local 127.0.0.1 ??
2.
Avec la livebox je ne peux pas changer le DNS machine (livebox 3)
je passe forcément par Orange..?
Yam
Orange fibre livebox play jet
Bonjour,
Ma carte réseau est configuré comme indiqué dans tuto :
"Pour finir, dans la partie DNS (2) entrez l'adresse 127.0.0.1 comme serveur DNS préféré"
avec DNS Benchmark le localhost est bien 127.0.0.1
invite de commandes:
C:\WINDOWS\system32>nslookup google.fr
Serveur : UnKnown
Address: fe80...............
Réponse ne faisant pas autorité :
Nom : google.fr
Addresses: 2a00:1450:400c:c09::5e
64.233.167.94
?
Merci
Oui, j'ai vu après. :)
Bon ! Ta carte s'appelle "home" et elle n'est pas configurée pour utiliser ton DNS maison, Unbound.
IPv6 est prioritaire.
Suffixe DNS propre à la connexion. . . : home
Description. . . . . . . . . . . . . . : Realtek PCIe GBE Family Controller
Adresse physique . . . . . . . . . . . :
DHCP activé. . . . . . . . . . . . . . : Non
Configuration automatique activée. . . : Oui
Adresse IPv6 de liaison locale. . . . .: fe80 ....(préféré)
Adresse IPv4. . . . . . . . . . . . . .: 192.168.1.11(préféré)
Masque de sous-réseau. . . . . . . . . : 255.255.255.0
Passerelle par défaut. . . . . . . . . : 192.168.1.1
IAID DHCPv6 . . . . . . . . . . . : 64539
DUID de client DHCPv6. . . . . . . . : 00-
Serveurs DNS. . . . . . . . . . . . . : fe80::f282:61ff:fed5:e8c8%3
127.0.0.1
NetBIOS sur Tcpip. . . . . . . . . . . : Activé
Liste de recherche de suffixes DNS propres à la connexion :
home
Retourne dans la configuration réseau et décoche IPv6 comme ci dessous :
(https://static.chez-oim.org/img/unbound11.png)
Je reste convaincu que ta carte utilise encore le DNS désigné par son IPv6, elle est donc mal configurée !
Il faut virer ce DNS si tu peux le faire !
Le DNS utilisé doit être seul et avoir comme adresse 127.0.0.1 !
Re :)
appuie sur les touches Win + R et entre :
Dans la fenêtre qui s'ouvre, entre :
Ton ordinateur doit indiquer qu'il utilise le serveur DNS ayant l'adresse IP 127.0.0.1
(https://static.chez-oim.org/img/unbound13.png)
Si ce n'est pas le cas, ta carte réseau n'a certainement pas été paramétrée pour utiliser Unbound.
C'est exactement ce que j'ai : 127.0.0.1.
A compter du moment où tu utilises ton propre DNS, modifier le fichier hosts est une très mauvaise idée.
C'est inutile et sans intérêt, pour répondre à ta question.
De plus, si ce fichier contient déjà des adresses de sites, ça t'oblige à le maintenir à jour alors que Unbound peut très bien aller chercher ces adresses comme un grand garçon en utilisant le DNS "officiel".
Je n'ai rien touché. Par défaut j'avais :
# Copyright (c) 1993-2009 Microsoft Corp.
#
# This is a sample HOSTS file used by Microsoft TCP/IP for Windows.
#
# This file contains the mappings of IP addresses to host names. Each
# entry should be kept on an individual line. The IP address should
# be placed in the first column followed by the corresponding host name.
# The IP address and the host name should be separated by at least one
# space.
#
# Additionally, comments (such as these) may be inserted on individual
# lines or following the machine name denoted by a '#' symbol.
#
# For example:
#
# 102.54.94.97 rhino.acme.com # source server
# 38.25.63.10 x.acme.com # x client host
# localhost name resolution is handled within DNS itself.
# 127.0.0.1 localhost
# ::1 localhost
127.0.0.1 localhost
Comme domaine actuellement bloqué, tu as t411.me, par exemple.
Numericable te dira que le domaine n'existe pas dans son DNS alors que Orange te renverra l'adresse 127.0.0.1 qui est celle de ton PC...
Je suis renvoyé vers t411.li. C'est que tout va bien ? Aussi, suis-je certain de ne pas tomber sur un site de pishing ?
Tu as quel Windows ? 32 ou 64 bits ?
Je suis en 64 bits Windows 7.
Merci pour cette réponse rapide :)
MSN ? Tu aurais un lien ?
Je sais que Windows, à partir de la version 7, fait tout pour utiliser son propre DNS. J'essaye d'étudier le truc, mais c'est très tordu !
Certaines mises à jour sont rejetées si tu utilises ton propre DNS. Windows se comporte exactement comme le salopard qui ne veut pas qu'on sache ce qu'il fait ! :ge:
Perso, dans la config, j'ai rajouté ce qui suit :
local-zone: "dns.msftncsi.com." static
local-data: "dns.msftncsi.com. 3600 IN NS localhost."
local-data: "dns.msftncsi.com. 3600 IN A 127.0.0.3"
local-data-ptr: "127.0.0.3 3600 dns.msftncsi.com"
local-zone: "www.msftncsi.com." static
local-data: "www.msftncsi.com. 3600 IN NS localhost."
local-data: "www.msftncsi.com. 3600 IN A 127.0.0.4"
local-data-ptr: "127.0.0.4 3600 www.msftncsi.com"
Les adresses 127.0.0.3 et 127.0.0.4 me permettent de repérer facilement Microsoft dans un log.
Bonjour,
sympa le tutoriel.
J'ai juste un soucis pour le paramétrage.
Je voudrais forcer le safesearch de Google en utilisant cette ligne de commande
local-data: "google.fr. IN CNAME forcesafesearch.google.com."
local-data: "www.google.fr. IN CNAME forcesafesearch.google.com."
Cela me donne rien en retour.
J'ai généré et activé la clé.
Avez-vous une idée?
Damien
Salut,
Tu as oublié une ligne, qui vient au tout début, avant local-data :
local-zone: "google.fr." static
Tu as également oublié le TTL qui est la durée en secondes pendant laquelle les infos seront conservées en cache.
TTL = Time To Live.
Ce qui nous donne :
local-zone: "google.fr." static
local-data: "google.fr. 3600 IN CNAME forcesafesearch.google.com."
local-data: "www.google.fr. 3600 IN CNAME forcesafesearch.google.com."
Bien entendu, après, tu n'oublies pas de redémarrer le service Unbound pour que la nouvelle config soit chargée.
ATTENTION !
Après cette manip, toutes tes demandes à google.fr suivront le chemin indiqué dans la config Unbound !
Et pour finir, un enregistrement CNAME est une espèce de redirection invisible qui n'apparait pas dans la barre d'adresse.
Donc, tu peux très bien avoir été redirigé, mais ton navigateur affichera toujours google.fr.
Merci pour cette réponse.
Oui je veux que ce soit transparent, c'est pour une école donc je veux bloquer tous les images illicites et sites internet dans les recherches Google.
Je recopié les 3 lignes mais le ping fonctionne bien sur www.google.fr mais pas sur google.fr
voici le fichier
server:
verbosity: 1
logfile: "E:\Program Files (x86)\Unbound\unbound.log"
log-queries: no
# on Windows, this setting makes reports go into the Application log
# found in ControlPanels - System tasks - Logs
#use-syslog: yes
server: auto-trust-anchor-file: "C:\Program Files (x86)\Unbound\test.key"
interface: 127.0.0.1
port: 53
# access-control: 0.0.0.0/0 refuse
access-control: 127.0.0.0/24 allow
access-control: 192.168.20.0/16 allow
do-ip4: yes
do-ip6: no
do-udp: yes
do-tcp: yes
hide-identity: yes
hide-version: yes
harden-glue: yes
use-caps-for-id: yes
cache-min-ttl: 300
cache-max-ttl: 86400
do-not-query-localhost: yes
prefetch: yes
msg-cache-slabs: 8
rrset-cache-slabs: 8
infra-cache-slabs: 8
key-cache-slabs: 8
rrset-cache-size: 64m
msg-cache-size: 32m
so-rcvbuf: 1m
root-hints: "C:\Program Files (x86)\Unbound\named.cache"
#local-data: "www.google.fr. 60 IN A 216.239.38.120"
#local-data: "google.fr. 60 IN A 216.239.38.120"
local-zone: "google.fr." static
local-data: "google.fr. 3600 IN CNAME forcesafesearch.google.com."
local-data: "www.google.fr. 3600 IN CNAME forcesafesearch.google.com."
forward-zone:
name: "."
forward-addr: 8.8.8.8
forward-addr: 8.8.4.4
Ce n'est pas un ping qu'il faut utiliser, ça n'indique rien. En plus, tu as raison, Windows n'aimera pas du tout puisqu'il n'existe pas d'enregistrement A pour le domaine, il n'y a donc pas de réponse possible à un ping.
L'idéal, c'est de faire un "dig", mais c'est une commande Linux...
Je viens de faire l'essai chez moi et ça fonctionne très bien :
; <<>> DiG 9.10.4-P2 <<>> google.fr
;; QUESTION SECTION:
;google.fr. IN A
;; ANSWER SECTION:
google.fr. 3600 IN CNAME forcesafesearch.google.com.
;; Query time: 0 msec
;; SERVER: 127.0.0.1#53(127.0.0.1)
; <<>> DiG 9.10.4-P2 <<>> www.google.fr.
;; QUESTION SECTION:
;www.google.fr. IN A
;; ANSWER SECTION:
www.google.fr. 3600 IN CNAME forcesafesearch.google.com.
;; Query time: 0 msec
;; SERVER: 127.0.0.1#53(127.0.0.1)
Le souci avec Google, c'est qu'il risque de te ré-expédier sur une page sans te demander ton avis.
Si tu tiens vraiment à bloquer la page google.fr, je te conseille plutôt de créer un enregistrement A avec comme adresse 127.0.0.1 ou 0.0.0.0
En envoyant sur la page forcesafesearch.google.com., tu donnes la main à Google et tu ne sais pas vers quel domaine il va t'expédier.
Du coup, ça donnerait ça :
local-zone: "google.fr." static
local-data: "google.fr. 3600 IN A 127.0.0.1"
local-data: "www.google.fr. 3600 IN A 127.0.0.1"
Et là, ton ping fonctionnera.
Là, tes gamins obtiendront une page d'erreur si ils vont sur le site de Google.
Si vous êtes sur un réseau local, tu peux peux même installer un serveur Apache sur une machine et donner son adresse dans tes enregistrements, ça pourrait conduire à une page d'avertissement par exemple.
Salut,
oui j'ai bien vérifié.
J'ai retélécharger le fichier "named.cache" , relance du service , ça fonctionne , je pense qu'une erreur dans ce premier fichier téléchargé. donc sercice démarre, ok.
j'ai ajouté "access-control: 10.207.137.0/24 allow" car monréseau intra, je voudrai que les autres machines puisse venir sur ce serveur quiest sur la machine en 10.207.137.70 - ou faut il que je mette 10.207.137.0 /24 allow (réseau).
J'ai laissé une forward-addr car si je supprime je suis bien sur 127.0.01 mais on ne trouve aucune réponse dns..!!
apparemment mon dns ne contacte pas les DNS de base.
ci après mon fichier :# Unbound configuration file on windows.
server:
verbosity: 1
logfile: "C:\Program Files\unbound\unbound.log"
log-queries: no
# on Windows, this setting makes reports go into the Application log
# found in ControlPanels - System tasks - Logs
#use-syslog: yes
#server: auto-trust-anchor-file: "C:\Program Files\Unbound\root.key"
interface: 127.0.0.1
interface: 10.207.137.70
port: 53
# access-control: 0.0.0.0/0 refuse
access-control: 127.0.0.0/24 allow
access-control: 10.207.137.0/24 allow # 192.168.0.0/16 allow
do-ip4: yes
do-ip6: no
do-udp: yes
do-tcp: yes
hide-identity: yes
hide-version: yes
harden-glue: yes
use-caps-for-id: yes
cache-min-ttl: 300
cache-max-ttl: 86400
do-not-query-localhost: yes
prefetch: yes
msg-cache-slabs: 8
rrset-cache-slabs: 8
infra-cache-slabs: 8
key-cache-slabs: 8
rrset-cache-size: 64m
msg-cache-size: 32m
so-rcvbuf: 1m
root-hints: "C:\Program Files\Unbound\named.cache"
#local-zone: "exemple.net." redirect
#local-data: "exemple.net. 60 IN NS localhost."
#local-data: "exemple.net. 60 IN A 127.0.0.1"
forward-zone:
name: "."
forward-addr: 216.146.35.35
# forward-addr: 8.8.8.8
# forward-addr: 8.8.4.4
Tout d'abord, je vois ça qui ne va pas :
forward-zone:
name: "."
forward-addr: 216.146.35.35
# forward-addr: 8.8.8.8
# forward-addr: 8.8.4.4
Si tu supprimes le forwarding, il faut tout commenter et pas seulement les DNS.
Ce qui nous donne :
#forward-zone:
# name: "."
# forward-addr: 216.146.35.35
# forward-addr: 8.8.8.8
# forward-addr: 8.8.4.4
De toute façon, cette zone de forward n'est pas utile. Elle est là pour palier à un problème de Unbound en interrogeant d'autres DNS externes.
Perso, je n'ai aucune zone de forward dans ma config et ça fonctionne très bien.
Essaye déjà de placer la zone de forward en commentaires et dis moi si cela change quelque chose.
Ensuite, quand je vois des IPs en 10.x.y.z, ça me fait tiquer.
Qu'elle est cette IP ? Elle t'appartient ?
En général, ces IPs en 10.x.y.z appartiennent aux FAI/ISP. C'est les adresses internes des box. Les FAI/ISP possèdent un réseau Ethernet (une espèce de local) avec ces IPs en 10.x.y.z du côté du WAN. Ces IPs se limitent à l'AS du point de peering, il n'y a aucun routage vers le réseau internet.
Ca permet aux FAI/ISP d'accéder directement à une box pour en modifier la config, en faisant une mise à jour par exemple.
C'est cette adresse directe à la box de chaque abonné qui permet de faire un reset d'une box à distance même contre son gré et qui met un terme à un appel au SAV (reset téléphonique aussi oblige...)
Heureusement, ces adresses sont sur le réseau des FAI/ISP, les abonnés n'y ont pas accès.
Si tu travailles avec ce type d'adresse IP "exotique", il va te falloir aller dans ta box et rediriger le port 53 vers la machine en question.
Est-ce que la box acceptera ce type d'IP ? Mystère ! Ton retour d'expérience m'intéresse ! ;)
Enfin, fais déjà les choses dans l'ordre.
1) Tu supprimes entièrement la zone de forward et tu vois.
2) ensuite, seulement, tu te penches sur ton IP exotique.
N'oublie pas de redémarrer le service Unbound à chaque modif ! :jr:
Salut,
en fait les problèmes viennent du firewall.....
j'ai modifié des paramètres puis petit à petit cela fonctionne, un peu lent mais je vais voir si cela accélère...
j'ai essayé une installation sur une autre machine qui est elle en 32bits (x32) sur le réseau :
- d'abord inexée sur l'autre machine ... marche bien
- une installation autonome en 32b ça fonctionne , mais difficultés pour redémarrer le service....? alors que ça fonctionne ! j'ai alors supprmé les lignes
# prefetch: yes
# msg-cache-slabs: 8
# rrset-cache-slabs: 8
# infra-cache-slabs: 8
# key-cache-slabs: 8
# rrset-cache-size: 64m
# msg-cache-size: 32m
# so-rcvbuf: 1m
c'est mieux mais erdem lent... mais fonction dns OK :jh:
merci pour ....., j'attends un peu et je donnerai des nouvelles dans qqes temps
Cordialement
Jacky :)
Non c'est juste le redemarrage de unbound, qui même, met un message disant qu'il n'a pas pu démarrer , alors qu'il a redémmaré et fonctionne.
Le rédem jusqu'au message prend environ 2-3 mn.
Je suis en localhost mais aussi l'ip de ma machine 32b sur le réseau, mais j'ai aussi gardé la ligne 192.168.x.y qui correspond à la box de mon FAI placé avant le routeur, box qui me donne le net.
interface 127.0.0.1
interface 10.207.137.72 (c'est la machine, ce qui la rend accecible par le réseau),
puis
access-control: 0.0.0.0/0 refuse ---> je ne comprends pas cette ligne ?
access-control: 127.0.0.0/24 allow
access-control: 10.207.137.0/24 allow ---> mon réseau intra
access-control: 192.168.1.0/16 allow ----> la box de mon FAI que est r, .....1.0 et pas en .....0.0
si j'ai mal compris indique moi svp
Ah oui ! Ca fait long !
A tous les coups, ton routeur est en 10.x.y.z mais le PC en 192.168.x.y et c'est ça qui merde au démarrage.
Unbound doit certainement se perdre dans les adresses ou il perd du temps à attendre une réponse.
La ligne suivante est là pour l'exemple
access-control: 0.0.0.0/0 refuse
Elle permet de connaitre la syntaxe permettant de bloquer des plages d'IP.
La ligne
access-control: 192.168.1.0/16 allow
Doit rester en (sans le 1)
access-control: 192.168.0.0/16 allow
Cette ligne signifie toutes les adresses débutant par 192.168 (ne mets que des zéros derrière).
Ca veut dire 192.168 + 16 bits (soit 2 octets) Ca couvre donc la plage 192.168.0.0 - 192.168.255.255
Attention !
Les exemples ci dessus ne bloquent pas les IP mais ne les autorisent pas pour autant !
Si tu veux que ton DNS traite des requêtes sur une IP précise, il te faudra une ligne du type
Par exemple. Sous la ligne autorisant localhost (127.0.0.1)
Théoriquement, ton PC à deux adresses.
Localhost et une autre débutant par 192.168.
Je crois que tes adresse en 10.x.y.z ne là que pour le routage.
Pourquoi utiliser un serveur DNS personnel comme Unbound ?
Au mois de juillet 2017, la justice française a ordonné le blocage de 4 sites de streaming ou de téléchargement. Les fournisseurs d'accès sont chargés de ce blocage.
Bien entendu, les FAI/ISP ont fait au plus simple en effectuant un blocage DNS.
Comme vous l'aurez remarqué, cette censure est passée totalement inaperçue et a été mise en oeuvre dans la plus grande des discrétions. Aucun média n'a parlé de ces blocages qui deviennent de plus en plus nombreux.
Prenons l'exemple du site allomovies.com dont j'ai appris l'existence en lisant la décision de justice (Ne rigolez pas, c'est vrai).
Regardons en images :
(https://static.chez-oim.org/uploads/member_1/stock1/1506362281.png)
En utilisant les serveurs DNS de NUMERICABLE (1), le serveur retourne la réponse NXDOMAIN (2), ce qui signifie Non-Existent Domain ou domaine inexistant en français.
Il n'y a pas de réponse pour l'adresse demandée, elle n'existe pas. Le navigateur des internautes va afficher une erreur disant que le site n'existe pas et l'internaute passera son chemin sans se poser de questions.
Par contre, pour ceux utilisant leur propre serveur DNS, la chanson est différente...
En utilisant Unbound (3), on s'aperçoit que le site existe bel et bien et que ses serveurs DNS répondent correctement (4), ce qui permettra de se rendre sur le site !
Ce type de censure est sournoise. Comme je l'ai dit, l'internaute qui utilise les DNS de son FAI/ISP aura un message d'erreur l'informant que le site n'existe pas. Dans le meilleur des cas, il fera une recherche Google, apprendra que le site est bloqué et il se résignera.
Dans le pire des cas, l'internaute ne cherchera pas à comprendre ou ne trouvera pas de réponse à ses questions et il se résignera également.
Avec un DNS personnel, la question ne se posera même pas, le site existe et l'internaute peut le visiter.
C:\>nslookup google.ca 127.0.0.1
Serveur : localhost
Address : 127.0.0.1
Réponse ne faisant pas autorité :
Nom : google.ca.numericable.fr
Address : 82.216.11.15
voilà ce que ça donne
bonjour,
je reviens à la charge.
Suite à un changement d'antivirus/pare-feu, je n'avais plus accès au net. Désinstallation/réinstallation du driver, remplacement des 2 fichiers préconisés dans le dossier Unbound, redémarrage du service.
Le champs "Utiliser l'adresse...." était vierge !
Je rentre à nouveau 127.0.0.1
Je récupère la connexion mais : cmd > vidage cache > nslookup google.fr =
Serveur : Localhost
Adress : 127.0.0.1
DNS request timed out.
timed out was 2 seconds
"" "" "" ""
*** le délai de la requête sur localhost est dépassé.
Parfois, pour changer : :-[
*** localhost ne parvient pas à trouver (soit google, soit t411) : Server failed
Une petite idée ??
merci d'avance ;)
[edit] tant que j'étais sur ce forum, j'ai pu changer de page. Je quitte le forum puis, voulant continuer le surf : plus de connexion. J'efface le fameux 127.0.0.1 et ça repart. (??!!)
Essaye la requête suivante :
nslookup a.root-servers.net
pfff !! mauvaise semaine. Me revoilà après des pb de double-boot W7/Linux . J'ai voulu réparer avec Boot Repair : W7 ne voulait plus se lancer,....bref, les choses sont en place désormais.
¨Pour ce qui est de la connexion, ça fonctionne , maintenant. Va savoir pourquoi....
Oui, named.cache est bien en place. DNS 127.0.0.1. (la Livebox n'a rien à voir ?)
Je te mets le résultat :
Serveur : Unknow
Adress : fe80::7a81 :2ff:fe2e:89e6
Réponse ne faisant pas autorité :
Nom : a.root-servers.net
Adresses: 2001 :503:ba3e::2:30
198.41.0.4
Oups ! Désolé, je te vois seulement. :je:
salut,
t'inquiète, je ne suis pas pressé.
IPv6 décoché, je réitère la requête :
Serveur : localhost
Address : 127.0.0.1
Réponse ne faisant pas autorité :
Nom : a.root-servers.net
Adresses: 2001 :503:ba3e::2:30
198.41.0.4
Bon,...ya une différence mais c'est toi qui pourra m'éclairer.
Pour moi, c'est du chinois.....mais quand même, j'y vois un progrès car la première partie (localhost/Address) est revenue.
Le fichier (décompressé de l'installeur pour Win)
# Unbound configuration file on windows.
# See example.conf for more settings and syntax
server:
# verbosity level 0-4 of logging
verbosity: 0
# if you want to log to a file use
#logfile: "C:\unbound.log"
# on Windows, this setting makes reports go into the Application log
# found in ControlPanels - System tasks - Logs
#use-syslog: yes
Oui je comprend tout à fait, c'est bien de me préciser cela. De toute façon je contrôle après chaque modif que je suis stealth chez GRC Shields up et je fais leur test de spoofabilité DNS.
Et en fait j'ai tellement bossé sur les régles de pare feu (Zone Alarm puis Kerio puis Comodo) avec modem, que depuis que j'ai un routeur la notion de port-forwarding j'ai beaucoup de mal, donc j'ai commencé par me faire pirater mon routeur, en fait un routeur perso D-Link car ces idiots laissent tout ouvert par défaut ... et j'étais loin de me douter d'un tel truc, surtout qu'on m'avait dit que c'était super plus costaud qu'un pare feu logiciel... bah on a vu ... bon depuis ça je contrôle ... mais j'y pige que dalle; à part décocher les entrées WAN dans le routeur.
Alors oui si je parle de bridge c'est juste parce que je dois passer en mode bridge quand je veux changer d'IP à la demande ... donc ensuite je devrais aussitôt repasser en mode routeur certes ... je ferai gaffe. Déjà pour des raisons de sécurité j'évite de rester des semaines avec la même adresse IP car entre autre j'utilise XP...
Enfin côté Unbound sur WIn bon ça me paraît finalisé avec ton fichier et le named.cache Pour Dnssec il faut dire que c'est quand même l'installation par défaut qui le met, après je suppose que si on le veut il faut l'activer. Donc pas de problèmes pour le moment.
Côté Linux là par contre je viens d'essayer d'y mettre ton fichier en l'adaptant (chemins) mais c'est le bide ... je n'avais plus de connexion internet, j'ai donc du restaurer l'ancien et c'est reparti ... donc il n'a pas de named.cache, enfin si je l'ai laissé dans le dossier,mais sans fichier de config pointant dessus... En fait sur Linux le pb que j'ai aussi c'est que le fichier "example" qui soi disant y est, bah il n'y est pas haha, emmerdant et on peut dire que le tuto de Unbound est plus que succinct sur cette partie là...
et le fichier unbound.conf par défaut
# Unbound configuration file for Debian.
#
# See the unbound.conf(5) man page.
#
# See /usr/share/doc/unbound/examples/unbound.conf for a commented
# reference config file.
#
# The following line includes additional configuration files from the
# /etc/unbound/unbound.conf.d directory.
include: "/etc/unbound/unbound.conf.d/*.conf"
O0
EDIT : je n'ai rien dit, je viens de le retrouver ce fichier example, j'avais zappé le /doc/ oui à 17 j je suis crevé après PC depuis 8 h du mat vu le temps dans le quartier ...
Dans les fichiers de config, il existe un exemple de DNS menteur :
#local-zone: "exemple.net." redirect
#local-data: "exemple.net. 60 IN NS localhost."
#local-data: "exemple.net. 60 IN A 127.0.0.1"
Retire simplement le # devant les lignes et relance unbound.
Ensuite, tu fais un nslookup exemple.net et tu devrais obtenir 127.0.0.1 comme réponse.
Ca confirme que la config est bien chargée (N'oublie pas la liste des serveurs racine !).
Bien sur, après, tu replaces en commentaire ces 3 lignes sinon le domaine exemple.net ne te sera plus accessible si il existe.
Sous Linux, c'est la même chose sauf que les chemins doivent être modifiés.
Le fichier s'appelle unbound.conf (il faut donc le renommer) et il faut y placer la ligne include déjà existante dans le fichier existant.
J'imagine que ça se passe dans /etc/unbound/
Le redémarrage d'unbound est un impératif, quel que soit l'OS, dès qu'on modifie la config.
De toute façon, avec la loi renseignement en France, c'est toutes nos requêtes qui sont archivées... :gk:
La solution ? Le SSL (HTTPS) et/ou le VPN, à condition d'avoir confiance en son fournisseur VPN.
Enfin bref, on s'éloigne du sujet.
Bien sûr que si que Orange à des DNS qui font autorité, mais ils ne font autorité que pour les domaines *.orange.fr
Les DNS du FAI orange qui permettent d'aller sur le net ne sont que des relais de l'information, pas une autorité.
Exemple avec orange.fr :
; <<>> DiG 9.10.4 <<>> orange.fr
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 57519
;; flags: qr rd ra; QUERY: 1, ANSWER: 2, AUTHORITY: 4, ADDITIONAL: 7
;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 4096
;; QUESTION SECTION:
;orange.fr. IN A
;; ANSWER SECTION:
orange.fr. 3600 IN A 193.252.148.140
orange.fr. 3600 IN A 193.252.133.34
;; AUTHORITY SECTION:
orange.fr. 172800 IN NS ns3.orange.fr.
orange.fr. 172800 IN NS ns1.orange.fr.
orange.fr. 172800 IN NS ns2.orange.fr.
orange.fr. 172800 IN NS ns4.orange.fr.
;; ADDITIONAL SECTION:
ns1.orange.fr. 172800 IN A 80.10.201.224
ns2.orange.fr. 172800 IN A 80.10.202.224
ns3.orange.fr. 172800 IN A 80.10.200.224
ns4.orange.fr. 172800 IN A 80.10.203.224
ns1.orange.fr. 172800 IN AAAA 2a01:cb04:2040:2::1
ns2.orange.fr. 172800 IN AAAA 2a01:cb14:2040::1
C'est vrai que la censure devient féroce. C'est pour ça aussi que j'ai décidé d'utiliser mon propre serveur DNS.
Bon alors, le cache.
Unbound fait du cache mémoire, c'est à dire qu'il stocke les résultats obtenus en mémoire et pas sur le disque comme le fait ton navigateur.
L'avantage de ce système, c'est que c'est très rapide.
L'inconvénient, si Unbound est stoppé, tout le contenu mémoire qu'il occupait est libéré.
Les sites ont des IP relativement stables, on va dire. Les IP changent plus souvent que tu le penses.
Sur le DNS, il n'y a pas que l'adresse du site. Il y a aussi celle des serveurs mail, des serveurs DNS du domaine (eh oui !), et d'autres informations qui peuvent changer régulièrement.
C'est pour ça que le TTL a été mis en place. Grâce au TTL, Unbound sait pendant combien de temps une information peut être considérée comme valide.
Par exemple, si Unbound demande l'adresse de chez-oim.org et celle de google.fr, il va obtenir :
Pour chez-oim.org :
;; ANSWER SECTION:
chez-oim.org. 86400 IN A 192.95.60.151
;; Query time: 0 msec
Et pour google.fr :
;; ANSWER SECTION:
google.fr. 300 IN A 216.58.215.35
;; Query time: 31 msec
Comme tu le vois, le chiffre qui suit le nom de domaine est le TTL. Unbound pourra garder en cache l'adresse IP de chez-oim.org pendant 24h alors que ce sera 5 minutes pour Google.
Tu noteras la différence de temps (query time). Quand l'information sort du cache, Unbound renvoie l'adresse IP en 0 seconde !
Par contre, pour Google ça prend 31 millièmes de seconde parce-qu'il a fallu aller chercher l'information sur le net.
Comme tu le vois, même si ça ne sort pas du cache, Unbound reste quand même très rapide.
Salut,
Ton problème est bizarre mais pas inconnu. Le store Windows est pourtant à la simple adresse www.microsoft.com qui part dans une cascade de redirections avec des enregistrements CNAME...
www.microsoft.com. 3569 IN CNAME www.microsoft.com-c-3.edgekey.net.
www.microsoft.com-c-3.edgekey.net. 21502 IN CNAME www.microsoft.com-c-3.edgekey.net.globalredir.akadns.net.
www.microsoft.com-c-3.edgekey.net.globalredir.akadns.net. 3444 IN CNAME e13678.dspb.akamaiedge.net.
e13678.dspb.akamaiedge.net. 3421 IN A 92.122.180.185
Ceci dit, c'est pas la première fois que Microsoft semble rejeter un DNS perso. Comme si ça le dérangeait qu'on puisse savoir ce qu'il fait exactement.
Regarde ici, pour un autre exemple (sans solution) : https://chez-oim.org/index.php/topic,1599.msg25370.html#msg25370 (https://chez-oim.org/index.php/topic,1599.msg25370.html#msg25370)
Pourtant, le store Windows est accessible depuis chez moi avec Unbound et sans aucun problème...
Tu as essayé cette simple commande ? :
nslookup www.microsoft.com. 127.0.0.1
Et devrais obtenir ceci :
nslookup www.microsoft.com. 127.0.0.1
Serveur : localhost
Address: 127.0.0.1
Réponse ne faisant pas autorité :
Nom : e13678.dspb.akamaiedge.net
Addresses: 2a02:26f0:108:1b0::356e
2a02:26f0:108:1ad::356e
92.122.180.185
Aliases: www.microsoft.com
www.microsoft.com-c-3.edgekey.net
www.microsoft.com-c-3.edgekey.net.globalredir.akadns.net
Encore un mystère, la commande nslookup fonctionne mal avec des DNS locaux (dont l'adresse commence par 192.168). Windows semble vouloir un nom d'hôte et pas une IP.
Tu utilises quel navigateur ? Si c'est IE ou Edge, fais l'essai avec un autre navigateur.
Hello Alex ,
Merci pour cette réponse très précise !
alors , concernant le store , je n'y vais pas avec le navigateur , mais avec l'application intégré à windows 10 :ca t'ouvre une fenêtre avec tous les jeux/applications qui s'affichent , comme un google play en fait.
voilà ce que me renvoie la commande :
C:\Users\fred>nslookup www.microsoft.com. 127.0.0.1
Serveur : localhost
Address: 127.0.0.1
Réponse ne faisant pas autorité :
Nom : e13678.dspb.akamaiedge.net
Addresses: 2a02:26f0:82:18d::356e
2a02:26f0:82:190::356e
23.217.249.43
Aliases: www.microsoft.com
www.microsoft.com-c-3.edgekey.net
www.microsoft.com-c-3.edgekey.net.globalredir.akadns.net
C:\Users\fred>
je précise que je fais cette commande directement à partir de mon serveur DNS (qui a le même problème que tous mes pcs du réseau).
C'est vraiment le seul truc qui ne marche pas avec unbound , c'est ça que je comprends pas.
tout le reste fonctionne à la perfection (surf via Firefox, edge , toutes mes applications jeux style Steam , origin , battlenet etc etc..)
je suis en version 1.7.2 soit la dernière dispo sur le site officiel d'unbound.
en tout cas , merci encore pour ton aide et ta réactivité ;)
Marc
ok pas de soucis ;)
effectivement sous win 10 c'est un peu plus galère avec ces foutus apps Microsoft.
rien que ce store MS , c'est une sacrée usine à Gaz (je suis un gamer et je t'avoue que quelques fois je m'arrache la tête pour faire fonctionner les jeux du store !)
Pour répondre à la question , oui j'ai bien mis mon serveur accessible par 127.0.0.1 ;)
et tous les ordinateurs sur lesquels je mets le serveur unbound en DNS déconne avec le store MS (y compris le serveur lui même bien entendu) :
sur le serveur , j'ai bien mis 127.0.0.1 en adresse DNS et sur les autres je mets bien entendu l'adresse ip locale de mon serveur DNS unbound :192.168.1.50
voici un exemple de mon fichier de conf :
# Unbound configuration file on windows.
server:
verbosity: 1
logfile: "C:\Program Files\unbound\unbound.log"
log-queries: no
# on Windows, this setting makes reports go into the Application log
# found in ControlPanels - System tasks - Logs
#use-syslog: yes
#server: auto-trust-anchor-file: "C:\Program Files\Unbound\root.key"
interface: 127.0.0.1
interface: 192.168.1.50
port: 53
# access-control: 0.0.0.0/0 refuse
access-control: 127.0.0.0/24 allow
access-control: 192.168.0.0/16 allow
do-ip4: yes
do-ip6: no
do-udp: yes
do-tcp: yes
.....
en fait c'est tout simplement le tien auquel j'ai juste rajouté l'ip de mon serveur (192.168.1.50 en l'occurence) pour que je puisse l'utiliser sur tous les pcs du réseau.
doit y avoir une saleté sur win 10 qui doit bloquer le fonctionnement normal du store dés lors qu'on utilise un serveur DNS local :/
après on peut dire : ca fonctionne avec le DNS local de ma box : oui mais non car en fait le DNS de la box c'est juste un redirecteur vers les DNS de mon FAI (donc pas un vrai serveur DNS local)
j'ai activé le log des requetes DNS et voici ce que j'ai dans mon fichier log dés lors que j'essaye de me connecter au store MS (toujours via l'appli win 10) :
[1529267975] C:\Program Files\Unbound\unbound.exe[10004:0] info: 127.0.0.1 storeedgefd.dsx.mp.microsoft.com. A IN
[1529267975] C:\Program Files\Unbound\unbound.exe[10004:0] info: 127.0.0.1 storeedgefd.dsx.mp.microsoft.com. A IN
[1529267980] C:\Program Files\Unbound\unbound.exe[10004:0] info: 127.0.0.1 storeedgefd.dsx.mp.microsoft.com. A IN
je vais continuer à chercher de mon côté mais c'est quand même un truc de fou , car tout fonctionne nickel sauf ce foutu store MS avec unbound
En tout cas merci encore pour ton aide
C'est ...programme/unbound
je n'ai pas de config.con, je parlais du service.conf que tu donne en téléchargement.
j'ai supprimer le "service.conf" d'origine et l'ai remplacer par le "service.conf" configurer comme tu le mentionne.
Par contre, j'ai trouver ceci après la désinstallation dans un fichier "unbound":
[1536062364] C:\Program Files\Unbound\unbound.exe[9944:0] notice: init module 0: validator
[1536062364] C:\Program Files\Unbound\unbound.exe[9944:0] notice: init module 1: iterator
[1536062364] C:\Program Files\Unbound\unbound.exe[9944:0] error: could not read root hints C:\Program Files\Unbound\named.cache: No such file or directory
[1536062364] C:\Program Files\Unbound\unbound.exe[9944:0] error: Could not set root or stub hints
[1536062364] C:\Program Files\Unbound\unbound.exe[9944:0] info: server stats for thread 0: 0 queries, 0 answers from cache, 0 recursions, 0 prefetch, 0 rejected by ip ratelimiting
[1536062364] C:\Program Files\Unbound\unbound.exe[9944:0] info: server stats for thread 0: requestlist max 0 avg 0 exceeded 0 jostled 0
[1536062364] C:\Program Files\Unbound\unbound.exe[9944:0] fatal error: Could not initialize main thread
[1536062382] C:\Program Files\Unbound\unbound.exe[2664:0] notice: init module 0: validator
[1536062382] C:\Program Files\Unbound\unbound.exe[2664:0] notice: init module 1: iterator
[1536062382] C:\Program Files\Unbound\unbound.exe[2664:0] error: could not read root hints C:\Program Files\Unbound\named.cache: No such file or directory
[1536062382] C:\Program Files\Unbound\unbound.exe[2664:0] error: Could not set root or stub hints
[1536062382] C:\Program Files\Unbound\unbound.exe[2664:0] info: server stats for thread 0: 0 queries, 0 answers from cache, 0 recursions, 0 prefetch, 0 rejected by ip ratelimiting
[1536062382] C:\Program Files\Unbound\unbound.exe[2664:0] info: server stats for thread 0: requestlist max 0 avg 0 exceeded 0 jostled 0
[1536062382] C:\Program Files\Unbound\unbound.exe[2664:0] fatal error: Could not initialize main thread
Oui, tout à bien été copier et coller.
Messages du même membre fusionnés car compris dans le délai d'édition. (Vous avez 30 minutes pour éditer)
ps: voici ce qu'il y a dans le .conf d'origine:
# Unbound configuration file on windows.
# See example.conf for more settings and syntax
server:
# verbosity level 0-4 of logging
verbosity: 0
# if you want to log to a file use
#logfile: "C:\unbound.log"
# on Windows, this setting makes reports go into the Application log
# found in ControlPanels - System tasks - Logs
#use-syslog: yes
server: auto-trust-anchor-file: "C:\Program Files\Unbound\root.key"
Messages du même membre fusionnés car compris dans le délai d'édition. (Vous avez 30 minutes pour éditer)
edit: c'est bon ça fonctionne, c'était le mauvais .conf, par contre quand je lance une requete internet je n'ai pas de réponse, j'ai effectuer la commande "nslookup" RAS mais pas moyen d'avoir une réponse si je lance une requête internet.
je précise que j'ai modifier les propriétés de ma carte réseaux (wifi) dans ipv4.
Je passe par 192.168.1.254 (au cas où c'est pas pareil).
Pareil, au cas où ça soit important, j'ai un pont réseau avec IP fixe (192.168.1.100), j'ai galéré 2 semaines à tout faire marcher. :o
Configuration IP de Windows
Nom de l'h“te . . . . . . . . . . : DESKTOP-NCRNSKC
Suffixe DNS principal . . . . . . :
Type de noeud. . . . . . . . . . : Hybride
Routage IP activ‚ . . . . . . . . : Non
Proxy WINS activ‚ . . . . . . . . : Non
Liste de recherche du suffixe DNS.: lan
Carte r‚seau sans fil Connexion au r‚seau local* 1ÿ:
Statut du m‚dia. . . . . . . . . . . . : M‚dia d‚connect‚
Suffixe DNS propre … la connexion. . . :
Description. . . . . . . . . . . . . . : Microsoft Hosted Network Virtual Adapter
Adresse physique . . . . . . . . . . . : 24-FD-52-7C-92-6B
DHCP activ‚. . . . . . . . . . . . . . : Oui
Configuration automatique activ‚e. . . : Oui
Carte r‚seau sans fil Connexion au r‚seau local* 4ÿ:
Statut du m‚dia. . . . . . . . . . . . : M‚dia d‚connect‚
Suffixe DNS propre … la connexion. . . :
Description. . . . . . . . . . . . . . : Microsoft Wi-Fi Direct Virtual Adapter
Adresse physique . . . . . . . . . . . : 24-FD-52-7C-92-6B
DHCP activ‚. . . . . . . . . . . . . . : Oui
Configuration automatique activ‚e. . . : Oui
Carte r‚seau sans fil Connexion au r‚seau local* 12ÿ:
Statut du m‚dia. . . . . . . . . . . . : M‚dia d‚connect‚
Suffixe DNS propre … la connexion. . . :
Description. . . . . . . . . . . . . . : Microsoft Wi-Fi Direct Virtual Adapter #3
Adresse physique . . . . . . . . . . . : 24-FD-52-7C-92-6B
DHCP activ‚. . . . . . . . . . . . . . : Oui
Configuration automatique activ‚e. . . : Oui
Carte Ethernet Pont r‚seau :
Suffixe DNS propre … la connexion. . . : lan
Description. . . . . . . . . . . . . . : Microsoft Network Adapter Multiplexor Driver
Adresse physique . . . . . . . . . . . : 24-FD-52-7C-92-6B
DHCP activ‚. . . . . . . . . . . . . . : Oui
Configuration automatique activ‚e. . . : Oui
Adresse IPv4. . . . . . . . . . . . . .: 192.168.1.100(pr‚f‚r‚)
Masque de sous-r‚seau. . . .ÿ. . . . . : 255.255.255.0
Bail obtenu. . . . . . . . .ÿ. . . . . : samedi 17 novembre 2018 15:18:47
Bail expirant. . . . . . . . .ÿ. . . . : dimanche 18 novembre 2018 15:18:46
Passerelle par d‚faut. . . .ÿ. . . . . : 192.168.1.254
Serveur DHCP . . . . . . . . . . . . . : 192.168.1.254
Serveurs DNS. . . . . . . . . . . . . : 192.168.1.254
NetBIOS sur Tcpip. . . . . . . . . . . : Activ‚
Voilà, j'ai ce qu'il faut.
C'est justement cette adresse 192.168.1.254 qu'on va utiliser.
Maintenant, appuie sur Win et entre notepad (n'appuie pas ENTREE maintenant !), fais un clic droit sur l'icône du bloc-note et clique "Exécuter en tant qu'administrateur".
depuis le bloc-note, ouvre le fichier :
C:\Windows\System32\drivers\etc\hosts
Tu devrais avoir quelque chose comme ça :
# Copyright (c) 1993-2009 Microsoft Corp.
#
# This is a sample HOSTS file used by Microsoft TCP/IP for Windows.
#
# This file contains the mappings of IP addresses to host names. Each
# entry should be kept on an individual line. The IP address should
# be placed in the first column followed by the corresponding host name.
# The IP address and the host name should be separated by at least one
# space.
#
# Additionally, comments (such as these) may be inserted on individual
# lines or following the machine name denoted by a '#' symbol.
#
# For example:
#
#102.54.94.97 rhino.acme.com #source server
#38.25.63.10 x.acme.com #x client host
127.0.0.1 localhost
Ajoute une ligne 192.168.1.254 mabbox.bytel.fr pour obtenir ceci :
# Copyright (c) 1993-2009 Microsoft Corp.
#
# This is a sample HOSTS file used by Microsoft TCP/IP for Windows.
#
# This file contains the mappings of IP addresses to host names. Each
# entry should be kept on an individual line. The IP address should
# be placed in the first column followed by the corresponding host name.
# The IP address and the host name should be separated by at least one
# space.
#
# Additionally, comments (such as these) may be inserted on individual
# lines or following the machine name denoted by a '#' symbol.
#
# For example:
#
#102.54.94.97 rhino.acme.com #source server
#38.25.63.10 x.acme.com #x client host
127.0.0.1 localhost
192.168.1.254 mabbox.bytel.fr
Enregistre, et ça devrait être bon.
Super ça marche! Merci!
Par contre petit truc étrange:
# localhost name resolution is handled within DNS itself.
# 127.0.0.1 localhost
# ::1 localhost
192.168.1.254 mabbox.bytel.fr
Tout est en commentaire chez moi, m'enfin ça fonctionne quand même...
Salut,
Je viens de tester le domaine qui te pose problème. Sa résolution est très longue, presque 5 secondes !
Vu que DNSLOOKUP est limité par défaut à 2 secondes, c'est normal que ça finisse en erreur.
Essaye d'entrer ceci pour s'assurer que tu accèdes bien aux DNS du .fr :
Tu devais obtenir ceci : (l'ordre d'affichage n'est pas important)
Réponse ne faisant pas autorité :
fr nameserver = d.ext.nic.fr
fr nameserver = f.ext.nic.fr
fr nameserver = d.nic.fr
fr nameserver = g.ext.nic.fr
fr nameserver = e.ext.nic.fr
C'est juste pour les tests que tu as des soucis ou tu en as aussi pour naviguer ?
EDIT :
Je viens de voir ton fichier de config.
Avec DNSSEC, si tu as des zones DNS, il faut absolument que les clés et les signatures soient générées, sinon ça ne marchera pas.
De plus, il en manque un bout (root.key).
Si tu veux simplement que Unbound prenne en charge DNSSEC pour les domaines qui l'offrent, toute cette config DNSSEC ne sert à rien.
Il te faut simplement ajouter cette ligne dans ta config pour activer DNSSEC : (bien sûr, tu modifies le chemin vers root.key)
auto-trust-anchor-file: "C:\Program Files\Unbound\root.key"
Pour générer le fichier root.key, exécute le fichier unbound-anchor.exe qui est présent dans le dossier de Unbound.
Ensuite, redémarre Unbound.
Tu peux pas essayer de suite de couper le service ? Ca vite, même pas 2 minutes.
Tu fais Ctrl + R et ensuite tu entres :
services.msc
Puis, tu cherches Client DNS et tu coupes, c'est tout !
Que nenni !!!!
Windows 10 a supprimé l'accès à ces paramètres même en mode admin. Tout est grisé.
J'ai fouillé un peu sur la Toile, et j'ai trouvé la parade, il faut ajouter 2 clés DWORD au Registre :
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Dnscache\Parameters
Clé : MaxCacheTtl
Valeur : 1
HKLM\System\CurrentControlSet\Services\DNS\Parameters
Clé : MaxCacheTtl
Valeur : 0x0
Ainsi, le client DNS a disparu, et chose curieuse, le globe terrestre qui était dans la barre des tâches a été remplacé par l'icône normale et la connexion qui était auparavant corrompue est nickel.
Il va falloir que je réinstalle la MAJ Windows dessus et réactive la VM dans le bios, c'était peut-être çà qui coinçait.
Mais pas le temps de le faire maintenant, je reprendrai mes expériences à mon retour dans 1 semaine. :jr:
Que nenni !!!!
Windows 10 a supprimé l'accès à ces paramètres même en mode admin. Tout est grisé.
:it:
Et après on se demande pourquoi Microsoft empêche de désactiver un simple client DNS au profit d'un serveur local perso. Ils voudraient cacher quelques chose qu'ils ne s'y prendraient pas autrement !
Roooh la vache !
Si je mets ça dans le tuto, je vais perdre les trois quarts des personnes que ça intéresse...
A moins que je fournisse le fichier de modif du registre tout préparé. Jusqu'à ce que la prochaine mise à jour Win10 mette tout en l'air... :suicide:
En attendant, je note ton truc :
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Dnscache\Parameters
Clé : MaxCacheTtl
Valeur : 1
HKLM\System\CurrentControlSet\Services\DNS\Parameters
Clé : MaxCacheTtl
Valeur : 0x0
Merci pour la soluce ! :)
En espérant que Grata va tester aussi.
J'attends ton retours d'infos la semaine prochaine.
Coucou !
Petit retour pour vous signaler , même si on s'en doutait un peu, de la grande fiabilité et constance de W10 !
En effet, d'un reboot à l'autre, sans modifier quoique ce soit dans les paramètres de l'OS ou du soft, on obtient pas les mêmes résultats.
A l'heure ou je vous parle tout est OK, il y a deux reboots de cela c'était considéré comme "pas de connexion réseau". C'est une horreur ce W10.
Ceci étant, je n'ai pas encore testé, pour couper le Client DNS de W10, avez vous testé ceci ? :
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\Dnscache
Localiser la clef de registre "Démarrer" changer la valeur intialement à 2 (Automatic) par 4 (Disabled)
Ou en ligne de commande :
REG add "HKLM\SYSTEM\CurrentControlSet\services\Dnscache" /v Start /t REG_DWORD /d 4 /f
Cela semblerait "simplement" couper son lancement.
le service DNS peut être désactivé).
N'est plus désactivable sous Windows 10.
C:\WINDOWS\system32>sc query dnscache
SERVICE_NAME: dnscache
TYPE : 30 WIN32
STATE : 4 RUNNING
(NOT_STOPPABLE, NOT_PAUSABLE, IGNORES_SHUTDOWN)
WIN32_EXIT_CODE : 0 (0x0)
SERVICE_EXIT_CODE : 0 (0x0)
CHECKPOINT : 0x0
WAIT_HINT : 0x0
C:\WINDOWS\system32>
PDF mis à jour suite au problème signalé.
Merci Jacky ! ;)
Salut,
Dans le fichier de config, tu as bien retiré le commentaire sur la ligne utilisée pour appeler root.key ?
#server: auto-trust-anchor-file: "C:\Program Files\Unbound\root.key"
Ca doit devenir ceci : (sans le # au début)
server: auto-trust-anchor-file: "C:\Program Files\Unbound\root.key"
Et tu redémarres le service, bien entendu.
salut,
oui tout à fait. j'ai essayé avec
server: auto-trust-anchor-file: "c:\Program Files\Unbound\root.key"
et avec
auto-trust-anchor-file: "c:\Program Files\Unbound\root.key"
(car le 'server' est deja en debut de fichier, en suivant la doc)
puis j'ai lancé services.msc, redémarré le service Unbound.
puis lancé cmd dans le répertoire Unbound et tapé 'unbound-checkconf' (sans erreur)
fait un hard refresh (ou clean cache) du navigateur.
tout fonctionne toujours, mais le DNSSEC ne fonctionne pas.
effectivement, Win10 est tétu... (d'ailleurs j'ai changé la compatibilité en Win8).
j'ai bien tout suivi, le .key est bien la où il faut, j'ai meme tenté de le déplacé vers une racine pour voir si c'était peut etre un problème de permission.
mon fichier conf est :
# Unbound configuration file on windows.
server:
verbosity: 0
logfile: "C:\Program Files\unbound\unbound.log"
log-replies: yes
log-time-ascii: yes
log-queries: yes
#Nombre de threads
num-threads: 4
# on Windows, this setting makes reports go into the Application log
# found in ControlPanels - System tasks - Logs
#use-syslog: yes
root-hints: "C:\Program Files\Unbound\named.cache"
#server: auto-trust-anchor-file: "c:\Program Files\Unbound\root.key"
auto-trust-anchor-file: "c:\Program Files\Unbound\root.key"
#Interfaces locales sur lesquelles écoute Unbound
interface: 127.0.0.1
#Port utilisé
port: 53
#Machines autorisées à accéder
# access-control: 0.0.0.0/0 refuse
access-control: 127.0.0.0/24 allow
access-control: 192.168.0.0/16 allow
#IPv6 prioritaire par rapport à IPv4
#prefer-ip6: yes
do-ip4: yes
do-ip6: no
do-udp: yes
do-tcp: yes
hide-identity: yes
hide-version: yes
harden-glue: yes
use-caps-for-id: yes
#Gestion des caches
so-sndbuf: 8m
msg-cache-size: 8m
rrset-cache-size: 8m
#TTL concernant la mise en cache
cache-min-ttl: 300
cache-max-ttl: 86400
cache-max-negative-ttl: 86400
#Pas de requête DNS pour les adresses de Loopback et le réseau local
do-not-query-localhost: yes
prefetch: yes
msg-cache-slabs: 8
rrset-cache-slabs: 8
infra-cache-slabs: 8
key-cache-slabs: 8
rrset-cache-size: 64m
msg-cache-size: 32m
so-rcvbuf: 1m
include: "C:\Program Files\Unbound\blacklist.conf"
le fichier blacklist.conf contient (pour exemple):
local-zone: "facebook.com" redirect
local-data: "facebook.com A 0.0.0.0"
le log ne donne rien qui concerne cela...
la seule chose qui me fait tilt c'est que mon fichier root.key ne contient qu'une clé, contrairement à ce que j'ai pu lire un peu par ci par là qu'il devait en contenir deux (? vrai ?)
mais la ligne contient bien le VALID et le fichier a été généré par le unbound-anchor donc ca devrait le faire en principe...
Tu devrais mettre le verbosity de la config à 1, histoire de le rendre un peu plus bavard en cas d'erreur.
Et dans le journal d'événements, rien non plus ? Si une erreur est provoquée par Win10, ce sera dans ce journal, pas le log de Unbound.
Sinon, non, root.key contient une clé et pas plus.
L'utilisation de 2 clés, c'est quand on a un domaine que l'on veut signer avec DNSSEC (une clé pour le TLD et une clé pour le domaine).
Sinon, pour vérifier des signatures, root.key ressemble à ceci et ne contient qu'une seule clé :
; autotrust trust anchor file
;;id: . 1
;;last_queried: 1585736990 ;;Wed Apr 01 12:29:50 2020
;;last_success: 1585736990 ;;Wed Apr 01 12:29:50 2020
;;next_probe_time: 1585777245 ;;Wed Apr 01 23:40:45 2020
;;query_failed: 0
;;query_interval: 43200
;;retry_time: 8640
. 86400 IN DNSKEY 257 3 8 AwEAAaz/tAm8yTn4Mfeh5eyI96WSVexTBAvkMgJzkKTOiW1vkIbzxeF3+/4RgWOq7HrxRixHlFlExOLAJr5emLvN7SWXgnLh4+B5xQlNVz8Og8kvArMtNROxVQuCaSnIDdD5LKyWbRd2n9WGe2R8PzgCmr3EgVLrjyBxWezF0jLHwVN8efS3rCj/EWgvIWgb9tarpVUDK/b58Da+sqqls3eNbuv7pr+eoZG+SrDK6nWeL3c6H5Apxz7LjVc1uTIdsIXxuOLYA4/ilBmSVIzuDWfdRUfhHdY6+cn8FFRm+2hM8AnXGXws9555KrUB5qihylGa8subX2Nn6UwNR1AkUTV74bU= ;{id = 20326 (ksk), size = 2048b} ;;state=2 [ VALID ] ;;count=0 ;;lastchange=1585736422 ;;Wed Apr 01 12:20:22 2020
Si l'erreur n'apparait pas dans les log, je commence à sécher là !
Si ça se trouve c'est encore une facétie de Win10, ça ne m'étonnerait pas...
D'autant plus que ça marche très bien sous Win7.
oui mon root.key ressemble bien à cela quand généré, donc on écarte cette possibilité.
avec la verbosity à 1, je vois maintenant une info qui fait tilt (à cause du 'DNSKEY') :
01/04/2020 13:21:50 C:\Program Files\Unbound\unbound.exe[11980:3] info: generate keytag query _ta-4f5e. NULL IN
01/04/2020 13:21:50 C:\Program Files\Unbound\unbound.exe[11980:3] info: failed to prime trust anchor -- DNSKEY rrset is not secure . DNSKEY IN
Ah ben voilà, en rendant le log un peu plus causant, il se met à parler.
Le journal d'événements ne dit rien, lui ? Avec Win10, c'est plus sage de vérifier.
La première ligne est bonne, pas de panique :
01/04/2020 13:21:50 C:\Program Files\Unbound\unbound.exe[11980:3] info: generate keytag query _ta-4f5e. NULL IN
Essaye ceci :
Supprime le fichier root.key
Ouvre une fenêtre MS-DOS (Win + R, puis CMD).
Entre ceci :
cd "C:\Program Files\Unbound"
unbound-anchor -r named.cache
Redémarre Unbound.
failed to prime trust anchor -- DNSKEY rrset is not secure . DNSKEY IN
n'apparait plus (je pense que ca devait etre une fausse manip, je n'arrive même plus à le reproduire...)
donc retour case départ: tout fonctionne sauf les tests de DNSSEC.
j'ai même essayé en générant des nouveaux trust anchor (https://github.com/iana-org/get-trust-anchor) en vain.
un petit détail:
en faisant (sous cmd) un 'nslookup google.fr', dans les logs j'ai :
01/04/2020 14:24:16 C:\Program Files\Unbound\unbound.exe[5572:0] info: 127.0.0.1 1.0.0.127.in-addr.arpa. PTR IN
01/04/2020 14:24:16 C:\Program Files\Unbound\unbound.exe[5572:0] info: 127.0.0.1 1.0.0.127.in-addr.arpa. PTR IN NOERROR 0.000000 1 63
01/04/2020 14:24:16 C:\Program Files\Unbound\unbound.exe[5572:0] info: 127.0.0.1 google.fr.fritz.box. A IN
01/04/2020 14:24:16 C:\Program Files\Unbound\unbound.exe[5572:0] info: 127.0.0.1 google.fr.fritz.box. A IN NXDOMAIN 0.097415 0 79
01/04/2020 14:24:16 C:\Program Files\Unbound\unbound.exe[5572:0] info: 127.0.0.1 google.fr.fritz.box. AAAA IN
01/04/2020 14:24:16 C:\Program Files\Unbound\unbound.exe[5572:0] info: 127.0.0.1 google.fr.fritz.box. AAAA IN NXDOMAIN 0.003316 0 79
01/04/2020 14:24:16 C:\Program Files\Unbound\unbound.exe[5572:0] info: 127.0.0.1 google.fr. A IN
01/04/2020 14:24:17 C:\Program Files\Unbound\unbound.exe[5572:0] info: 127.0.0.1 google.fr. A IN NOERROR 0.093731 0 43
01/04/2020 14:24:17 C:\Program Files\Unbound\unbound.exe[5572:0] info: 127.0.0.1 google.fr. AAAA IN
01/04/2020 14:24:17 C:\Program Files\Unbound\unbound.exe[5572:0] info: 127.0.0.1 google.fr. AAAA IN NOERROR 0.030533 0 55
j'ai une fritzbox, et je me demande si ce n'est pas elle qui interfère ou bien si c'est pareil pour tout le monde avec sa box...
aussi, j'ai un firewall (https://www.binisoft.org/wfc) qui en fait n'est qu'une interface au firewall de Win10 en principe, mais je n'arrive pas à trouver si il gère les IP fragment (j'ai lu que c'était nécessaire pour gérer le DNSSEC ?).
Quant aux logs journal d'evenements, pas grand chose (ou bien je ne regarde pas bien, il y a même "[C:\Program Files\Unbound\unbound.exe:0] info: The root trust anchor has been updated.")
je sèche.
Bonjour,
Par hasard sur ce tuto vraiment bien fait, bravo et merci, je suis pas un spécialiste et de plus j'arrive à la bourre. :je:
J'ai plusieurs questions de néophyte,
1/ pourquoi donner les resolvers de Google ou cloudFlare ? il aurait été aussi bien de donner ceux de FDN par exemple, on ne va pas abandonner les DNS de Google et/ou clouFlare pour se rejeter dans la gueule du loup avec ces "DNS auxiliaire" un peu plus loin...par exemple :
#Configuration des redirecteurs Cloudflare
forward-zone:
name: "."
forward-addr: 2606:4700:4700::1001
forward-addr: 1.0.0.1
Et enfin que penses-tu de cette liste (trouvé sur le Web) pour faire mentir unbound ? (blocage domaines qui nous inondent de pub, données perso etc.
et ou coller cette liste ? même si tu réponds pas merci pour ce tuto
#ocsp/crl
local-zone: "certificates.intel.com" static
local-zone: "crl.comodoca.com" static
local-zone: "crl.geotrust.com" static
local-zone: "crl.globalsign.com" static
local-zone: "crl.globalsign.net" static
local-zone: "crl.godaddy.com" static
local-zone: "crl.microsoft.com" static
local-zone: "crl.quovadisglobal.com" static
local-zone: "crl.sectigo.com" static
local-zone: "crl.thawte.com" static
local-zone: "crl.trust-provider.com" static
local-zone: "crl.usertrust.com" static
local-zone: "crl.verisign.com" static
local-zone: "crl3.digicert.com" static
local-zone: "crl4.digicert.com" static
local-zone: "csc3-2010-crl.verisign.com" static
local-zone: "ocsp.comodoca.com" static
local-zone: "ocsp.digicert.com" static
local-zone: "ocsp.globalsign.com" static
local-zone: "ocsp.godaddy.com" static
local-zone: "ocsp.godaddy.com.akadns.net" static
local-zone: "ocsp.intel.com" static
local-zone: "ocsp.int-x3.letsencrypt.org" static
local-zone: "ocsp.pki.goog" static
local-zone: "ocsp.quovadisglobal.com" static
local-zone: "ocsp.sca1b.amazontrust.com" static
local-zone: "ocsp.sectigo.com" static
local-zone: "ocsp.thawte.com" static
local-zone: "ocsp.trust-provider.com" static
local-zone: "ocsp.trustwave.com" static
local-zone: "ocsp.usertrust.com" static
local-zone: "ocsp.verisign.com" static
local-zone: "ocsp2.globalsign.com" static
local-zone: "pki.intel.com" static
local-zone: "symcb.com" static
local-zone: "symcd.com" static
local-zone: "ts-crl.ws.symantec.com" static
local-zone: "ts-ocsp.ws.symantec.com" static
#wpad
local-zone: "wpad.inelviswetrust.local" static
local-zone: "wpad.inelviswetrust.god" static
local-zone: "wpad.home" static
#porno
local-zone: "chaturbate.com" static
local-zone: "filmpornofrancais.fr" static
local-zone: "pornhub.com" static
local-zone: "regietrk.jetm-tech.net" static
local-zone: "villageporno.com" static
local-zone: "xlovecam.com" static
local-zone: "xxx" static
local-zone: "youporn.com" static
#microsoft
local-zone: "1drv.com" static
local-zone: "2mdn.net" static
local-zone: "ac3.msn.com" static
local-zone: "activity.windows.com" static
local-zone: "adnexus.net" static
local-zone: "adnxs.com" static
local-zone: "ads.msn.com" static
local-zone: "ads1.msn.com" static
local-zone: "ads2.msn.com" static
local-zone: "adtech.de" static
local-zone: "akadns.net" static
local-zone: "a-msedge.net" static
#local-zone: "apps.skype.com" static
local-zone: "atdmt.com" static
local-zone: "bing.net" static
local-zone: "bingads.microsoft.com" static
local-zone: "boudja.com" static
local-zone: "c.msn.com" static
local-zone: "cdn.content.prod.cms.msn.com" static
local-zone: "cdn.onenote.net" static
local-zone: "cdpcs.microsoft.com" static
local-zone: "choice.microsoft.com" static
#local-zone: "client-s.gateway.messenger.live.com" static
local-zone: "compatexchange.cloudapp.net" static
local-zone: "corp.microsoft.com" static
local-zone: "dc-msedge.net" static
local-zone: "dds.microsoft.com" static
local-zone: "deploy.static.akamaitechnologies.com" static
local-zone: "detergebetterming.info" static
local-zone: "dev.virtualearth.net" static
local-zone: "diagnostics.support.microsoft.com" static
local-zone: "doubleclick.net" static
local-zone: "feedback.microsoft-hohm.com" static
local-zone: "feedback.search.microsoft.com" static
local-zone: "feedback.windows.com" static
local-zone: "flashtalking.com" static
local-zone: "flex.msn.com" static
local-zone: "footprintpredict.com" static
local-zone: "fs.microsoft.com" static
local-zone: "g.msn.com" static
local-zone: "glbdns2.microsoft.com" static
local-zone: "h1.msn.com" static
local-zone: "h2.msn.com" static
local-zone: "img-s-msn-com.akamaized.net" static
local-zone: "insiderppe.cloudapp.net" static
local-zone: "ipv6.microsoft.com" static
local-zone: "kedsicatanoft.info" static
local-zone: "king.com" static
local-zone: "live.net" static
local-zone: "llnw.net" static
local-zone: "m.hotmail.com" static
local-zone: "mediaredirect.microsoft.com" static
local-zone: "metaservices.microsoft.com" static
local-zone: "microsft.com" static
local-zone: "mp.microsoft.com" static
local-zone: "msads.net" static
local-zone: "msecn.net" static
#local-zone: "msecnd.net" static
local-zone: "msedge.net" static
local-zone: "msftconnecttest.com" static
local-zone: "msftncsi.com" static
local-zone: "msnbot-65-55-108-23.search.msn.com" static
local-zone: "officeapps.live.com" static
local-zone: "nsatc.net" static
local-zone: "officeclient.microsoft.com" static
local-zone: "passport.net" static
local-zone: "pipe.aria.microsoft.com" static
local-zone: "plt.msn.com" static
local-zone: "preview.msn.com" static
#local-zone: "pricelist.skype.com" static
local-zone: "pti.store.microsoft.com" static
local-zone: "query.prod.cms.rt.microsoft.com" static
local-zone: "rad.live.com" static
local-zone: "rad.msn.com" static
local-zone: "rads.msn.com" static
local-zone: "s.gateway.messenger.live.com" static
local-zone: "services.social.microsoft.com" static
local-zone: "serving-sys.com" static
local-zone: "settings-sandbox.data.microsoft.com" static
local-zone: "settings-win.data.microsoft.com" static
local-zone: "settings-win-ppe.data.microsoft.com" static
local-zone: "sfx.ms" static
local-zone: "smartscreen.microsoft.com" static
local-zone: "spynet2.microsoft.com" static
local-zone: "spynetalt.microsoft.com" static
local-zone: "ssw.live.com" static
local-zone: "store-images.s-microsoft.com" static
local-zone: "storequality.microsoft.com" static
local-zone: "sts.microsoft.com" static
local-zone: "t0.ssl.ak.dynamic.tiles.virtualearth.net" static
local-zone: "t0.ssl.ak.tiles.virtualearth.net" static
local-zone: "telemetry.microsoft.com" static
local-zone: "telemetry.urs.microsoft.com" static
local-zone: "time.windows.com" static
local-zone: "trafficmanager.net" static
#local-zone: "ui.skype.com" static
local-zone: "v0cdn.net" static
local-zone: "version.hybrid.api.here.com" static
local-zone: "vortex.data.glbdns2.microsoft.com" static
local-zone: "vortex.data.microsoft.com" static
local-zone: "vortex-sandbox.data.microsoft.com" static
local-zone: "vortex-win.data.microsoft.com" static
local-zone: "vortex-win-sandbox.data.microsoft.com" static
local-zone: "watson.live.com" static
local-zone: "watson.microsoft.com" static
local-zone: "wdcp.microsoft.com" static
local-zone: "wdcpalt.microsoft.com" static
local-zone: "weather.microsoft.com" static
local-zone: "windows.com" static
local-zone: "wns.windows.com" static
local-zone: "ws.microsoft.com" static
local-zone: "wscont.apps.microsoft.com" static
local-zone: "xboxlive.com" static
#normal
#local-zone: "android.clients.google.com" static
#local-zone: "clients1.google.com" static
#local-zone: "clients2.google.com" static
#local-zone: "clients3.google.com" static
#local-zone: "clients4.google.com" static
#local-zone: "clients5.google.com" static
#local-zone: "clients6.google.com" static
#local-zone: "connectivity-check.gstatic.com" static
#local-zone: "consent.google.com" static
#local-zone: "ct.googleapis.com" static
#local-zone: "graph.facebook.com" static
#local-zone: "id.google.fr" static
#local-zone: "sls.microsoft.com" static
local-zone: "122.2o7.net" static
local-zone: "168logger.com" static
local-zone: "2mdn.net" static
local-zone: "360yield.com" static
local-zone: "3gl.net" static
local-zone: "4dex.io" static
local-zone: "a2dfp.net" static
local-zone: "aaxads.com" static
local-zone: "abarrange.info" static
local-zone: "abmr.net" static
local-zone: "abtasty.com" static
local-zone: "accengage.net" static
local-zone: "acloudimages.com" static
local-zone: "acommeassure.com" static
#local-zone: "acpm.fr" static
local-zone: "ad6media.fr" static
local-zone: "adalliance.io" static
local-zone: "adback.co" static
local-zone: "adbutter.net" static
local-zone: "addthis.com" static
local-zone: "addthisedge.com" static
local-zone: "addtoany.com" static
local-zone: "adexchangemachine.com" static
local-zone: "adexchangetracker.com" static
local-zone: "adform.net" static
local-zone: "adhese.com" static
local-zone: "adhslx.com" static
local-zone: "adikteev.com" static
local-zone: "adition.com" static
local-zone: "adjesty.com" static
local-zone: "adkmob.com" static
local-zone: "adleadevent.com" static
local-zone: "admo.tv" static
local-zone: "admyjob.com" static
local-zone: "adnext.fr" static
local-zone: "adnxs.com" static
local-zone: "adomik.com" static
local-zone: "adotmob.com" static
local-zone: "adpaths.com" static
local-zone: "adpushup.com" static
local-zone: "adroll.com" static
local-zone: "adrtx.net" static
local-zone: "adrunnr.com" static
local-zone: "adsafeprotected.com" static
local-zone: "adscale.de" static
local-zone: "adsco.re" static
local-zone: "adservice.google.com" static
local-zone: "adservice.google.fr" static
local-zone: "adskeeper.co.uk" static
local-zone: "adspirit.de" static
local-zone: "adsrv4k.com" static
local-zone: "adsrvr.org" static
local-zone: "ads-twitter.com" static
local-zone: "ads2-adnow.com" static
local-zone: "ads3-adnow.com" static
local-zone: "ads5-adnow.com" static
local-zone: "adswizz.com" static
local-zone: "adtag.cc" static
local-zone: "adtech.de" static
local-zone: "adtechus.com" static
local-zone: "adthletic.com" static
local-zone: "adtlgc.com" static
local-zone: "adtng.com" static
local-zone: "advideum.com" static
local-zone: "adwidecenter.com" static
local-zone: "adwstats.com" static
local-zone: "adzerk.net" static
local-zone: "affiliation.groupe-ldlc.com" static
local-zone: "agentanalytics.com" static
local-zone: "agkn.com" static
local-zone: "air360tracker.net" static
local-zone: "alephd.com" static
local-zone: "alexametrics.com" static
#local-zone: "algolia.com" static
#local-zone: "algolia.net" static
#local-zone: "algolianet.com" static
local-zone: "alooma.com" static
local-zone: "amazon-adsystem.com" static
local-zone: "amplitude.com" static
local-zone: "amung.us" static
local-zone: "analytics-service.us-east-1.prod.public.atl-paas.net" static
local-zone: "ang-content.com" static
local-zone: "anona.world" static
local-zone: "anon-stats.eff.org" static
local-zone: "antvoice.com" static
local-zone: "api.data-monitor.info" static
local-zone: "app.link" static
local-zone: "appconsent.io" static
local-zone: "appinthestore.com" static
local-zone: "appsmiles.eu" static
local-zone: "arancefy.com" static
local-zone: "arrarcontentdelivery.info" static
local-zone: "asadcdn.com" static
local-zone: "adobedtm.com" static
local-zone: "at.pagesjaunes.fr" static
local-zone: "atdmt.com" static
local-zone: "atwola.com" static
local-zone: "audiencesquare.com" static
local-zone: "ausha.co" static
local-zone: "autopush.prod.mozaws.net" static
local-zone: "autoupdate.geo.opera.com" static
local-zone: "avads.net" static
local-zone: "awestat.com" static
local-zone: "awemwh.com" static
local-zone: "ayads.co" static
local-zone: "babator.com" static
local-zone: "badskis.com" static
local-zone: "barnebys.com" static
local-zone: "basilic.io" static
local-zone: "baskettellsinore.com" static
local-zone: "bat.bing.com" static
local-zone: "batch.com" static
local-zone: "bidr.io" static
local-zone: "beampulse.com" static
local-zone: "beopinion.com" static
local-zone: "betrad.com" static
local-zone: "beserte.pro" static
local-zone: "bidswitch.net" static
local-zone: "bksn.se" static
local-zone: "blocklist.addons.mozilla.org" static
local-zone: "blocklists.settings.services.mozilla.com" static
local-zone: "blocklists-settings.prod.mozaws.net" static
local-zone: "bluekai.com" static
local-zone: "boudja.com" static
local-zone: "branch.io" static
local-zone: "brightcove.com" static
local-zone: "brightcove.net" static
local-zone: "bttrack.com" static
local-zone: "buysellads.com" static
local-zone: "camakaroda.com" static
local-zone: "capacitly.com" static
local-zone: "carambo.la" static
local-zone: "carbonads.bsa.netdna-cdn.com" static
local-zone: "carbonads.com" static
local-zone: "casalemedia.com" static
local-zone: "cayucosprenter.com" static
local-zone: "ccpnzfts.com" static
local-zone: "cedexis.com" static
local-zone: "cedexis.net" static
local-zone: "cedexis-radar.net" static
local-zone: "cedexis-test.com" static
local-zone: "celuga.net" static
local-zone: "chartbeat.com" static
local-zone: "chartbeat.net" static
local-zone: "chatango.com" static
local-zone: "clic2buy.com" static
local-zone: "clickiocdn.com" static
local-zone: "clicktale.net" static
local-zone: "clickx.io" static
local-zone: "clksite.com" static
local-zone: "cloud-media.fr" static
local-zone: "cloudflare-dns.com" static
local-zone: "cloudstatpng.info" static
local-zone: "club" static
local-zone: "codeonclick.com" static
#local-zone: "coin-hive.com" static
local-zone: "coll1onf.com" static
local-zone: "commander1.com" static
local-zone: "connect.facebook.net" static
local-zone: "connectad.io" static
local-zone: "connectivitycheck.gstatic.com" static
local-zone: "consensu.org" static
local-zone: "content-ad.net" static
local-zone: "content-signature.cdn.mozilla.net" static
local-zone: "contentabc.com" static
local-zone: "contentsquare.net" static
local-zone: "contextweb.com" static
local-zone: "cookie-script.com" static
local-zone: "cookiebot.com" static
local-zone: "cookielaw.org" static
local-zone: "cpx.to" static
local-zone: "crash-stats.mozilla.com" static
local-zone: "crazyegg.com" static
local-zone: "criteo.com" static
local-zone: "criteo.net" static
local-zone: "croissed.info" static
local-zone: "crm4d.com" static
local-zone: "crsspxl.com" static
local-zone: "crvtck.com" static
local-zone: "crwdcntrl.net" static
local-zone: "cse.google.com" static
local-zone: "cxense.com" static
local-zone: "dartsearch.net" static
local-zone: "datadome.co" static
local-zone: "delivery.tf1.fr" static
local-zone: "demdex.net" static
local-zone: "deployads.com" static
local-zone: "detectportal.firefox.com" static
local-zone: "digidip.net" static
local-zone: "digitaltarget.ru" static
local-zone: "displaycatalog.mp.microsoft.com" static
local-zone: "disqus.com" static
local-zone: "disquscdn.com" static
local-zone: "districtm.ca" static
local-zone: "do69ifsly4.me" static
local-zone: "doubleclick.net" static
local-zone: "doublepimpssl.com" static
local-zone: "dtscout.com" static
local-zone: "early-birds.fr" static
local-zone: "easydmp.net" static
local-zone: "easylist-downloads.adblockplus.org" static
local-zone: "eb2.3lift.com" static
local-zone: "effectivemeasure.net" static
local-zone: "egnatius-ear.com" static
local-zone: "elasticad.net" static
local-zone: "elwraek.xyz" static
local-zone: "email-match.com" static
local-zone: "email-reflex.com" static
local-zone: "embed.ly" static
local-zone: "embedly.com" static
local-zone: "emetriq.de" static
local-zone: "ensighten.com" static
local-zone: "estat.com" static
local-zone: "etahub.com" static
local-zone: "everesttech.net" static
local-zone: "evidon.com" static
local-zone: "evisys.net" static
local-zone: "ew3.io" static
local-zone: "exelator.com" static
local-zone: "exercially.mobi" static
local-zone: "exoclick.com" static
local-zone: "exoticads.com" static
local-zone: "fam-geo-atsv2.prod.media.g03.yahoodns.net" static
local-zone: "fingahvf.top" static
local-zone: "firefox.settings.services.mozilla.com" static
local-zone: "fisolately.info" static
local-zone: "focuusing.com" static
local-zone: "fogl1onf.com" static
local-zone: "footprint.net" static
local-zone: "forecast.lemonde.fr" static
local-zone: "formr.io" static
local-zone: "freegeoip.net" static
local-zone: "freeskreen.com" static
local-zone: "ftv-publicite.fr" static
local-zone: "fwmrm.net" static
local-zone: "fyre.co" static
local-zone: "gameanalytics.com" static
local-zone: "gemius.pl" static
local-zone: "geo-prod.do.dsp.mp.microsoft.com" static
local-zone: "geo0.ggpht.com" static
local-zone: "geo2.adobe.com" static
local-zone: "geo3.ggpht.com" static
local-zone: "geo.yahoo.com" static
local-zone: "geoedge.be" static
local-zone: "geoftv-a.akamaihd.net" static
local-zone: "geoip-js.maxmind.com" static
local-zone: "geolocation.onetrust.com" static
local-zone: "geoplugin.net" static
local-zone: "geotrust.com" static
local-zone: "geover-prod.do.dsp.mp.microsoft.com" static
local-zone: "getclicky.com" static
local-zone: "getsitecontrol.com" static
local-zone: "getviously.com" static
local-zone: "ghostery-collector.ghostery.com" static
local-zone: "ghostery-metrics-713401778.us-east-1.elb.amazonaws.com" static
local-zone: "gigya.com" static
local-zone: "giphy.com" static
local-zone: "gisi.fr" static
local-zone: "glazemaker.co" static
local-zone: "glorinlost.info" static
local-zone: "go-mpulse.net" static
local-zone: "goodbarber.com" static
local-zone: "googleadapis.l.google.com" static
local-zone: "googleadservices.com" static
local-zone: "google-analytics.com" static
local-zone: "googlecommerce.com" static
local-zone: "googlesyndication.com" static
local-zone: "googletagmanager.com" static
local-zone: "googletagservices.com" static
local-zone: "goutee.top" static
local-zone: "grapeshot.co.uk" static
local-zone: "graphcomment.com" static
local-zone: "gscontxt.net" static
local-zone: "gstaticadssl.l.google.com" static
local-zone: "gu-web.net" static
#local-zone: "gvt1.com" static
local-zone: "gwallet.com" static
local-zone: "heapanalytics.com" static
local-zone: "heatmap.it" static
local-zone: "hexago.io" static
local-zone: "himediads.com" static
local-zone: "hipush.com" static
local-zone: "histats.com" static
local-zone: "hitbtc.com" static
local-zone: "hit-parade.com" static
local-zone: "hit.leboncoin.fr" static
local-zone: "hitsmetric.com" static
local-zone: "hlserve.com" static
local-zone: "hostcg.com" static
local-zone: "hotjar.com" static
local-zone: "hsadspixel.net" static
local-zone: "hscollectedforms.net" static
local-zone: "hubvisor.io" static
local-zone: "hunkal.com" static
local-zone: "iadvize.com" static
local-zone: "icipra.org" static
local-zone: "idalgo.info" static
local-zone: "idalgo-hosting.com" static
local-zone: "ie8eamus.com" static
local-zone: "igstatic.com" static
local-zone: "iicheewi.com" static
local-zone: "imgix.net" static
local-zone: "imrworldwide.com" static
local-zone: "inclk.com" static
local-zone: "indexww.com" static
local-zone: "inewcontentdelivery.info" static
local-zone: "infoprodata.com" static
local-zone: "insideall.com" static
local-zone: "inspectlet.com" static
local-zone: "intellitxt.com" static
local-zone: "intrience.info" static
local-zone: "ioam.de" static
local-zone: "ionmvdpifz.com" static
local-zone: "iookaz.com" static
local-zone: "ipify.org" static
local-zone: "ip-label.net" static
local-zone: "ipreparty.info" static
local-zone: "iptv-iron.pro" static
local-zone: "isadatalab.com" static
local-zone: "isu.pub" static
local-zone: "is-tracking-pixel-api-prod.appspot.com" static
local-zone: "ivitrack.com" static
local-zone: "jokerly.com" static
local-zone: "jsmstat.com" static
local-zone: "jsonlint.com" static
local-zone: "juuusttrack.xyz" static
local-zone: "kameleoon.com" static
local-zone: "kameleoon.eu" static
local-zone: "keywee.co" static
local-zone: "kickassapp.com" static
local-zone: "kirby.radiofrance.fr" static
local-zone: "kissmetrics.com" static
local-zone: "kiwys.com" static
local-zone: "krxd.net" static
local-zone: "krxnd.net" static
local-zone: "leadplace.fr" static
local-zone: "liadm.com" static
local-zone: "ligatus.com" static
local-zone: "lijit.com" static
local-zone: "linksynergy.com" static
local-zone: "livefyre.com" static
local-zone: "livejasmin.com" static
local-zone: "liveviewer.ez.no" static
local-zone: "location.services.mozilla.com" static
local-zone: "loginradius.com" static
local-zone: "logrocket.io" static
local-zone: "logs-qos.tf1.fr" static
local-zone: "lovevilleyulan.com" static
local-zone: "lp4.io" static
local-zone: "lrcontent2.com" static
local-zone: "lucklayed.info" static
local-zone: "m6tech.net" static
local-zone: "macromedia.com" static
local-zone: "mailjet.com" static
local-zone: "mailmunch.co" static
local-zone: "marfeelcache.com" static
local-zone: "marketing" static
local-zone: "marketo.com" static
local-zone: "marketo.net" static
local-zone: "mathjax.org" static
local-zone: "mathtag.com" static
local-zone: "maxonclick.com" static
local-zone: "mc.yandex.ru" static
local-zone: "mclcm.net" static
local-zone: "media.net" static
local-zone: "mediaathay.org.uk" static
local-zone: "mediapostcommunication.net" static
local-zone: "media-rdc.com" static
local-zone: "mediarithmics.com" static
local-zone: "mediasquare.fr" static
local-zone: "mediego.com" static
local-zone: "meetrics.net" static
local-zone: "messengerpeople.com" static
local-zone: "metadsp.co.uk" static
local-zone: "metric.gstatic.com" static
local-zone: "metrica.yandex.ru" static
local-zone: "mgid.com" static
local-zone: "mindlytix.com" static
local-zone: "minute.ly" static
local-zone: "mixpanel.com" static
local-zone: "ml314.com" static
local-zone: "mql5.com" static
local-zone: "mmstat.com" static
local-zone: "mmtro.com" static
local-zone: "moatads.com" static
local-zone: "mobpushup.com" static
local-zone: "mobtrks.com" static
local-zone: "module-videodesk.com" static
#local-zone: "msecnd.net" static
local-zone: "msftconnecttest.com" static
local-zone: "multimilltracks.com" static
local-zone: "mxpnl.com" static
local-zone: "myadfilter.com" static
local-zone: "mysocialpixel.com" static
local-zone: "naenticle.info" static
local-zone: "natoms.com" static
local-zone: "netavenir.com" static
local-zone: "netmng.com" static
local-zone: "newrelic.com" static
local-zone: "newsharecounts.com" static
local-zone: "newstarads.com" static
local-zone: "nextlnk2.com" static
local-zone: "nice264.com" static
local-zone: "non.li" static
local-zone: "nosto.com" static
local-zone: "notification.adblockplus.org" static
local-zone: "nsaudience.pl" static
local-zone: "ns1p.net" static
local-zone: "nuggad.net" static
local-zone: "nxtck.com" static
local-zone: "oath.com" static
local-zone: "oc-static.com" static
local-zone: "odiso.net" static
local-zone: "offers.ghostery.com" static
local-zone: "olark.com" static
local-zone: "omnitagjs.com" static
local-zone: "onclickprediction.com" static
local-zone: "onesignal.com" static
local-zone: "onetrust.com" static
local-zone: "onfocus.io" static
local-zone: "online-metrix.net" static
local-zone: "onthe.io" static
local-zone: "oopt.fr" static
local-zone: "openload.co" static
local-zone: "openx.net" static
local-zone: "opertures.com" static
local-zone: "optimizely.com" static
local-zone: "optinproject.com" static
local-zone: "optnmstr.com" static
local-zone: "orangeads.fr" static
local-zone: "outbrain.com" static
local-zone: "ovcmqf.com" static
local-zone: "owlsheadcoalwood.com" static
local-zone: "ownpage.fr" static
local-zone: "oxom.com" static
local-zone: "packtpub.com" static
local-zone: "pagefair.com" static
local-zone: "pagefair.net" static
local-zone: "pardot.com" static
local-zone: "parketsy.pro" static
local-zone: "parronnotandone.info" static
local-zone: "parsely.com" static
local-zone: "pebed.dm.gg" static
local-zone: "perfectmarket.com" static
local-zone: "perimeterx.net" static
local-zone: "permutive.com" static
local-zone: "personalicanvas.com" static
local-zone: "phywi.org" static
local-zone: "piguiqproxy.com" static
local-zone: "pingdom.net" static
local-zone: "pippa.io" static
local-zone: "pippio.com" static
local-zone: "pixel.anyclip.com" static
local-zone: "pixel.wp.com" static
local-zone: "plumelabs.com" static
local-zone: "plxnt.com" static
local-zone: "po.st" static
local-zone: "poool.fr" static
local-zone: "popads.net" static
local-zone: "prebid.org" static
local-zone: "preview.team" static
local-zone: "priice.net" static
local-zone: "privacy-center.org" static
local-zone: "protecmedia.com" static
local-zone: "proxistore.com" static
local-zone: "pub.cloud.scaleway.com" static
local-zone: "pub.groupe-ldlc.com" static
local-zone: "pub2srv.com" static
local-zone: "pubmatic.com" static
local-zone: "pubt.in" static
local-zone: "publicitasemea.vmg.host" static
local-zone: "pubmine.com" static
local-zone: "pulpix.com" static
local-zone: "purch.com" static
local-zone: "puserving.com" static
local-zone: "push.services.mozilla.com" static
local-zone: "pushcrew.com" static
local-zone: "pubstack.io" static
local-zone: "pvclouds.com" static
local-zone: "pxi.pub" static
local-zone: "pxlad.io" static
local-zone: "pxlapi-prod.elasticbeanstalk.com" static
local-zone: "pxt-networks.com" static
local-zone: "qcontentdelivery.info" static
local-zone: "qualifio.com" static
local-zone: "qualtrics.com" static
local-zone: "quantserve.com" static
local-zone: "quantum-advertising.com" static
local-zone: "r66net.com" static
local-zone: "radchesruno.club" static
local-zone: "ravalynn.pw" static
local-zone: "rawgit.com" static
local-zone: "readspeaker.com" static
local-zone: "realytics.io" static
local-zone: "reberr.pro" static
local-zone: "reportantu.info" static
local-zone: "rovalerentas.pro" static
local-zone: "rubiconproject.com" static
local-zone: "runmewivel.com" static
local-zone: "rx.io" static
local-zone: "s3blog.org" static
local-zone: "safe-browsing.ghostery.com" static
local-zone: "safebrowsing.google.com" static
local-zone: "safebrowsing.googleapis.com" static
local-zone: "safebrowsing-cache.google.com" static
local-zone: "sail-horizon.com" static
local-zone: "satismeter.com" static
local-zone: "sblcjzjp.com" static
local-zone: "sb-ssl.google.com" static
local-zone: "sb-ssl.l.google.com" static
local-zone: "scene7.com" static
local-zone: "schibsted.com" static
local-zone: "scorecardresearch.com" static
local-zone: "sddan.com" static
local-zone: "sdv.fr" static
local-zone: "search.r53-2.services.mozilla.com" static
local-zone: "search.services.mozilla.com" static
local-zone: "seedtag.com" static
local-zone: "segment.com" static
local-zone: "segment.io" static
local-zone: "selfcampaign.com" static
local-zone: "sendinblue.com" static
local-zone: "servedby-buysellads.com" static
local-zone: "servimg.com" static
local-zone: "serving-sys.com" static
local-zone: "shareasale.com" static
local-zone: "sharethrough.com" static
local-zone: "shavar.services.mozilla.com" static
local-zone: "shein.com" static
local-zone: "shermore.info" static
local-zone: "singleclickapps.com" static
local-zone: "siteimproveanalytics.com" static
local-zone: "sitescout.com" static
local-zone: "sitestat.com" static
local-zone: "skimresources.com" static
local-zone: "smartadserver.com" static
local-zone: "smartp.com" static
local-zone: "smetrics.sfr.fr" static
local-zone: "snap-scan.com" static
local-zone: "snippets.cdn.mozilla.net" static
local-zone: "social9.com" static
local-zone: "social-sb.com" static
#local-zone: "sofmrj.com" static
local-zone: "sonar.viously.com" static
local-zone: "sonobi.com" static
local-zone: "snapads.com" static
local-zone: "speedcurve.com" static
local-zone: "spot.im" static
local-zone: "springserve.net" static
local-zone: "ssl-google-analytics.l.google.com" static
local-zone: "stack-sonar.com" static
local-zone: "stackassets.com" static
local-zone: "stackcommerce.com" static
#local-zone: "statcounter.com" static
local-zone: "staytunedads.com" static
local-zone: "steepto.com" static
local-zone: "stickyadstv.com" static
local-zone: "storetail.io" static
local-zone: "stormyachiever.com" static
local-zone: "strapolan.com" static
local-zone: "streamroot.io" static
local-zone: "stripchat.com" static
local-zone: "strmt.tf1.fr" static
local-zone: "summerhamster.com" static
local-zone: "sumome.com" static
local-zone: "superfastcdn.com" static
local-zone: "superonclick.com" static
local-zone: "surfaceprivee.com" static
local-zone: "symauth.com" static
local-zone: "symcb.com" static
local-zone: "symcd.com" static
local-zone: "t.kelkoogroup.net" static
local-zone: "t4btv.com" static
local-zone: "taboola.com" static
local-zone: "tagbucket.cc" static
local-zone: "tagcommander.com" static
local-zone: "tags.little-big-data.com" static
local-zone: "tags.little-big-data.com.s3-eu-west-1.amazonaws.com" static
local-zone: "targetemsecure.blob.core.windows.net" static
local-zone: "tatumsmolena.com" static
local-zone: "tdfpiig.com" static
local-zone: "teads.net" static
local-zone: "teads.tv" static
local-zone: "telemetry.microsoft.com" static
local-zone: "telemetry.mozilla.org" static
local-zone: "tellapart.com" static
local-zone: "theadex.com" static
local-zone: "thebrighttag.com" static
local-zone: "therneserutybin.info" static
local-zone: "thismetric.com" static
local-zone: "tidaltv.com" static
local-zone: "tiqcdn.com" static
local-zone: "tinypass.com" static
local-zone: "tldw.me" static
local-zone: "tokywoky.com" static
local-zone: "toomsborogreycliff.com" static
local-zone: "tororango.com" static
local-zone: "tapfiliate.com" static
local-zone: "thirdrespect.com" static
local-zone: "tns-counter.ru" static
local-zone: "tracc.it" static
local-zone: "track.cj.akadns.net" static
local-zone: "trackadvise.woopic.com" static
local-zone: "tracking-lb.smc.tf" static
local-zone: "trackit.icu" static
local-zone: "tradedoubler.com" static
local-zone: "tradelab.fr" static
local-zone: "traffic.focuusing.com" static
local-zone: "trafficfactory.biz" static
local-zone: "trafficjunky.net" static
local-zone: "trafficmanager.net" static
local-zone: "trafficshaping.dsp.mp.microsoft.com" static
local-zone: "trafficstars.com" static
local-zone: "traktrafficflow.com" static
local-zone: "tribalfusion.com" static
local-zone: "trustaffs.com" static
local-zone: "trustarc.com" static
local-zone: "ts-aia.ws.symantec.com" static
local-zone: "ts-crl.ws.symantec.com" static
local-zone: "ts-ocsp.ws.symantec.com" static
local-zone: "tsyndicate.com" static
local-zone: "ttlbd.net" static
local-zone: "turn.com" static
local-zone: "typekit.net" static
local-zone: "udc.yahoo.com" static
local-zone: "ultimedia.com" static
local-zone: "unit-sense.net" static
local-zone: "usemessages.com" static
local-zone: "usersnap.com" static
local-zone: "usertrust.com" static
local-zone: "veinteractive.com" static
local-zone: "velocecdn.com" static
local-zone: "venturead.com" static
local-zone: "versioncheck.addons.mozilla.org" static
local-zone: "versioncheck.prod.mozaws.net" static
local-zone: "versioncheck-bg.addons.mozilla.org" static
local-zone: "veesziluf.com" static
local-zone: "viafoura.co" static
local-zone: "viafoura.com" static
local-zone: "viafoura.net" static
local-zone: "vicomi.com" static
local-zone: "videoplaza.tv" static
local-zone: "videostep.com" static
local-zone: "vidible.tv" static
local-zone: "viglink.com" static
local-zone: "visiblemeasures.com" static
local-zone: "visualrevenue.com" static
local-zone: "visualwebsiteoptimizer.com" static
local-zone: "vlgqpikka.com" static
local-zone: "vpnfortorrents.org" static
local-zone: "waust.at" static
local-zone: "wbdds.com" static
local-zone: "weatherblink.com" static
local-zone: "weathernco.com" static
local-zone: "webedia.fr" static
local-zone: "weborama.fr" static
local-zone: "wemfbox.ch" static
local-zone: "weserv.nl" static
local-zone: "whatsbroadcast.com" static
local-zone: "wibbitz.com" static
local-zone: "windguru.cz" static
local-zone: "windy.com" static
local-zone: "wonderpush.com" static
local-zone: "worldsecuresystems.com" static
local-zone: "wpad" static
local-zone: "wpad.home" static
local-zone: "wpu.sh" static
local-zone: "wurfl.io" static
local-zone: "wwwpromoter.com" static
local-zone: "wxvejfvmfwl.com" static
local-zone: "wysistat.com" static
local-zone: "xiti.com" static
local-zone: "xkawgrrrpszb.com" static
local-zone: "y-track.com" static
local-zone: "yadro.ru" static
local-zone: "yagiay.com" static
local-zone: "yandex.net" static
local-zone: "ymetrica1.com" static
local-zone: "youbora.com" static
local-zone: "youboranqs01.com" static
local-zone: "ypncdn.com" static
local-zone: "yume.com" static
local-zone: "xvideos.com" static
local-zone: "xvideos-cdn.com" static
local-zone: "zebestof.com" static
local-zone: "zemanta.com" static
local-zone: "zencdn.net" static
local-zone: "zendesk.com" static
local-zone: "zergnet.com" static
local-zone: "zopim.com" static
#Miners
local-zone: "1q2w3.fun" static
local-zone: "2giga.link" static
local-zone: "ad-miner.com" static
local-zone: "afminer.com" static
#local-zone: "amazonaws.com" static
local-zone: "anime.reactor.cc" static
local-zone: "a-o.ninja" static
local-zone: "authedmine.com" static
local-zone: "baiduccdn1.com" static
local-zone: "bestsecurepractice.com" static
local-zone: "bewhoyouare.gq" static
local-zone: "candid.zone" static
local-zone: "cdn.cloudcoins.co" static
local-zone: "chainblock.science" static
local-zone: "chmproxy.bid" static
local-zone: "cloudcoins.co" static
local-zone: "coinblind.com" static
local-zone: "coinerra.com" static
local-zone: "coin-have.com" static
local-zone: "coinhive.com" static
local-zone: "coin-hive.com" static
local-zone: "coinlab.biz" static
local-zone: "coinnebula.com" static
local-zone: "coinpirate.cf" static
local-zone: "cookiescript.info" static
local-zone: "cookiescriptcdn.pro" static
local-zone: "cpu2cash.link" static
local-zone: "cryptobara.com" static
local-zone: "crypto-loot.com" static
local-zone: "cryptoloot.pro" static
local-zone: "doubleclick1.xyz" static
local-zone: "doubleclick2.xyz" static
local-zone: "doubleclick3.xyz" static
local-zone: "doubleclick4.xyz" static
local-zone: "doubleclick5.xyz" static
local-zone: "doubleclick6.xyz" static
local-zone: "edgeno.de" static
local-zone: "freecontent.bid" static
local-zone: "freecontent.loan" static
local-zone: "freecontent.racing" static
local-zone: "gasolina.ml" static
local-zone: "googleanalytcs.com" static
local-zone: "goredirect.party" static
local-zone: "hemnes.win" static
local-zone: "hodling.faith" static
local-zone: "host.d-ns.ga" static
local-zone: "joyreactor.cc" static
local-zone: "jsccnn.com" static
local-zone: "jscdndel.com" static
local-zone: "jsecoin.com" static
local-zone: "jyhfuqoh.info" static
local-zone: "kickass.cd" static
local-zone: "kissdoujin.com" static
local-zone: "kisshentai.net" static
local-zone: "kiwifarms.net" static
local-zone: "l33tsite.info" static
local-zone: "lewd.ninja" static
local-zone: "listat.biz" static
local-zone: "lmodr.biz" static
local-zone: "mataharirama.xyz" static
local-zone: "mine.nahnoji.cz" static
local-zone: "mine.torrent.pw" static
local-zone: "minecrunch.co" static
local-zone: "minemytraffic.com" static
local-zone: "miner.pr0gramm.com" static
local-zone: "minero.pw" static
local-zone: "minescripts.info" static
local-zone: "monerise.com" static
local-zone: "monerominer.rocks" static
local-zone: "morningdigit.com" static
local-zone: "mutuza.win" static
local-zone: "now.sh" static
local-zone: "papoto.com" static
local-zone: "party-nngvitbizn.now.sh" static
local-zone: "playerassets.info" static
local-zone: "ppoi.org" static
local-zone: "pr0gramm.com" static
local-zone: "punchsub.net" static
local-zone: "reactor.cc" static
local-zone: "reasedoper.pw" static
local-zone: "rocks.io" static
local-zone: "rtbsuperhub.com" static
local-zone: "sen-to-zdrowie.ml" static
local-zone: "stackpathdns.com" static
local-zone: "supersonicads.com" static
local-zone: "tapjoyads.com" static
local-zone: "tokyodrift.ga" static
local-zone: "tubetitties.com" static
local-zone: "turnsocial.com" static
local-zone: "ubembed.com" static
local-zone: "webmine.cz" static
local-zone: "webmine.pro" static
local-zone: "webminepool.com" static
local-zone: "webminepool.tk" static
local-zone: "zlx.com.br" static
Merci pour ta réponse,
J'ai bien entré cette ligne dans le fichier service.conf, mais j'ai toujours l'erreur.
Ci-dessous, le contenu de mon fichier de conf :
# Unbound configuration file on windows.
server:
verbosity: 1
logfile: "C:\Program Files\unbound\unbound.log"
log-queries: no
# on Windows, this setting makes reports go into the Application log
# found in ControlPanels - System tasks - Logs
#use-syslog: yes
#auto-trust-anchor-file: "C:\Program Files\Unbound\root.key"
interface: 127.0.0.1
interface: 192.168.1.10
port: 53
Pour ce qui est de l'adresse IP de mon PC principal, c'est bien une IP fixe configuré dans ma box.
Merci
Tu aurais du garder le fichier d'origine, ça marcherait.
Ajoute deux lignes à ton fichier :
access-control: 127.0.0.0/24 allow
access-control: 192.168.0.0/16 allow
Au final, ça te donnera une config comme ça :
server:
verbosity: 1
logfile: "C:\Program Files\unbound\unbound.log"
log-queries: no
# on Windows, this setting makes reports go into the Application log
# found in ControlPanels - System tasks - Logs
#use-syslog: yes
#auto-trust-anchor-file: "C:\Program Files\Unbound\root.key"
interface: 127.0.0.1
interface: 192.168.1.10
port: 53
access-control: 127.0.0.0/24 allow
access-control: 192.168.0.0/16 allow
N'oublie pas de redémarrer le service !
Salut et merci pour ce tuto, mais petite question, car depuis que j'ai suivi votre tuto, je ne parviens plus à me connecter à ma freebox revolution en ftp via filezilla et je ne comprend pas comment y remédier...
L'ip de mon pc est en 192.168.0.x
La passerelle de ma box est configuré pour utiliser les dns de cloudflare soit 1.1.1.1 et 1.0.0.1 de mémoire et en 3ème position la passerelle de ma box soit 192.168.0.254.
Pour la connexion au ftp depuis mon pc, je dois renseigner :
Serveur : mafreebox.freebox.fr (mais avant ça fonctionnait aussi avec la passerelle 192.168.0.254)
L'id : freebox
Et le mot de passe...
avec la passerelle comme serveur ça me donne :
Statut : Connexion à 192.168.0.254:21...
Statut : Connexion établie, attente du message d'accueil...
Erreur : Connexion interrompue par le serveur
Erreur : Impossible d'établir une connexion au serveur
avec mafreebox.freebox.fr :
Statut : Attente avant nouvel essai...
Statut : Résolution de l'adresse de mafreebox.freebox.fr
Statut : Connexion à 212.27.38.253:21...
Statut : Connexion établie, attente du message d'accueil...
Erreur : Connexion interrompue par le serveur
Erreur : Impossible d'établir une connexion au serveur
Voici mon service.conf :
# Unbound configuration file on windows.
server:
verbosity: 1
logfile: "C:\Program Files\unbound\unbound.log"
log-queries: yes
# on Windows, this setting makes reports go into the Application log
# found in ControlPanels - System tasks - Logs
use-syslog: yes
auto-trust-anchor-file: "C:\Program Files\Unbound\root.key"
interface: 127.0.0.1
port: 53
access-control: 0.0.0.0/0 refuse
access-control: 127.0.0.0/24 allow
access-control: 192.168.0.0/16 allow
do-ip4: yes
do-ip6: no
do-udp: yes
do-tcp: yes
hide-identity: yes
hide-version: yes
harden-glue: yes
use-caps-for-id: yes
cache-min-ttl: 300
cache-max-ttl: 86400
do-not-query-localhost: yes
prefetch: yes
msg-cache-slabs: 8
rrset-cache-slabs: 8
infra-cache-slabs: 8
key-cache-slabs: 8
rrset-cache-size: 64m
msg-cache-size: 32m
so-rcvbuf: 1m
root-hints: "C:\Program Files\Unbound\named.cache"
#local-zone: "exemple.net." redirect
#local-data: "exemple.net. 60 IN NS localhost."
#local-data: "exemple.net. 60 IN A 127.0.0.1"
Une solution ?
Merci d'avance.
Oui bah voilà ce que donne mon dig pour être plus précis
$ dig sfr.fr
; <<>> DiG 9.16.1-Ubuntu <<>> sfr.fr
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 41279
;; flags: qr rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 0, ADDITIONAL: 1
;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 65494
;; QUESTION SECTION:
;sfr.fr. IN A
;; ANSWER SECTION:
sfr.fr. 3600 IN A 80.125.163.172
;; Query time: 23 msec
;; SERVER: 127.0.0.53#53(127.0.0.53)
;; WHEN: sam. févr. 13 20:23:35 CET 2021
;; MSG SIZE rcvd: 51
Enfin ce qui me complique la vie c'est que du coup avec ce Mint 20 je n'ai plus cette façon simple de savoir si unbound marche, car avant quand il ne marchait pas je le voyais au fait que cette commande ou encore le nslookup, donnaient le DNS de la box en réponse comme serveur, et plus maintenant, donc il ne reste que l'analyse du log netstat ou peut être activer un log unbound mais si sur XP je savais faire, là sur Linux je ne sais pas, tout semble très obscur, y compris après avoir lu le $ man unbound
Voilà j'ai fait le $ sudo systemctl status unbound
● unbound.service - Unbound DNS server
Loaded: loaded (/lib/systemd/system/unbound.service; enabled; vendor preset: enabled)
Active: active (running) since Tue 2021-02-16 08:22:22 CET; 7h ago
Docs: man:unbound(8)
Process: 985 ExecStartPre=/usr/lib/unbound/package-helper chroot_setup (code=exited, status=0/SUCCESS)
Process: 1016 ExecStartPre=/usr/lib/unbound/package-helper root_trust_anchor_update (code=exited, status=0/SUCCESS)
Main PID: 1044 (unbound)
Tasks: 1 (limit: 8188)
Memory: 11.9M
CGroup: /system.slice/unbound.service
└─1044 /usr/sbin/unbound -d
févr. 16 08:22:18 PC1 systemd[1]: Starting Unbound DNS server...
févr. 16 08:22:21 PC1 package-helper[1024]: /var/lib/unbound/root.key has content
févr. 16 08:22:21 PC1 package-helper[1024]: fail: the anchor is NOT ok and could not be fixed
févr. 16 08:22:22 PC1 unbound[1044]: [1044:0] notice: init module 0: subnet
févr. 16 08:22:22 PC1 unbound[1044]: [1044:0] notice: init module 1: validator
févr. 16 08:22:22 PC1 unbound[1044]: [1044:0] notice: init module 2: iterator
févr. 16 08:22:22 PC1 unbound[1044]: [1044:0] info: start of service (unbound 1.9.4).
févr. 16 08:22:22 PC1 systemd[1]: Started Unbound DNS server.
févr. 16 10:45:55 PC1 unbound[1044]: [1044:0] info: generate keytag query _ta-4f66. NULL IN
~
Si j'étais toi, je laisserais de côté DNS Over TLS.
Je te le répète, la quasi totalité des serveurs DNS de la planète n'utilisent pas de chiffrage, toutes les requêtes passent en clair.
Ensuite, pour utiliser ce système, il te faut utiliser un certificat de sécurité et sa clé privée (comme pour un site web), et vu que tu es sur un domaine localhost, il te faudra générer ce certificat à la main.
Laisse tomber, DoT ne te servira à rien du tout même si tu parviens à l'installer. Tes requêtes passeront en clair.
Et c'est pas moi qui t'aiderai dans ce sens sur ce fil, ce tuto se veux généraliste et dédié à Windows.
Si tu veux de l'aide, crée un nouveau fil dans la rubrique appropriée après avoir récupéré un mot de passe.
Ceci dit, tu peux virer la ligne search numericable.fr dans ton resolv.conf. Le etc ne veut absolument rien dire et doit être dégagé.
Ce fichier montre bien que tu utilises Unbound comme DNS et pas les serveurs de numericable.
Si tu veux t'en convaincre, décompose une requête vers google.com par exemple :
dig . NS com. NS google.com. NS
Tu obtiendras un résultat comme celui-ci :
; <<>> DiG 9.10.7 <<>> . NS com. NS google.com. NS
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 3296
;; flags: qr rd ra ad; QUERY: 1, ANSWER: 13, AUTHORITY: 0, ADDITIONAL: 27
;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 4096
;; QUESTION SECTION:
;. IN NS
;; ANSWER SECTION:
. 505058 IN NS k.root-servers.net.
. 505058 IN NS m.root-servers.net.
. 505058 IN NS a.root-servers.net.
. 505058 IN NS l.root-servers.net.
. 505058 IN NS b.root-servers.net.
. 505058 IN NS c.root-servers.net.
. 505058 IN NS f.root-servers.net.
. 505058 IN NS i.root-servers.net.
. 505058 IN NS g.root-servers.net.
. 505058 IN NS j.root-servers.net.
. 505058 IN NS h.root-servers.net.
. 505058 IN NS e.root-servers.net.
. 505058 IN NS d.root-servers.net.
;; ADDITIONAL SECTION:
a.root-servers.net. 3600000 IN A 198.41.0.4
b.root-servers.net. 3600000 IN A 199.9.14.201
c.root-servers.net. 3600000 IN A 192.33.4.12
d.root-servers.net. 3600000 IN A 199.7.91.13
e.root-servers.net. 3600000 IN A 192.203.230.10
f.root-servers.net. 3600000 IN A 192.5.5.241
g.root-servers.net. 3600000 IN A 192.112.36.4
h.root-servers.net. 3600000 IN A 198.97.190.53
i.root-servers.net. 3600000 IN A 192.36.148.17
j.root-servers.net. 3600000 IN A 192.58.128.30
k.root-servers.net. 3600000 IN A 193.0.14.129
l.root-servers.net. 3600000 IN A 199.7.83.42
m.root-servers.net. 3600000 IN A 202.12.27.33
a.root-servers.net. 3600000 IN AAAA 2001:503:ba3e::2:30
b.root-servers.net. 3600000 IN AAAA 2001:500:200::b
c.root-servers.net. 3600000 IN AAAA 2001:500:2::c
d.root-servers.net. 3600000 IN AAAA 2001:500:2d::d
e.root-servers.net. 3600000 IN AAAA 2001:500:a8::e
f.root-servers.net. 3600000 IN AAAA 2001:500:2f::f
g.root-servers.net. 3600000 IN AAAA 2001:500:12::d0d
h.root-servers.net. 3600000 IN AAAA 2001:500:1::53
i.root-servers.net. 3600000 IN AAAA 2001:7fe::53
j.root-servers.net. 3600000 IN AAAA 2001:503:c27::2:30
k.root-servers.net. 3600000 IN AAAA 2001:7fd::1
l.root-servers.net. 3600000 IN AAAA 2001:500:9f::42
m.root-servers.net. 3600000 IN AAAA 2001:dc3::35
;; Query time: 1 msec
;; SERVER: 192.168.0.2#53(192.168.0.2)
;; WHEN: Fri Feb 19 19:37:28 Paris, Madrid 2021
;; MSG SIZE rcvd: 811
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 7365
;; flags: qr rd ra ad; QUERY: 1, ANSWER: 13, AUTHORITY: 0, ADDITIONAL: 1
;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 4096
;; QUESTION SECTION:
;com. IN NS
;; ANSWER SECTION:
com. 140223 IN NS k.gtld-servers.net.
com. 140223 IN NS f.gtld-servers.net.
com. 140223 IN NS g.gtld-servers.net.
com. 140223 IN NS l.gtld-servers.net.
com. 140223 IN NS i.gtld-servers.net.
com. 140223 IN NS h.gtld-servers.net.
com. 140223 IN NS e.gtld-servers.net.
com. 140223 IN NS d.gtld-servers.net.
com. 140223 IN NS a.gtld-servers.net.
com. 140223 IN NS j.gtld-servers.net.
com. 140223 IN NS c.gtld-servers.net.
com. 140223 IN NS m.gtld-servers.net.
com. 140223 IN NS b.gtld-servers.net.
;; Query time: 1 msec
;; SERVER: 192.168.0.2#53(192.168.0.2)
;; WHEN: Fri Feb 19 19:37:28 Paris, Madrid 2021
;; MSG SIZE rcvd: 256
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 51703
;; flags: qr rd ra; QUERY: 1, ANSWER: 4, AUTHORITY: 0, ADDITIONAL: 1
;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 4096
;; QUESTION SECTION:
;google.com. IN NS
;; ANSWER SECTION:
google.com. 151686 IN NS ns2.google.com.
google.com. 151686 IN NS ns1.google.com.
google.com. 151686 IN NS ns4.google.com.
google.com. 151686 IN NS ns3.google.com.
;; Query time: 0 msec
;; SERVER: 192.168.0.2#53(192.168.0.2)
;; WHEN: Fri Feb 19 19:37:28 Paris, Madrid 2021
;; MSG SIZE rcvd: 111
Comme tu peux le remarquer, les DNS de Numericable ne sont jamais utilisés et c'est le but du jeu.
Ah ! 100% d'accord, oui O:-)
par contre j'ai une mauvaise nouvelle, j'ai désinstallé Unbound et ta commande (dig . NS com. NS google.com. NS ) me donne exactement le même résultat qu'avec Unbound :iy:
Messages du même membre fusionnés car compris dans le délai d'édition (Vous avez 30 minutes pour éditer).
u3@PC1:~$ dig . NS com. NS google.com. NS
; <<>> DiG 9.16.1-Ubuntu <<>> . NS com. NS google.com. NS
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 26685
;; flags: qr rd ra; QUERY: 1, ANSWER: 13, AUTHORITY: 0, ADDITIONAL: 1
;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 65494
;; QUESTION SECTION:
;. IN NS
;; ANSWER SECTION:
. 6669 IN NS m.root-servers.net.
. 6669 IN NS l.root-servers.net.
. 6669 IN NS k.root-servers.net.
. 6669 IN NS j.root-servers.net.
. 6669 IN NS i.root-servers.net.
. 6669 IN NS h.root-servers.net.
. 6669 IN NS g.root-servers.net.
. 6669 IN NS f.root-servers.net.
. 6669 IN NS e.root-servers.net.
. 6669 IN NS d.root-servers.net.
. 6669 IN NS c.root-servers.net.
. 6669 IN NS b.root-servers.net.
. 6669 IN NS a.root-servers.net.
;; Query time: 0 msec
;; SERVER: 127.0.0.53#53(127.0.0.53)
;; WHEN: dim. févr. 21 15:15:41 CET 2021
;; MSG SIZE rcvd: 239
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 62985
;; flags: qr rd ra; QUERY: 1, ANSWER: 13, AUTHORITY: 0, ADDITIONAL: 1
;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 65494
;; QUESTION SECTION:
;com. IN NS
;; ANSWER SECTION:
com. 6669 IN NS g.gtld-servers.net.
com. 6669 IN NS b.gtld-servers.net.
com. 6669 IN NS e.gtld-servers.net.
com. 6669 IN NS f.gtld-servers.net.
com. 6669 IN NS h.gtld-servers.net.
com. 6669 IN NS c.gtld-servers.net.
com. 6669 IN NS a.gtld-servers.net.
com. 6669 IN NS d.gtld-servers.net.
com. 6669 IN NS l.gtld-servers.net.
com. 6669 IN NS k.gtld-servers.net.
com. 6669 IN NS j.gtld-servers.net.
com. 6669 IN NS i.gtld-servers.net.
com. 6669 IN NS m.gtld-servers.net.
;; Query time: 0 msec
;; SERVER: 127.0.0.53#53(127.0.0.53)
;; WHEN: dim. févr. 21 15:15:41 CET 2021
;; MSG SIZE rcvd: 256
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 63367
;; flags: qr rd ra; QUERY: 1, ANSWER: 4, AUTHORITY: 0, ADDITIONAL: 1
;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 65494
;; QUESTION SECTION:
;google.com. IN NS
;; ANSWER SECTION:
google.com. 25809 IN NS ns4.google.com.
google.com. 25809 IN NS ns2.google.com.
google.com. 25809 IN NS ns3.google.com.
google.com. 25809 IN NS ns1.google.com.
;; Query time: 23 msec
;; SERVER: 127.0.0.53#53(127.0.0.53)
;; WHEN: dim. févr. 21 15:15:41 CET 2021
;; MSG SIZE rcvd: 111
u3@PC1:~$
Mise à jour du 25 mars 2021 :
Un test a été effectué sous Windows 7 avec Unbound v1.13.1 (dernière version à cette date)
L'installation est parfaitement fonctionnelle. Elle est prévue également pour DNSSEC.
La réponse du test est la suivante :
Verdict:
You are not protected by DNSSEC signature validation.
Technical details:
DNS provider
France Telecom - Orange
Par contre nslookup de google.fr donne :
Serveur : UnKnown
Address: fe80::5a90:43ff:fecb:1fbc
Réponse ne faisant pas autorité :
Nom : google.fr
Addresses: 2a00:1450:4007:808::2003
216.58.209.227
L'adresse IPv6 est bien l'adresse IPv6 du serveur...
Je n'ai jamais eu l'affichage de l'IPv4.
C'est la box qui doit faire "barrage" au test.
Il faudrait probablement que je redirige ou que j'ouvre le port 53 vers le serveur dns.
Merci pour ton aide :jw:
Salut,
J'ai du mal à te comprendre.
Si ton PC n'a pas accès à internet, ce n'est pas la faute de Unbound...
Par contre, si tu as une connexion et que tu as une erreur quand tu veux visiter un site, là oui.
Ta carte réseau est bien configurée ? Le service Unbound est bien démarré (et redémarré pour charger la config) ?
Donne moi le résultat de ce qui suit :
merci dsl du retard j'étais occupé j'ai réussi finalement à avoir accès , j'avais une erreur en effet
Serveur : localhost
Address: 127.0.0.1
Réponse ne faisant pas autorité :
Nom : google.com
Addresses: 2c0f:fb50:4002:800::200e
216.58.223.142
voilà et pour ipconfig
Carte Ethernet Ethernet :
Suffixe DNS propre à la connexion. . . :
Description. . . . . . . . . . . . . . : Realtek PCIe GbE Family Controller
Adresse physique . . . . . . . . . . . : 04-D9-F5-87-19-B1
DHCP activé. . . . . . . . . . . . . . : Non
Configuration automatique activée. . . : Oui
Adresse IPv4. . . . . . . . . . . . . .: 192.168.1.150(préféré)
Masque de sous-réseau. . . . . . . . . : 255.255.255.0
Passerelle par défaut. . . . . . . . . : 192.168.1.1
Serveurs DNS. . . . . . . . . . . . . : 127.0.0.1
NetBIOS sur Tcpip. . . . . . . . . . . : Activé
par contre j'ai sa à chaque fois (https://i.ibb.co/5WRR7P0/45.png) (https://imgbb.com/) et par exemple le soucis c'est que je ne peut pas utiliser l'application netflix, le site web oui mais la qualité n'est pas la même avec l'application qui est bien meilleure. je suis obliger de reset en utilisant le diag de réseaux windows pour supprimer le petit triangle jaune
Bonjour,
je rencontre le même souci,
depuis quelque temps ( mise a jour windaws ) mes applications on du mal à trouver le chemin vers internet voir pas du tout alors que le navigateur y arrive,
ou alors pire Windows 10 ne se connecte pas à mon réseau wifi, je suis obligé de faire du filaire.( je precise que je fais un partage de connexion via mon tel que ce soit pour la wifi ou le filaire )
avant sa marchais bien (sous windows 1909) puis mon pc s'est rebellé et a installé la Maj 20h01 et depuis c'est au petit bonheurs la chance ( ou plutot selons leur envie de maj) mais la ça fait quelque mise à jours et toujours pas de retours à la normal.
quand je fait réparé le réseau par l'outil de carte réseau il réinitialise les paramètres réseau ( supression des paramtre de dns local ) et la j'ai a nouveau tout qui roule
le résultat est le même que j'active ou désactive l'ipv6 dans les paramètres de la carte réseau et configure le fichier service.conf en conséquence.
Unbound se lance tout seul aucun pb avec le service.
pour info ( je me permet d'anticiper une éventuel demande )
Serveur : localhost
Address: ::1
DNS request timed out.
timeout was 2 seconds.
Nom : google.fr
Address: 2a00:1450:4007:808::2003
et
Carte Ethernet Ethernet 2 :
Suffixe DNS propre à la connexion. . . :
Description. . . . . . . . . . . . . . : Remote NDIS Compatible Device
Adresse physique . . . . . . . . . . . : 86-D9-9A-47-82-73
DHCP activé. . . . . . . . . . . . . . : Oui
Configuration automatique activée. . . : Oui
Adresse IPv6 de liaison locale. . . . .: fe80::b115:62b9:fd8f:5d2%7(préféré)
Adresse IPv4. . . . . . . . . . . . . .: 192.168.216.53(préféré)
Masque de sous-réseau. . . . . . . . . : 255.255.255.0
Bail obtenu. . . . . . . . . . . . . . : dimanche 13 juin 2021 22:39:47
Bail expirant. . . . . . . . . . . . . : lundi 14 juin 2021 01:09:42
Passerelle par défaut. . . . . . . . . : 192.168.216.200
Serveur DHCP . . . . . . . . . . . . . : 192.168.216.200
IAID DHCPv6 . . . . . . . . . . . : 625102635
DUID de client DHCPv6. . . . . . . . : 00-01-00-01-27-FE-83-EE-00-D8-61-E1-5E-35
Serveurs DNS. . . . . . . . . . . . . : ::1
127.0.0.1
NetBIOS sur Tcpip. . . . . . . . . . . : Activé
Merci pour votre aide
Bonjour Alex,
toujours un grand merci pour ces tutos...
Je reviens sur la partie "DNS menteur".
A toute fin utile j'ai cherché et travaillé cette partie et j'ai mis en place une blackliste qui permet facilement de placer les sites à bloquer.
je te mets ce que j'ai fait dans le fichier de configuration, (ce qui n'est que le résultat des infos sur le net..) :
#La blacklist
include: "D:\config\unbound\blacklist.conf"
Bien sur mettre le chemin où l'on a posé sa liste que j'ai appelés "blacklist.conf" mais un autre nom serait idem.
Relancer le service bien sur...
------------
La black liste est écrite selon modèle :
# rappel du chemin de ma liste C:\Program Files\Unbound\blocksites.ja Fixe
local-zone: "skype.net." static
local-zone: "skype.com." static
local-zone: "bonprix.fr." static
etc.
Possibilité de récupérer une liste des domaines qui inondent de publicité sur le site "pgl.yoyo.org
ou je peux t"envoyer la mienne si tu le désires.
Cordialement
Jacky :)
Merci pour ce super tuto.
je l'utilise avec bonheur depuis longtemps.
ça fait un moment que je me dis que je pourrais apporter ma pierre à l'édifice en vous proposant d'intégrer à unbound une liste de blocage de plub.
comme c'est mon premier message je n'ai pas droit au lien externe il faut donc remplacer dans les adresses externes HACHE par H
C'est un truc que j'utilise depuis quelque temps déjà sous linux (distribution opensuse là =>https://fr.opensuse.org/Unbound (https://fr.opensuse.org/Unbound)) et que j'ai adapté à windows
Pour se faire :
0- avant de tripatouiller le fichier de config de unbound et de tout casser ON FAIT UNE SAUVEGARDE DU FICHIER C:\Program Files\Unbound\service.conf
1- On créer un répertoire dans lequel on stockera la liste de blocage sans faire dans l'originalité
j'ai créé le sous répertoire AD_Filter dans C:\Program Files\Unbound\
2-Télécharger et enregistrer la liste de blocage dans ce répertoire.
Le plus simple c'est en ligne de commande avec la commande curl (en fait j'ai adapté une ligne ce commande que j'utilise sous linux a windows :ie:)
comme c'est mon premier message je n'ai pas droit au lien externe il faut donc remplacer dans les adresses externes HACHE par H
curl -o "C:\Program Files\Unbound\AD_Filter\unbound_add_servers.txt" https://pgl.yoyo.org/adservers/serverlist.php?hostformat=unbound&showintro=0&mimetype=plaintext
en français ça dit "télécharge au format txt lisible par unbound la liste qui est là : https://pgl.yoyo.org/adservers/serverlist.php?hostformat=unbound&showintro=0&mimetype=plaintext (https://pgl.yoyo.org/adservers/serverlist.php?hostformat=unbound&showintro=0&mimetype=plaintext) et enregistre la dans C:\Program Files\Unbound\AD_Filter\ sous le nom unbound_add_servers.txt (c'est la liste de ublock origin)
3- On édite le fichier C:\Program Files\Unbound\service.conf et on ajoute la ligne
include: "C:\Program Files\Unbound\AD_Filter\unbound_add_servers.txt"
On relance le service unbound et le tour est jouer.
4- Une fois de temps en temps refaire l'étape 2 pour mettre a jour la liste de blocage
Selon vote navigateur, c'est plus ou moins efficace d'environ 50% des pub bloquées jusqu'à 90%
Si vous avez une liste plus efficace ... ou une liste complémentaire on peut les ajouter dans le fichier de config unbound
Bonjour,
Merci pour ce super tuto.
Après avoir suivi les instructions, j'ai 2 soucis.
Tant qu je n'ai pas fermé le panneau propriétés de ma carte réseau, j'ai une connexion internet.
Le nslookup fournit ceci --> img jointe (et si elle ne pase pas vu que je ne la vois pas avec Prévisualiser).
(https://static.chez-oim.org/uploads/member_975/1683986156.png)
Serveur : Unknown
Adress: 192.168.0.254
Réponse ne faisant pas autorité :
Nom : google.fr
Adresses : 2a00:1450:4007:80d::2003
142.250.201.163 (qui est l'ip de Google, via iplookup)
Donc, cela ne fonctionne pas bien (!). Le service Unbound est démarré (démarré, arrêter puis démarré après instal d'unbound) et Automatique.
En revanche, quand je ferme le panneau propriétés, je perds ma connexion : il apparaît réseau non identifié sur la carte réseau).
Quelques conseils pour essayer de résoudre la situation ?
Config : Windows 10 ; ordi bureau sous CPL
Merci d'avance.