Unbound est un serveur de mise en cache DNS récursif, validant, très sécurisé et distribué gratuitement sous licence BSD. Unbound prend en charge DNS-over-TLS et DNS-over-HTTPS pour augmenter la confidentialité en ligne en permettant aux clients de chiffrer leur connexion. Selon la configuration de votre réseau, Unbound peut prendre en charge à la fois IPV4 et IPV6. L'installation et la configuration de Unbound dans les distributions Linux sont assez simples et directes. Le package Unbound est disponible dans la plupart des systèmes d'exploitation modernes, notamment CentOS, Ubuntu, Fedora. Les entreprises qui utilisent leur propre domaine pour servir des applications ou des sites Web en interne peuvent utiliser unbound comme serveur DNS.
Chez LinuxAPT, dans le cadre de nos services de gestion de serveur, nous aidons régulièrement nos clients à effectuer des requêtes sur les systèmes Linux.
Dans ce contexte, nous verrons comment installer et configurer un serveur Unbound dans Ubuntu 20.04.
Comment installer le serveur Unbound dans Ubuntu ?
Pour installer le serveur de résolution de noms Unbound dans Ubuntu 20.04, exécutez la commande ci-dessous :
$ sudo apt install unbound -y
Exécutez également la commande suivante pour installer des packages supplémentaires que nous utiliserons pour vérifier les configurations du serveur DNS
$ sudo apt install bind-utils net-tools -y
Une fois l'installation terminée, le contenu du fichier de configuration peut être trouvé en utilisant la commande :
$ cat /etc/unbound/unbound.conf
Ici, vous verrez que tous les fichiers .conf seront chargés à partir du répertoire unbound.conf.d.
Ensuite, nous allons créer un nouveau fichier de configuration sous le répertoire /etc/unbound/unbound.conf.d.
Ici, nous avons créé un fichier unbound_test.conf.
Maintenant, ouvrez le fichier à l'aide de l'éditeur de texte et ajoutez l'exemple de configuration suivant. Vous pouvez modifier les paramètres en conséquence.
$ sudo nano /etc/unbound/unbound.conf.d/unbound_test.conf
server:
port: 53
verbosity: 0
num-threads: 2
outgoing-range: 512
num-queries-per-thread: 1024
msg-cache-size: 32m
interface: 127.0.0.1
interface: 192.168.5.5
rrset-cache-size: 64m
cache-max-ttl: 86400
infra-host-ttl: 60
infra-lame-ttl: 120
outgoing-interface: 192.168.0.2
access-control: 127.0.0.0/8 allow
access-control: 192.168.5.0/24 allow
username: unbound
directory: "/etc/unbound"
logfile: "/var/log/unbound.log"
use-syslog: no
hide-version: yes
so-rcvbuf: 4m
so-sndbuf: 4m
do-ip4: yes
do-ip6: no
do-udp: yes
do-tcp: yes
Créez également un fichier journal et attribuez l'autorisation d'écrire des journaux avec les commandes :
$ sudo touch /var/log/unbound.log
$ sudo chown unbound:unbound /var/log/unbound.log
Redémarrez le service Unbound pour charger la configuration :
$ sudo service unbound restart
Utilisez la commande suivante pour activer le service :
$ sudo service unbound enable
Vérifiez si le service indépendant est en cours d'exécution ou non à l'aide de la commande :
$ sudo service unbound status
Exécutez la commande suivante pour vérifier sur quel port unbound écoute :
$ sudo netstat -anlpt | grep LIST
La sortie montrera que le service Unbound écoute sur le port 53 pour accepter les demandes.
Conditions du fichier de configuration de service indépendant
- port :port d'écoute pour Unbound.
- hide-version :n'affiche pas la version de unbound.
- use-syslog :indiquez si vous souhaitez écrire des journaux dans syslog.
- username :Utilisateur, sous lequel s'exécute unbound.
- verbosité :niveau du journal qui va de 0 à 4 et 4 est le niveau du journal de débogage.
- interface :interfaces dans lesquelles les requêtes non liées seront écoutées.
- interface sortante :interface par laquelle Internet arrive.
- num-threads :nombre de threads, recommandé de spécifier un nombre égal de cœurs de processeur.
Comment ouvrir le port DNS dans le pare-feu ?
Une fois le fichier de configuration créé, vous devez ouvrir un port DNS pour permettre à vos clients LAN locaux de se connecter à votre serveur DNS Unbound cache uniquement :
$ sudo ufw allow from any to any port 53 proto tcp
$ sudo ufw allow from any to any port 53 proto udp
Pour vérifier la règle de pare-feu, exécutez la commande suivante :
$ sudo ufw status
Nous sommes maintenant arrivés au point final pour tester notre nouveau serveur DNS non lié. Pour tester, nous pouvons utiliser la commande dig fournie avec le package bind-utils précédemment installé. Effectuez des requêtes DNS dans le serveur DNS réel. Ici, nous avons interrogé kernel.org pour tester :
$ dig kernel.org @localhost
Le temps de réponse est de 4 msec à la première requête.
Depuis que nous avons configuré le serveur DNS non lié, la requête est maintenant mise en cache.
Pour vérifier le cache DNS, exécutez la requête suivante avec le même nom de domaine :
$ dig kernel.org @localhost
Vous pouvez maintenant constater que le temps de requête est de 0 ms.
Si vous souhaitez tester la configuration du serveur DNS indépendant à partir des clients LAN, interrogez la réponse DNS pointant vers l'adresse IP du serveur DNS indépendant. (Dans notre cas, l'IP du serveur DNS non lié est 192.168.178.100) :
$ dig kernel.org @192.168.178.100
Comment optimiser Unbound ?
La configuration par défaut de Unbound fonctionne bien pour les utilisateurs limités, mais dans le cas où un grand nombre d'utilisateurs doivent bénéficier du service, une certaine optimisation doit être effectuée.
Voici quelques options d'optimisation que vous pouvez mettre en œuvre pour obtenir des performances élevées :
- num-threads :placez le même nombre de cœurs de processeur sur le système, par exemple, mettez la valeur 4 pour 2 processeurs avec 2 cœurs chacun.
- so-reuseport :oui Sous Linux, cela permet d'améliorer les performances UDP.
- outgoing-range :vous pouvez définir la valeur la plus grande possible en fonction du nombre de cœurs.
- so-sndbuf :cette valeur peut être définie sur une valeur supérieure de 4 m ou 8 m pour un serveur occupé.
- Pour plus de détails, vous pouvez vous référer à https://nlnetlabs.nl/documentation/unbound/howto-optimise/.