server: # Les lignes suivantes concernent la configuration de unbound pour les # performance crypto DNSSEC en utilisant la clé des serveurs root auto-trust-anchor-file: "/var/lib/unbound/root.key" # Activer les logs # verbosity: 1 (par défaut) #Répondre aux requêtes DNS sur toutes les interfaces réseau. interface: 0.0.0.0 #Port sur lequel sont fait les requêtes DNS #port: 53 (par défaut) #support de l'IPv4 #do-ip4: yes (par défaut) #support de l'IPv6 do-ip6: no #support udp #do-udp: yes (par défaut) #support tcp #do-tcp: yes (par défaut) #plages adresse ip autorisée à consulter le serveur dns #access-control: 127.0.0.0/8 allow #access-control: 192.168.1.0/24 allow #access-control: 192.168.1.26 #plage ip comprise entre 192.168.0.0 et 192.168.255.255 access-control: 192.168.1.0/16 allow #emplacement du fichier indiquant les infos pour consulter les serveurs DNS root #fichier à télécharger là à cette adresse: ftp://FTP.INTERNIC.NET/domain/named.cache root-hints: "/var/lib/unbound/root.hints" #Cacher les infos sur le serveur DNS hide-identity: yes hide-version: yes #paramètre limitant l'usurpation de DNS harden-glue: yes #Requérir les infos DNSSEC pour les zones de confiance harden-dnssec-stripped: yes #Options permettant de ne pas prendre la casse en compte lors des requêtes d'url. #HomeServer-DIY.net sera traduit en homeserver-diy.net par le serveur et il communiquera la bonne IP use-caps-for-id: yes #valeur mini de la TTL en secondes. Ne pas dépasser 1h cache-min-ttl: 3600 #valeur max de la TTL en secondes. cache-max-ttl: 86400 #activation du prefetch. Si un requête est faite lorsque la tll expire dans moins de 10% du temps qu'il lui est imparti #le cache se mettra à jour aussitôt après avoir répondu à la requête. prefetch: yes #nombre de core du serveur dns num-threads: 2 ## Tweaks et optimisations du cache #Nombre de slabs à utiliser . Doit être une puissance de 2 du num-threads. msg-cache-slabs: 8 rrset-cache-slabs: 8 infra-cache-slabs: 8 key-cache-slabs: 8 #Réglage de la taille du cache en Mo: rrset-cache-size: 51m msg-cache-size: 25m #Taille du buffer pour le port UPD en entrée. Evite la perte de message lors des requêtes so-rcvbuf: 1m #Renforcer la vie privée des adresses du LAN. Ne mettre que des adresses locales private-address: 192.168.1.0/24 #Si non nulles, les réponses indésirables ne sont pas seulement signalés dans les statistiques, #mais aussi ajoutées à un total cumulé maintenu par thread. #Si elle atteint le seuil, un avertissement est affiché et une action défensive est prise, le cache est vidé pour éviter l'empoissonnement DNS. #Une valeur de 10000 est suggérée, la valeur par défaut est de 0 (service désactivé). unwanted-reply-threshold: 10000 #Autorisé à répondre aux requêtes du localhost do-not-query-localhost: no #Emplacement du fichier root.key pour utilisation de DNSSEC #auto-trust-anchor-file: "/var/lib/unbound/root.key" # Est-ce que cette section supplémentaire, doit être conservée intacte pour les données non-sécurisées # Utile pour protéger les utilisateurs d'une validation de données potentiellement boguées # Toutes les données non signés dans la section supplémentaire seront retirés des messages sécurisés val-clean-additional: yes