server:
  # Les lignes suivantes concernent la configuration de unbound pour les
  # performance crypto DNSSEC en utilisant la clé des serveurs root
  auto-trust-anchor-file: "/var/lib/unbound/root.key"
  
  # Activer les logs
  # verbosity: 1 (par défaut)
  
  #Répondre aux requêtes DNS sur toutes les interfaces réseau.
  interface: 0.0.0.0
  
  #Port sur lequel sont fait les requêtes DNS
  #port: 53 (par défaut)
  
  #support de l'IPv4
  #do-ip4: yes (par défaut)
  
  #support de  l'IPv6
  do-ip6: no
  
  #support udp
  #do-udp: yes (par défaut)
  
  #support tcp
  #do-tcp: yes (par défaut)
  
  #plages adresse ip autorisée à consulter le serveur dns
  #access-control: 127.0.0.0/8 allow
  #access-control: 192.168.1.0/24 allow
  #access-control: 192.168.1.26
  
  #plage ip comprise entre 192.168.0.0 et 192.168.255.255
  access-control: 192.168.1.0/16 allow
  
  #emplacement du fichier indiquant les infos pour consulter les serveurs DNS root
  #fichier à télécharger là à cette adresse: ftp://FTP.INTERNIC.NET/domain/named.cache
  root-hints: "/var/lib/unbound/root.hints"
  
  #Cacher les infos sur le serveur DNS
  hide-identity: yes
  hide-version: yes
  
  #paramètre limitant l'usurpation de DNS
  harden-glue: yes
  
  #Requérir les infos DNSSEC pour les zones de confiance
  harden-dnssec-stripped: yes
  
  #Options permettant de ne pas prendre la casse en compte lors des requêtes d'url. 
  #HomeServer-DIY.net sera traduit en homeserver-diy.net par le serveur et il communiquera la bonne IP
  
  use-caps-for-id: yes
  
  #valeur mini de la TTL en secondes. Ne pas dépasser 1h
  cache-min-ttl: 3600
  
  #valeur max de la TTL en secondes.
  cache-max-ttl: 86400
  
  #activation du prefetch. Si un requête est faite lorsque la tll expire dans moins de 10% du temps qu'il lui est imparti
  #le cache se mettra à jour aussitôt après avoir répondu à la requête.
  prefetch: yes
  
  #nombre de core du serveur dns
  num-threads: 2
  
  ## Tweaks et optimisations du cache
  #Nombre de slabs à utiliser . Doit être une puissance de 2 du num-threads.
  msg-cache-slabs: 8
  rrset-cache-slabs: 8
  infra-cache-slabs: 8
  key-cache-slabs: 8
  
  #Réglage de la taille du cache en Mo:
  rrset-cache-size: 51m
  msg-cache-size: 25m
  
  #Taille du buffer pour le port UPD en entrée. Evite la perte de message lors des requêtes
  so-rcvbuf: 1m
  
  #Renforcer la vie privée des adresses du LAN. Ne mettre que des adresses locales
  private-address: 192.168.1.0/24
  
  #Si non nulles, les réponses indésirables ne sont pas seulement signalés dans les statistiques, 
  #mais aussi ajoutées à un total cumulé maintenu par thread. 
  #Si elle atteint le seuil, un avertissement est affiché et une action défensive est prise, le cache est vidé pour éviter l'empoissonnement DNS. 
  #Une valeur de 10000 est suggérée, la valeur par défaut est de 0 (service désactivé).
  unwanted-reply-threshold: 10000
  
  #Autorisé à répondre aux requêtes du localhost
  do-not-query-localhost: no
  
  #Emplacement du fichier root.key pour utilisation de DNSSEC
  #auto-trust-anchor-file: "/var/lib/unbound/root.key"
  # Est-ce que cette section supplémentaire, doit être conservée intacte pour les données non-sécurisées
  # Utile pour protéger les utilisateurs d'une validation de données potentiellement boguées
  # Toutes les données non signés dans la section supplémentaire seront retirés des messages sécurisés
  val-clean-additional: yes