Forum Linux.débutant Probleme DNS

Posté par Jeko le 25 octobre 2015 à 22:28. Licence CC By‑SA.

Étiquettes :

oct.

2015

Bonjour,

Je suis débutant sur Linux (Ubuntu 14.4.1 LTS) et aujourd'hui j'ai essayé de configurer un serveur DNS avec unbound.

Mon problème est que depuis, je n'arrive plus à acceder à internet (firefox ou chrome), sauf lorsque Tor Browser est lancé. Les parametres de Firefox sont pourtant les memes que sous tor au niveau du proxy, je ne comprends donc pas pourquoi cela ne marche pas. ^{^'}

Ce n'est peut-etre pas tres clair, mais j'espère que vous pourrez m'aider..
Merci !

# Salut

Posté par n0wic le 26 octobre 2015 à 02:29. Évalué à 1. Dernière modification le 26 octobre 2015 à 02:31.

Qu'as tu utilisé comme documentation pour configurer ton serveur dns et peu tu donner quelques fichier de configuration comme par exemple ton fichier /etc/resolv.conf (sudo gedit /etc/resolv.conf pour l'éditer) justement pour la configuration du dns ?
- [^] # Re
  
  Posté par Jeko le 26 octobre 2015 à 10:26. Évalué à 2. Dernière modification le 26 octobre 2015 à 22:40.
  Merci de ta réponse rapide !
  
  Je me suis aidé de ces sites (au contenu quasi-identique) diy et itwars car les explications me paraissaient plus concrètes.
  
  Dans mon fichier /etc/resolv.conf il y a écrit :
```
 # Dynamic resolv.conf(5) file for glibc resolver(3) generated by resolvconf(8) "
 #     DO NOT EDIT THIS FILE BY HAND -- YOUR CHANGES WILL BE OVERWRITTEN
nameserver 127.0.0.1
```
  Le fichier que j'ai modifié est le fichier /etc/unbound/unbound.conf :
```
 # Unbound configuration file for Debian.
 #
 # See the unbound.conf(5) man page.
 #
 # See /usr/share/doc/unbound/examples/unbound.conf for a commented
 # reference config file.
 #
 # The following line includes additional configuration files from the
 # /etc/unbound/unbound.conf.d directory.
include: "/etc/unbound/unbound.conf.d/*.conf"

verbosity: 1
interface: 0.0.0.0
port: 53
do-ip4: yes
do-ip6: no
do-udp: yes
do-tcp: yes
access-control: 127.0.0.0/8 allow
access-control: _mon ip_ allow
root-hints: "/var/lib/unbound/root.hints"
hide-identity: yes
hide-version: yes
harden-glue: yes
harden-dnssec-stripped: yes
use-caps-for-id: yes
cache-min-ttl: 3600
cache-max-ttl: 86400
prefetch: yes
num-threads: 2
msg-cache-slabs: 8
rrset-cache-slabs: 8
infra-cache-slabs: 8
key-cache-slabs: 8
rrset-cache-size: 51m
msg-cache-size: 25m
so-rcvbuf: 1m
private-address: _mon ip_
unwanted-reply-threshold: 10000
do-not-query-localhost: yes
auto-trust-anchor-file: "/var/lib/unbound/root.key"
val-clean-additional: yes
local-zone: "doubleclick.net" redirect
local-data: "doubleclick.net A 127.0.0.1"
local-zone: "googlesyndication.com" redirect
local-data: "googlesyndication.com A 127.0.0.1"
local-zone: "googleadservices.com" redirect
local-data: "googleadservices.com A 127.0.0.1"
local-zone: "google-analytics.com" redirect
local-data: "google-analytics.com A 127.0.0.1"
local-zone: "ads.youtube.com" redirect
local-data: "ads.youtube.com A 127.0.0.1"
local-zone: "adserver.yahoo.com" redirect
local-data: "adserver.yahoo.com A 127.0.0.1"
```
  Voila, j’espère que c'est assez précis ^{^'}
  - [^] # Pare-feu ?
    
    Posté par n0wic le 26 octobre 2015 à 11:05. Évalué à 1.
    
    tu as configuré le parefeu ou des règles de routage ?
    - [^] # Re: Pare-feu ?
      
      Posté par Jeko le 26 octobre 2015 à 11:28. Évalué à 1.
      
      Je n'ai pas touché mon pare-feu, mais le port 53 est autorisé..
      - [^] # Re: Pare-feu ?
        
        Posté par n0wic le 26 octobre 2015 à 12:30. Évalué à 1.
        
        Il me semble que pour utiliser le réseau tor on peu faire de deux manières différents :
        - utiliser Tor browser qui ne constitue qu'un navigateur qui empreinte le réseau tor
        - configurer le réseau en dur pour n'utiliser que tor pour toutes les requete externes
        
        C'est bien comme tu le précises tor browser que tu utilises ?
        
        [^] # Re: Pare-feu ?
        
        Posté par Jeko le 26 octobre 2015 à 12:41. Évalué à 1.
        
        Oui c'est bien tor browser que j'utilise
  - [^] # Re: Re
    
    Posté par matthieu bollot (site web personnel, Mastodon) le 26 octobre 2015 à 13:46. Évalué à -1.
    J'ai l'impression qu'il te manque les forward-zones
    
    rajoute juste :
    forward-zone: name: "." forward-addr: 208.67.222.222 forward-addr: 208.67.220.220
    dans ton unbound.conf
    
    En effet, tu n'as plus que toi-même comme dns, mais il faut que ton serveur dns local arrive à résoudre les adresses.
    - [^] # Re: Re
      
      Posté par Ellendhel (site web personnel) le 26 octobre 2015 à 18:25. Évalué à 3.
      Non, il n'y a pas besoin d'ajouter de directive foward-zone, bien au contraire !
      
      Utiliser ces deux adresses IPv4 (celles des résolveurs OpenDNS soit dit en passant) donnerait un résultat opposé à celui recherché (les serveurs seraient utilisés pour toute les requêtes, au lieu de passer par le mécanisme de résolution DNS). À partir du moment où les fichiers root.hints et root.key sont correctement définis, les bases sont en place.
      
      Au niveau du pare-feu, les règles de filtrages ne doivent pas être restrictives, iptables doit retourner un résultat de ce type :
      
      # iptables -L OUTPUT -n -v | grep dpt:53 950 69340 ACCEPT udp -- * * 0.0.0.0/0 0.0.0.0/0 udp dpt:53 0 0 ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:53
      
      Les accès en sortie (output) doivent être autorisés vers n'importe quelle addresse IP (pour joindre n'importe quel server, la racine pour commencer) en UDP et TCP (TCP est utilisé pour DNSSEC). Et évidemment les accès pour les réponses doit être ouvert (state RELATED,ESTABLISHED ou à défaut des règles explicites).
      - [^] # Re: Re
        
        Posté par Ellendhel (site web personnel) le 26 octobre 2015 à 18:29. Évalué à 2.
        
        Et pour aider à résoudre le problème, que donne les réponses pour les deux commandes suivantes :
        
        unbound-control status
        
        et
        
        dig +multi +dnssec SOA .
        
        Il y a bien un point ("racine") à la fin de la seconde commande.
        
        [^] # Re: Re
        
        Posté par Jeko le 27 octobre 2015 à 12:30. Évalué à 1.
        
        Pour la première commande, un message d'erreur apparaît :
        error: Error setting up SSL_CTX client key and cert
        140086630680224:error:0200100D:system library:fopen:Permission denied:bss_file.c:398:fopen('/etc/unbound/unbound_control.pem','r')
        140086630680224:error:20074002:BIO routines:FILE_CTRL:system lib:bss_file.c:400:
        140086630680224:error:140AD002:SSL routines:SSL_CTX_use_certificate_file:system lib:ssl_rsa.c:470
        
        [^] # Re: Re
        
        Posté par nono14 (site web personnel) le 27 octobre 2015 à 15:25. Évalué à 2.
        
        permissions du fichier ?
        
        Système - Réseau - Sécurité Open Source - Ouvert à de nouvelles opportunités
        
        [^] # Re: Re
        
        Posté par Ellendhel (site web personnel) le 27 octobre 2015 à 17:07. Évalué à 2.
        
        Ça y ressemble beaucoup.
        
        Unbound-control utilise un certificat auto-généré lors de l'installation (du moins lors d'un installation à partir des sources, avec un paquet je ne sais pas comment cela est mis en place).
        
        Les fichiers devraient se trouver dans le répertoire /etc/unbound/ et avoir les permissions suivantes :
        
        root@serveur:~# ls -lh /etc/unbound/ total 76K -rw-r--r-- 1 root root 3.1K Jun 19 09:38 root.hints -rw-r--r-- 1 unbound unbound 759 Oct 27 11:04 root.key -rw-r--r-- 1 root root 24K Jun 22 16:10 unbound.conf -rw-r--r-- 1 root root 25K Jun 19 09:35 unbound.conf.original -rw-r----- 1 root root 1.3K Jun 19 09:35 unbound_control.key -rw-r----- 1 root root 802 Jun 19 09:35 unbound_control.pem -rw-r----- 1 root root 1.3K Jun 19 09:35 unbound_server.key -rw-r----- 1 root root 790 Jun 19 09:35 unbound_server.pem
        
        Il est important que les permissions soient bien placées, sinon Unbound ne fonctionnera pas.
        
        Un peu de documentation sur Unbound si cela peut aider (entre autre si les certificats n'on pas été générés).
# TorBrowser et DNS

Posté par genma (site web personnel) le 26 octobre 2015 à 11:00. Évalué à 2.

Je souhaite juste apporter une information/précision :
A ma connaissance dans le cas du Torbrowser, les requêtes DNS passent dans TOR (c'est le noeud de sortie qui fait la résolution DNS) donc ta configuration DNS n'est pas utilisé. Ce qui explique qu'avec le TorBrowser, tu puisses accéder à Internet et pas à Firefox.
- [^] # Re: TorBrowser et DNS
  
  Posté par n0wic le 26 octobre 2015 à 11:12. Évalué à 1.
  
  Oui mais lorsqu'on ferme Tor Browser et bien théoriquement on est sur Internet et plus sur Tor. Donc logiquement la configuration devrait être indépendante ?
  - [^] # Re: TorBrowser et DNS
    
    Posté par genma (site web personnel) le 26 octobre 2015 à 15:55. Évalué à 1.
    
    Oui mais lorsqu'on ferme Tor Browser et bien théoriquement on est sur Internet et plus sur Tor.
    
    Le Tor browser va sur Internet, en passant via le réseau Tor (via le proxy qu'il lance en tâche de fond et auquel il est associé). Mais tu peux avoir un navigateur Firefox ou autre application lancée à côté et ces applications se connecte directement à Internet sans passer par Tor. Donc je ne comprends pas trop ton idée/ta remarque…
    
    Le fait que le TorBrowser soit lancé et qu'une connexion à Tor soit initialisée ne joue pas/n'influence pas le fait que ton Firefox standard lui utilise le DNS en local de ton unbound, si c'est la configuration que tu as choisie.
    
    Ce que je disais c'est que le TorBrowser a par défaut une configuration spécifique pour ne pas utiliser les DNS définis pour la machine mais un DNS distant, celui du noeud de sortie…
    - [^] # Re: TorBrowser et DNS
      
      Posté par n0wic le 26 octobre 2015 à 17:25. Évalué à 1. Dernière modification le 26 octobre 2015 à 17:26.
      
      Je comprend ce que tu dis et quand tu parles de la configuration de Torbrowser je me demandais si elle consistait en une route statique ou simplement spécifiait le proxy à empreinter.
      Ce qui revient au même pour l'utilisateur.
# Hors-Sujet

Posté par n0wic le 26 octobre 2015 à 11:39. Évalué à 1.

Intéressant la partie de ta doc : "Faire mentir son serveur DNS contre les pubs sur internet"

On y constate que google posséderait plusieurs régies publicitaires. Je pensais que par définition une régie publicitaire centralisait et n'avait pas d'intéret a multipliier ses instances. (youtube est bien toujours une filiale de google?)

Suivre le flux des commentaires

Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.