Re: traceroute / iptables
On 18/11/2015 12:49, Philippe Gras wrote:
> Ah ! Ben c'est peut-être ça l'idée :-) Je vais me renseigner !
Ce n'est vraiment pas compliqué et je pense que sur un serveur c'est
vraiment indispensable. Le resolver DNS d'un Linux est très basique et
il ne fait aucun cache par exemple. Perso, sauf erreur, je fais ceci
(sur du Debian Jessie, mais je pense que ça devrait être pareil sous
Wheezy) :
-------------------------------------------
apt-get install unbound
# Pour que unbound ne s'en réfère plus directement au root DNS.
mv /etc/unbound/unbound.conf.d/root-auto-trust-anchor-file.conf /etc/unbound/unbound.conf.d/root-auto-trust-anchor-file.conf.disabled
# Je configure unbound pour qu'il interroge les DNS du FAI (en fait on met les DNS qu'on veut ici).
cat >/etc/unbound/unbound.conf.d/forward.conf <<EOF
forward-zone:
name: "."
forward-addr: $IP_DNS1
forward-addr: $IP_DNS2
forward-addr: $IP_DNS3
# etc.
EOF
# Par défaut, unbound écoute sur localhost uniquement.
service unbound restart
# Je préfère configurer le fichier /etc/resolv.conf moi même,
# j'aime pas trop resolvconf.
apt-get purge resolvconf
# On met 127.0.0.1 (ie unbound) en premier et ensuite les IP des DNS que
# unbound va consulter. Comme ça, si un jour le service unbound tombe
# (perso j'ai jamais vu mais bon...) et bien le résolver local demandera
# à ces DNS là et ça continuera à marcher quand même (même si y'aura sans
# un timeout à chaque requête DNS.
cat >/etc/resolv.conf <<EOF
nameserver 127.0.0.1
nameserver $IP_DNS1
nameserver $IP_DNS2
nameserver $IP_DNS3
# etc.
EOF
-------------------------------------------
Voilà comment je fais globalement.
Si cela vous semble foireux/incomplet/perfectible que sais-je encore, je
suis intéressé par toute remarque bien sûr, car le sujet m'intéresse beaucoup.
--
François Lafont
Reply to: