Un petit mémo sur ma configuration pour choisir mes DNS en utilisant 3 outils:
- Les dns choisis sont décrits dans dhcp-client.
- La fonction cache est assurée par dnsmasq.
- La connexion au réseau est gérée par network-manager
Environnement
PC sous Linux Debian 10 (Buster)
Paquets installés
- network-manager, isc-dhcp-client, dnsmasq
Configuration
Network-Manager
Dans le fichier /etc/NetworkManager/NetworkManager.conf
[main]
plugins=ifupdown,keyfile
dns=dnsmasq
dhcp=dhclient
[ifupdown]
managed=false
Dhcp-client
Dans le fichier /etc/dhcp/dhclient.conf
supersede domain-name-servers 64.6.64.6,80.67.188.188; prepend domain-name-servers 127.0.0.1;
En 2021 je prends la https://www.fdn.fr/actions/dns/
supersede domain-name-servers 80.67.169.12,80.67.169.40;
Dnsmasq
Dans le fichier /etc/dnsmasq.conf
# conf perso port=0 listen-address=127.0.0.1 no-hosts log-queries
Vérification
- Après redémarrage du PC
cat /etc/resolv.conf # Generated by NetworkManager nameserver 127.0.0.1
- Pour être plus curieux:
journalctl -xb | grep dns
nmcli | grep DNS -A2
DNS configuration:
servers: 127.0.0.1 64.6.64.6 80.67.188.188
interface: wlp3s0b1
- Pour tester le temps de réponse
dig debian.org
- Lister les caractéristiques des connexions utilisées par Network-Manager dans /var/lib/NetworkManager
Utiliser dnssec
Démasquer les options dans /etc/dnsmasq.conf
conf-file=/usr/share/dnsmasq-base/trust-anchors.conf
dnssec
dnssec-check-unsigned
Tester dnssec
La première requête est sécurisée, flag ad présent, car la réponse vient du dns.
dig sigok.verteiltesysteme.net
; <<>> DiG 9.11.5-P1-2-Debian <<>> sigok.verteiltesysteme.net
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 25020
;; flags: qr rd ra ad; QUERY: 1, ANSWER: 1, AUTHORITY: 0, ADDITIONAL: 1
;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 4096
;; QUESTION SECTION:
;sigok.verteiltesysteme.net. IN A
;; ANSWER SECTION:
sigok.verteiltesysteme.net. 60 IN A 134.91.78.139
;; Query time: 51 msec
;; SERVER: 127.0.0.1#53(127.0.0.1)
;; WHEN: lun. févr. 25 17:06:56 CET 2019
;; MSG SIZE rcvd: 71
La deuxième est vue non sécurisée, car la réponse vient du cache
dig sigok.verteiltesysteme.net ; <> DiG 9.11.5-P1-2-Debian <> sigok.verteiltesysteme.net ;; global options: +cmd ;; Got answer: ;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 35826 ;; flags: qr rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 0, ADDITIONAL: 1 ;; OPT PSEUDOSECTION: ; EDNS: version: 0, flags:; udp: 4096 ;; QUESTION SECTION: ;sigok.verteiltesysteme.net. IN A ;; ANSWER SECTION: sigok.verteiltesysteme.net. 56 IN A 134.91.78.139 ;; Query time: 0 msec ;; SERVER: 127.0.0.1#53(127.0.0.1) ;; WHEN: lun. févr. 25 17:07:00 CET 2019 ;; MSG SIZE rcvd: 71
Test en ligne http://www.dnssec-or-not.com/

Tracer
dig +trace +multiline debian.org