====== Résolveur DNS ======

Les deux principaux résolveurs DNS GRIFON sont [[machines:grifon:drogon]] et [[machines:grifon:resolver02]].

Configuration de unbound sur [[machines:grifon:drogon]]

Cet unbound sert de résolveur pour toutes les machines hébergées chez grifon
ainsi que pour le LAN d’admin. Il a donc des ACL sur nos ranges d’IP :
<file>
        access-control: 127.0.0.0/8     allow_snoop
        access-control: ::1             allow_snoop
        access-control: 89.234.186.0/24 allow_snoop
        access-control: 172.17.0.0/24   allow_snoop
        access-control: 2a00:5884::/32  allow_snoop
</file>

Comme le DNSSEC c’est cool, notre résolveur est validant :
<file>
	auto-trust-anchor-file:	"/var/lib/unbound/root.key"
</file>

Aussi, afin d’améliorer un peu la confidentialité de nos adhérents, nous avons
activé la qname-minimisation (en gros, ne demander que ce qu’il faut au NS au
lieu de tout le FQDN) :
<file>
        qname-minimisation: yes
</file>

Cet unbound sert également les zones locales grif, 0.17.172.in-addr.arpa et
0.4.0.0.2.0.e.1.0.0.d.f.ip6.arpa. Elles servent pour le LAN d’admin.