Créer son propre serveur DNS avec un Raspberry Pi

Pour que les ordinateurs communiquent entre eux sur Internet, chacun des participants a besoin d’une adresse unique : grâce aux adresses IP, les clients savent exactement à quel serveur ils doivent s’adresser. Mais aucun utilisateur ne remarque les chiffres de ces adresses, seulement les noms de domaine. C’est à ceci que servent les Domain Name Systems (DNS). Permettant de convertir les adresses en chiffres et inversement. Les clients doivent ainsi envoyer leurs requêtes à un ou plusieurs serveurs DNS, avant d’obtenir la bonne adresse. Mais ceci prend parfois beaucoup de temps. Il peut donc être utile d’optimiser sa connexion Internet en installant un serveur DNS dédié. Pour ce faire, le Raspberry Pi, un ordinateur petit mais polyvalent, constitue une bonne base. Voici comment fonctionne un DNS et comment créer le sien.

Un domain name system vous aide à trouver votre chemin au sein du réseau basé sur des adresses IP. Dans la ligne d’adresse de votre navigateur, entrez un domaine banal, comme www.exemple.org. Pour communiquer sur Internet, les ordinateurs ont besoin d’adresses Ipv4 ou IPv6. Pour que les communications fonctionnent, il est nécessaire que le nom de domaine reconnaissable soit modifié. C’est ici qu’entre en jeu la résolution des noms de domaines. Pour ce faire, le navigateur doit pouvoir accéder à un cache. Il est possible que l’adresse soit déjà connue du système et n’ait pas à être vérifiée du tout.

Si ce n’est pas le cas, la requête est transmise à un ou plusieurs autres serveurs DNS. Il est d’abord question du serveur DNS du fournisseur d’accès à Internet. Celui-ci aligne la requête dans sa banque de données et, idéalement, livre un résultat. S’il ne trouve aucune entrée pour le domaine, la requête est automatiquement envoyée à l’un des 13 serveurs racine sur Internet, où sont enregistrées toutes les adresses du Web.

En collaboration avec le DNS, il faut aussi noter que la plupart des acteurs d’Internet, en particulier les clients des utilisateurs classiques, ne disposent pas d’une adresse IP fixe. Les fournisseurs d’accès à Internet assignent des adresses IP au sein de leur réseau pour 24h. Après ceci, il s’opère une très courte séparation forcée, à la suite de laquelle il est assigné une nouvelle adresse IP à l’utilisateur. Ce n’est généralement pas un problème, parce que les clients ne sont sollicités que rarement par un acteur extérieur au réseau local ; ils envoient les requêtes au serveur, pas l’inverse.

Pour certaines applications, comme les bureaux à distance ou les petits serveurs de jeu, il est toutefois nécessaire d’installer un serveur séparé. Dans ce cas, il est recommandé d’utiliser un DNS dynamique. Grâce à un DDNS, le serveur domestique se voit assigner un domaine grâce auquel il est accessible. Si vous souhaitez héberger vous-mêmes un serveur DNS en dehors de votre réseau local, il peut être intéressant d’envisager un DynDNS.

Pour des raisons très diverses, certains utilisateurs préfèrent passer par leur propre serveur DNS au lieu de chercher les adresses IP. Il est donc judicieux d’installer un serveur indépendant si le réseau est composé de plusieurs appareils et utilisé par plusieurs personnes, par exemple s’il s’agit une grande famille, d’une colocation, ou dans le cas d’un petit bureau. 

• Vitesse : une requête Web, dans le cas où il n’y a pas de cache, passe par plusieurs routeurs et serveurs, jusqu’à ce que le contenu Web arrive à l’utilisateur. Bien que ces temps d’attente soient en général de l’ordre de millisecondes, le processus peut être accéléré même s’il n’est pas nécessaire d’établir une connexion avec le serveur DNS du fournisseur d’accès.

• Sphère privée : pour que le domain name system fonctionne, les requêtes doivent être transmises à des serveurs étrangers. Ceci laisse des indices sur Internet, que certains des utilisateurs souhaiteraient effacer. Avec un serveur DNS propre, les données restent privées.

• Sécurité : lorsque vous hébergez votre propre serveur DNS, vous en contrôlez les entrées.  Les cybercriminels cherchent en général à intercepter les requêtes DNS du fournisseur d’accès Internet et lui fournir une fausse adresse IP. Au lieu du site Web souhaité, vous tombez sur un autre qui lui ressemble. Ceci se pratique particulièrement pour les services de banque en ligne : les données sensibles sont copiées sur un site qui ressemble exactement à l’original, et les pirates s’en servent pour piller les réserves financières. 

• Filtre de publicité : les bloqueurs de publicité ont accès à une liste de serveurs Web qui doit être verrouillée. Ceci peut se faire au moyen d’un serveur DNS créé soi-même. De cette façon, vous pouvez protéger tous les appareils de votre réseau domestique contre la publicité, sans pour autant avoir à installer un programme supplémentaire sur chaque appareil.

• Protection enfants : ce qui fonctionne pour la publicité est aussi valable pour la protection des enfants. Les serveurs avec du contenu problématique pour les enfants peuvent facilement être bloqués grâce à un DNS auto-installé.

• Effet d‘apprentissage : de nombreux utilisateurs installent leur propre serveur DNS simplement pour mieux comprendre le champ de fonctionnalités d’internet. Si l’électricité vient de la prise, le site Web vient du navigateur : si l’on souhaite comprendre les spécificités techniques à l’œuvre en coulisses, rien de plus efficace qu’un projet à faire soi-même. Il en existe de nombreux à faire avec un Raspberry Pi.

Si vous souhaitez installer un serveur DNS sur votre Raspberry Pi, vous aurez besoin, outre du mini-ordinateur, des éléments suivants :

• Une carte SD sur laquelle est installé Rasbian
• Une connexion Ethernet sur un routeur Internet
• Une alimentation électrique par câble micro USB
• Un client SSH (par exemple PuTTY)

À titre d’exemple, prenons BIND comme base pour installer un DNS sur Raspberry Pi. BIND est un logiciel open-source qui revient à l’Internet Name Domain Server de Berkeley. Le programme est aujourd’hui disponible dans sa neuvième version, et continue d’être développé par l’Internet Software Consortium (ISC).

Il s’agit ensuite de s’assurer que le Raspberry Pi se voit attribuer une adresse IP statique au sein du réseau local. Pour ce faire, il faut ouvrir la configuration réseau ainsi :

Indiquez ensuite une adresse IP unique au Raspberry Pi.

Bind9 est maintenant installé sur votre système. Il reste un certain nombre de paramètres à régler avant de transformer votre Raspberry PI en serveur DNS. Il s’agit maintenant d’ouvrir le fichier de configuration de bind9 :

Là, il faut paramétrer deux zones : une pour le Forward-Lookup, par lequel l’adresse IP est cherchée pour le domaine, et le Reverse-Lookup, pour la requête inverse.

Le code indique que deux fichiers différents (db.home.lan et db.rev.1.168.192.in-addr.arpa) sont utilisés pour définir les zones. Dans la mesure où vous créez les fichiers vous-mêmes, vous pouvez les renommer comme vous le souhaitez, mais il faut les ranger au bon endroit. Voici comment constituer le dossier pour le Forward-Lookup :

Il est ensuite nécessaire d’ajuster les deux dernières entrées au sein du fichier. Entrez ici les adresses IP de votre Raspberry Pi (auquel vous avez au préalable attribué une adresse IP statique) et de votre routeur. Veillez bien à ce que les noms de domaines se terminent toujours ici par un point. Au début des fichiers, après leur numéro de série, déterminez combien de temps est nécessaire entre deux actions classiques. Les deux indications NS et MX précisent que le nom du serveur et le serveur mail sont installés sur le Raspberry Pi.

Dans cet exemple, l’adresse de votre réseau local commence par 192.168.1. Si ce n’est pas le cas, il suffit de remplacer ces données par la bonne adresse à l’emplacement correspondant dans le fichier et dans le nom du fichier. Souvenez-vous qu’un autre nom de fichier doit être entré ici : /etc/bind/named.conf.local.

Lorsque vous installez un serveur DNS sur un Raspberry Pi, celui-ci fonctionne comme un cache pour les requêtes DNS. Ceci signifie que, dès qu’une requête de résolution de noms est envoyée, l’entrée est sauvegardée sur votre serveur DNS. Les requêtes DNS sont également transférées à d’autres serveurs. Vous pouvez les spécifier dans /etc/bind/named.conf.options. Pour ce faire, il faut ouvrir le fichier et modifier les adresses IP dans l’entrée« Forwarders » :

Vous pouvez par exemple entrer l’adresse IP du serveur DNS de votre fournisseur d‘accès Internet, ou celle d’un système ouvert. Celle de Google, par exemple, est très connue (8.8.8.8). Pour les utilisateurs qui souhaitent s’affranchir d’un fournisseur commercial, il est possible de de choisir un système gratuit, comme par exemple Digitalcourage e. V. (85.214.20.141).

Vous avez désormais configuré un serveur DNS sur un Raspberry Pi avec BIND. Pour que les modifications soient effectives, il faut maintenant redémarrer le programme :

Oder:

Si des erreurs persistent au démarrage du serveur DNS, il peut valoir la peine de jeter un œil au fichier d’identification /var/log/syslog. Après avoir redémarré votre Raspberry Pi, il n’est pas nécessaire de redémarrer le serveur DNS manuellement, donc vous pouvez configurer un redémarrage automatique du système :

Il s’agit maintenant d’entrer le nouveau serveur DNS dans les paramètres de votre routeur, pour que les requêtes de résolutions de noms soient exécutées sur le Raspberry Pi. Il s’agit d’entrer l’adresse du Raspberry Pi dans les paramètres de l’appareil (auxquels on accède depuis l’interface). Vous avez désormais le contrôle sur les entrées DNS, et pouvez bloquer certains serveurs, par exemple pour vous protéger de pages malveillantes. Enfin, il faut verrouiller le DNS ; ceci se passe dans un dossier dans lequel vous entrez d’abord le fichier de configuration de bind9 :

Ce fichier est inséré en tant que nouvelle entrée dans celui qui existe déjà, et terminé par un point-virgule :

Entrez ensuite dans ce fichier les domaines que vous souhaitez bloquer. Pour vous aider à savoir quels sont les domaines verrouillés, vous avez accès à différentes listes. Dans cet exemple, nous utilisons une liste du projet DNS BH, qui fournit un fichier zone pour BIND. Ce type de fichier est téléchargeable et s’ouvre avec un programme de traitement de texte.

À la fin de la ligne, un fichier est ouvert, et exécuté lorsque le domaine correspondant est demandé. Voici comment créer ce fichier :

Entrez ensuite le code suivant :

Ici encore, veillez bien à ce que toutes les bonnes valeurs soient entrées pour chaque domaine (dans ce cas raspberry.home.lan). Ensuite, redémarrez à nouveau bind9. Votre serveur DNS doit maintenant être correctement configuré et prêt à être utilisé.