RPZ

RPZ (Reponse Policy Zone) est une fonctionnalité du DNS permettant de mentir sur les requêtes de nom des clients. C'est utile pour interdire les accès aux services NSA devenus incontournables malgré moi sur le WEB comme Google ou Facebook. Je l'utilise pour servir mon miroir de dépôt local à toute mes machines sans avoir à changer leur configuration et elle peut également servir si vous êtes opérateur afin de bloquer l'accès aux sites illégaux.

Activation de RPZ

vim /etc/bind/named.conf.options

Ajouter cette option dans le fichier

response-policy { zone "rpz"; };

Définition de la zone soumise à l'autorité de bind

vim /etc/bind/named.conf.local

zone "rpz" IN {
        type master;
        file "/var/cache/bind/rpz";
        allow-query { none; };
};

Configuration de la zone

vim /var/cache/bind/rpz

$TTL 3600
@            IN    SOA  localhost. root.localhost.  (
                          2   ; serial 
                          3H  ; refresh 
                          1H  ; retry 
                          1W  ; expiry 
                          1H) ; minimum 
                  IN    NS    localhost.
    
ftp.fr.debian.org       A       IP_SERVEUR_MIROIR
security.debian.org     A       IP_SERVEUR_MIROIR

Redémarrer Bind

systemctl restart bind9.service

Sources de la section

• http://jpmens.net/2011/04/26/how-to-configure-your-bind-resolvers-to-lie-using-response-policy-zones-rpz/
• http://www.bortzmeyer.org/rpz-faire-mentir-resolveur-dns.html