1: .TH DNSMASQ 8
2: .SH NAME
3: Dnsmasq \- Un serveur DHCP et cache DNS poids-plume.
4: .SH SYNOPSIS
5: .B dnsmasq
6: .I [OPTION]...
7: .SH "DESCRIPTION"
8: .BR dnsmasq
9: est un serveur à faible empreinte mémoire faisant DNS, TFTP, PXE, annonces de
10: routeurs et DHCP. Il offre à la fois les services DNS et DHCP pour un réseau
11: local (LAN).
12: .PP
13: Dnsmasq accepte les requêtes DNS et y répond soit en utilisant un petit cache
14: local, soit en effectuant une requête à un serveur DNS récursif externe (par
15: exemple celui de votre fournisseur d'accès internet). Il charge le contenu du
16: fichier /etc/hosts afin que les noms locaux n'apparaissant pas dans les DNS
17: globaux soient tout de même résolus, et assure également la résolution de nom
18: pour les hôtes présents dans le service DHCP. Il peut aussi agir en temps que
19: serveur DNS faisant autorité pour un ou plusieurs domaines, permettant à des
20: noms locaux d'apparaitre dans le DNS global.
21: .PP
22: Le serveur DHCP de Dnsmasq supporte les définitions d'adresses statiques et les
23: réseaux multiples. Il fournit par défaut un jeu raisonnable de paramètres DHCP,
24: et peut être configuré pour fournir n'importe quelle option DHCP.
25: Il inclut un serveur TFTP sécurisé en lecture seule permettant le démarrage via
26: le réseau/PXE de clients DHCP et supporte également le protocole BOOTP. Le
27: support PXE est complet, et comprend un mode proxy permettant de fournir des
28: informations PXE aux clients alors que l'allocation d'adresse via DHCP est
29: effectuée par un autre serveur.
30: .PP
31: Le serveur DHCPv6 de dnsmasq possède non seulement les mêmes fonctionnalités
32: que le serveur DHCPv4, mais aussi le support des annonces de routeurs ainsi
33: qu'une fonctionnalité permettant l'addition de ressources AAAA pour des
34: clients utilisant DHCPv4 et la configuration IPv6 sans état (stateless
35: autoconfiguration).
36: Il inclut le support d'allocations d'adresses (à la fois en DHCPv6 et en
37: annonces de routeurs - RA) pour des sous-réseaux dynamiquement délégués via
38: une délégation de préfixe DHCPv6.
39: .PP
40: Dnsmasq est développé pour de petits systèmes embarqués. Il tend à avoir
41: l'empreinte mémoire la plus faible possible pour les fonctions supportées,
42: et permet d'exclure les fonctions inutiles du binaire compilé.
43: .SH OPTIONS
44: Notes : Il est possible d'utiliser des options sans leur donner de paramètre.
45: Dans ce cas, la fonction correspondante sera désactivée. Par exemple
46: .B --pid-file=
47: (sans paramètre après le =) désactive l'écriture du fichier PID.
48: Sur BSD, à moins que le logiciel ne soit compilé avec la bibliothèque GNU
49: getopt, la forme longue des options ne fonctionne pas en ligne de commande; elle
50: est toujours supportée dans le fichier de configuration.
51: .TP
52: .B --test
53: Vérifie la syntaxe du ou des fichiers de configuration. Se termine avec le
54: code de retour 0 si tout est OK, ou un code différent de 0 dans le cas
55: contraire. Ne démarre pas Dnsmasq.
56: .TP
57: .B \-w, --help
58: Affiche toutes les options de ligne de commande.
59: .B --help dhcp
60: affiche les options de configuration connues pour DHCPv4, et
61: .B --help dhcp6
62: affiche les options de configuration connues pour DHCPv6.
63: .TP
64: .B \-h, --no-hosts
65: Ne pas charger les noms d'hôtes du fichier /etc/hosts.
66: .TP
67: .B \-H, --addn-hosts=<fichier>
68: Fichiers d'hôtes additionnels. Lire le fichier spécifié en plus de /etc/hosts.
69: Si
70: .B -h
71: est spécifié, lire uniquement le fichier spécifié. Cette option peut être
72: répétée afin d'ajouter d'autres fichiers. Si un répertoire est donné, lis les
73: fichiers contenus dans ce répertoire.
74: .TP
75: .B \-E, --expand-hosts
76: Ajoute le nom de domaine aux noms simples (ne contenant pas de point dans le
77: nom) contenus dans le fichier /etc/hosts, de la même façon que pour le service
78: DHCP. Notez que cela ne s'applique pas aux noms de domaine dans les CNAME, les
79: enregistrements PTR, TXT, etc...
80: .TP
81: .B \-T, --local-ttl=<durée>
82: Lorsque Dnsmasq répond avec une information provenant du fichier /etc/hosts ou
83: avec un bail DHCP, il donne un temps de vie (time-to-live) positionné à zéro,
84: afin d'indiquer à la machine faisant la requête que celle-ci ne doit pas être
85: mise dans un cache. Ceci est le comportement correct dans presque toutes les
86: situations.
87: Cette option permet de spécifier la valeur de time-to-live à retourner (en
88: secondes). Cela permet de réduire la charge sur le serveur, mais les clients
89: risquent d'utiliser des données périmées dans certains cas.
90: .TP
91: .B --neg-ttl=<durée>
92: Les réponses négatives provenant des serveurs amonts contiennent normalement
93: une information de durée de vie (time-to-live) dans les enregistrements SOA,
94: information dont dnsmasq se sert pour mettre la réponse en cache. Si la réponse
95: du serveur amont omet cette information, dnsmasq ne cache pas la réponse. Cette
96: option permet de donner une valeur de durée de vie par défaut (en secondes) que
97: dnsmasq utilise pour mettre les réponses négatives dans son cache, même en
98: l'absence d'enregistrement SOA.
99: .TP
100: .B --max-ttl=<durée>
101: Définie la valeur de TTL maximum qui sera fournie aux clients. La valeur maximum
102: de TTL spécifiée sera fournie aux clients en remplacement de la vraie valeur de
103: TTL si cette dernière est supérieure. La valeur réelle de TTL est cependant
104: conservée dans le cache afin d'éviter de saturer les serveurs DNS en amont.
105: .TP
106: .B --max-cache-ttl=<durée>
107: Définie la valeur de TTL maximum pour les entrées dans le cache
108: .TP
109: .B --auth-ttl=<durée>
110: Définie la valeur de TTL retournée pour les réponses du serveur faisant
111: autorité.
112: .TP
113: .B \-k, --keep-in-foreground
114: Ne pas aller en tâche de fond au lancement, mais en dehors de cela, fonctionner
115: normalement. Ce mode est prévu pour les cas où Dnsmasq est lancé par daemontools
116: ou launchd.
117: .TP
118: .B \-d, --no-daemon
119: Mode debug (déverminage) : ne pas aller en tâche de fond, ne pas écrire de
120: fichier pid, ne pas changer d'identifiant utilisateur, générer un état complet
121: du cache lors de la réception d'un signal SIGUSR1, envoyer les logs sur la
122: sortie standard d'erreur ("stderr") de même que dans le syslog, ne pas créer de
123: processus fils pour traiter les requêtes TCP. A noter que cette option est à
124: user pour du déverminage seulement : pour empêcher dnsmasq se fonctionner en
125: mode démon en production, utiliser
126: .B -k.
127: .TP
128: .B \-q, --log-queries
129: Enregistrer les résultats des requêtes DNS traitées par Dnsmasq dans un fichier
130: de traces ("logs"). Active la génération d'un état complet du cache lors de la
131: réception d'un signal SIGUSR1.
132: .TP
133: .B \-8, --log-facility=<facility>
134: Définit la "facility" dans laquelle Dnsmasq enverra ses entrées syslog, par
135: défaut DAEMON ou LOCAL0 si le mode debug est activé. Si la "facility" contient
136: au moins un caractère "/", alors Dnsmasq considère qu'il s'agit d'un fichier et
137: enverra les logs dans le fichier correspondant à la place du syslog. Si la
138: "facility" est '-', alors dnsmasq envoie les logs sur la sortie d'erreur
139: standard stderr. (Les erreurs lors de la lecture de la configuration vont
140: toujours vers le syslog, mais tous les messages postérieurs à un démarrage
141: réussi seront exclusivement envoyés vers le fichier de logs).
142: Lorsque Dnsmasq est configuré pour envoyer
143: ses traces vers un fichier, la réception d'un signal SIGUSR2 entraine la
144: fermeture et réouverture du fichier. Cela permet la rotation de fichiers de
145: traces sans nécessiter l'arrêt de Dnsmasq.
146: .TP
147: .B --log-async[=<lignes>]
148: Permet l'envoi de traces de manière asynchrone, et de manière optionnelle, le
149: nombre de lignes devant être mises dans la file d'attente par Dnsmasq lorsque
150: l'écriture vers le syslog est lente.
151: Dnsmasq peut envoyer ses logs de manière asynchrone : cela lui permet de
152: continuer à fonctionner sans être bloqué par le syslog, et permet à syslog
153: d'utiliser Dnsmasq pour les résolutions DNS sans risque d'interblocage.
154: Si la file d'attente devient pleine, Dnsmasq loggera le dépassement de file et
155: le nombre de messages perdus. La longueur par défaut de la file d'attente est de
156: 5 et une valeur saine sera comprise entre 5 et 25, avec une limite maximum
157: imposée de 100.
158: .TP
159: .B \-x, --pid-file=<chemin>
160: Spécifie un fichier dans lequel stocker le numéro de processus (pid). La valeur
161: par défaut est /var/run/dnsmasq.pid.
162: .TP
163: .B \-u, --user=<nom d'utilisateur>
164: Spécifie l'identité (nom d'utilisateur) prise par Dnsmasq après le démarrage.
165: Dnsmasq doit normalement être démarré en temps que root ("super-utilisateur"),
166: mais abandonne ses privilèges après le démarrage en changeant d'identité.
167: Normalement cet utilisateur est l'utilisateur nobody ("personne"), mais il est
168: possible d'en définir un autre par le biais de ce paramètre.
169: .TP
170: .B \-g, --group=<nom de groupe>
171: Spécifie le groupe sous lequel Dnsmasq s'exécute. Par défaut, il s'agit du
172: groupe "dip", afin de faciliter l'accès au fichier /etc/ppp/resolv.conf qui
173: n'est en général pas en lecture par tout le monde.
174: .TP
175: .B \-v, --version
176: Imprime le numéro de version.
177: .TP
178: .B \-p, --port=<port>
179: Ecoute sur le port numéro <port> au lieu du port DNS standard (53). Paramétrer
180: cette valeur à zéro désactive complètement la fonction DNS pour ne laisser actif
181: que le DHCP ou le TFTP.
182: .TP
183: .B \-P, --edns-packet-max=<taille>
184: Spécifie la taille maximum de paquet UDP EDNS.0 supporté par le relai DNS. Le
185: défaut est de 4096, qui est la valeur recommandée dans la RFC5625.
186: .TP
187: .B \-Q, --query-port=<numéro de port>
188: Envoie et écoute les requêtes DNS sortantes depuis le port UDP spécifié par
189: <numéro de port>, et non sur un port aléatoire. NOTE : Cette option rends
190: dnsmasq moins sûr contre les attaques par usurpation DNS ("DNS spoofing"), mais
191: cela peut permettre d'utiliser moins de ressources et d'être plus rapide. Donner
192: une valeur de zéro à cette option restaure le comportement par défaut présent dans
193: les versions de dnsmasq inférieures à 2.43 qui consiste à n'allouer qu'un seul port
194: alloué par le système d'exploitation.
195: .TP
196: .B --min-port=<port>
197: Ne pas utiliser de port dont le numéro est inférieur à la valeur donnée en paramètre
198: pour les requêtes DNS sortantes. Dnsmasq choisis un port source aléatoire pour les
199: requêtes sortantes : lorsque cette option est fournie, les ports utilisés seront toujours
200: au dessus de la valeur spécifiée. Utile pour des systèmes derrière des dispositifs
201: garde-barrières ("firewalls").
202: .TP
203: .B \-i, --interface=<nom d'interface>
204: N'écouter que sur l'interface réseau spécifiée. Dnsmasq ajoute automatiquement
205: l'interface locale ("loopback") à la liste des interfaces lorsque l'option
206: .B --interface
207: est utilisée.
208: Si aucune option
209: .B --interface
210: ou
211: .B --listen-address
212: n'est donnée, Dnsmasq écoutera sur toutes les interfaces disponibles sauf
213: celle(s) spécifiée(s) par l'option
214: .B --except-interface.
215: Les alias d'interfaces IP (par exemple "eth1:0") ne peuvent être utilisés ni avec
216: .B --interface
217: ni
218: .B \--except-interface.
219: Utiliser l'option
220: .B --listen-address
221: à la place. Un simple joker, consistant en un '*' final, peut être utilisé dans
222: les options
223: .B \--interface
224: et
225: .B \--except-interface
226: .TP
227: .B \-I, --except-interface=<interface name>
228: Ne pas écouter sur l'interface spécifiée. Notez que l'ordre dans lesquelles les
229: options
230: .B \--listen-address
231: ,
232: .B --interface
233: et
234: .B --except-interface
235: sont fournies n'importe pas, et que l'option
236: .B --except-interface
237: l'emporte toujours sur les autres.
238: .TP
239: .B --auth-server=<domaine>,<interface>|<adresse IP>
240: Active le mode DNS faisant autorité pour les requêtes arrivant sur cette
241: interface ou sur cette adresse. Noter que l'interface ou l'adresse n'ont
242: pas besoin d'être mentionnées ni dans
243: .B --interface
244: ni dans
245: .B --listen-address
246: En effet,
247: .B --auth-server
248: va passer outre ceux-ci et fournir un service DNS différent sur l'interface
249: spécifiée. La valeur de <domaine> est l'enregistrement de type "colle"
250: ("glue record"). Il doit correspondre dans le service DNS global avec un
251: enregistrement de type A et/ou AAAA pointant sur l'adresse sur laquelle dnsmasq
252: écoute pour le mode DNS faisant autorité.
253: .TP
254: .B \-2, --no-dhcp-interface=<nom d'interface>
255: Ne pas fournir de service DHCP sur l'interface spécifiée, mais fournir tout de
256: même le service DNS.
257: .TP
258: .B \-a, --listen-address=<adresse IP>
259: Ecouter sur la ou les adresse(s) IP spécifiée(s). Les options
260: .B \--interface
261: et
262: .B \--listen-address
263: peuvent être spécifiées simultanément, auquel cas un jeu d'interfaces et
264: d'adresses seront utilisées. Notez que si
265: aucune option
266: .B \--interface
267: n'est donnée alors qu'une option
268: .B \--listen-address
269: l'est, Dnsmasq n'écoutera pas automatiquement sur l'interface locale
270: ("loopback"). Pour activer l'écoute sur l'interface locale, il est alors
271: nécessaire de fournir explicitement son adresse IP, 127.0.0.1 via l'option
272: .B \--listen-address.
273: .TP
274: .B \-z, --bind-interfaces
275: Sur les systèmes qui le supportent, Dnsmasq s'associe avec l'interface joker
276: ("wildcard"), même lorsqu'il ne doit écouter que sur certaines interfaces. Par
277: la suite, il rejette les requêtes auxquelles il ne doit pas répondre. Cette
278: situation présente l'avantage de fonctionner même lorsque les interfaces vont
279: et viennent ou changent d'adresses. L'option
280: .B --bind-interfaces
281: force Dnsmasq à ne réellement s'associer qu'avec les interfaces sur lesquelles
282: il doit écouter. L'un des seuls cas où cette option est utile est celui où un
283: autre serveur de nom (ou une autre instance de Dnsmasq) tourne sur la même
284: machine. Utiliser cette option permet également d'avoir plusieurs instances de
285: Dnsmasq fournissant un service DHCP sur la même machine.
286: .TP
287: .B --bind-dynamic
288: Autorise un mode réseau intermédiaire entre
289: .B --bind-interfaces
290: et le mode par défaut. Dnsmasq s'associe à une seule interface, ce qui permet
291: plusieurs instances de dnsmasq, mais si une interface ou adresse apparaissent,
292: il se mettra automatiquement à écouter sur celles-ci (les règles de contrôle
293: d'accès s'appliquent).
294: De fait, les interfaces créées dynamiquement fonctionnent de la même façon que
295: dans le comportement par défaut. Ce fonctionnement nécessite des APIs réseau
296: non standard et n'est disponible que sous Linux. Sur les autres plateformes,
297: le fonctionnement est celui du mode --bind-interfaces.
298: .TP
299: .B \-y, --localise-queries
300: Retourne des réponses aux requêtes DNS dépendantes de l'interface sur laquelle
301: la requête a été reçue, à partir du fichier /etc/hosts. Si un nom dans
302: /etc/hosts a plus d'une adresse associée avec lui, et qu'une des adresses au
303: moins est dans le même sous-réseau que l'interface sur laquelle la requête a été
304: reçue, alors ne retourne que la(les) adresse(s) du sous-réseau considéré. Cela
305: permet d'avoir dans /etc/hosts un serveur avec de multiples adresses, une pour
306: chacune de ses interfaces, et de fournir aux hôtes l'adresse correcte (basée sur
307: le réseau auquel ils sont attachés). Cette possibilité est actuellement limitée
308: à IPv4.
309: .TP
310: .B \-b, --bogus-priv
311: Fausse résolution inverse pour les réseaux privés. Toutes les requêtes DNS
312: inverses pour des adresses IP privées (192.168.x.x, etc...) qui ne sont pas
313: trouvées dans /etc/hosts ou dans le fichier de baux DHCP se voient retournées
314: une réponse "pas de tel domaine" ("no such domain") au lieu d'être transmises
315: aux serveurs de nom amont ("upstream server").
316: .TP
317: .B \-V, --alias=[<ancienne IP>]|[<IP de début>-<IP de fin>],<nouvelle IP>[,<masque>]
318: Modifie les adresses IPv4 retournées par les serveurs de nom amont;
319: <ancienne IP> est remplacée par <nouvelle IP>. Si le <masque> optionnel est
320: fourni, alors toute adresse correspondant à l'adresse <ancienne IP>/<masque>
321: sera réécrite. Ainsi par exemple
322: .B --alias=1.2.3.0,6.7.8.0,255.255.255.0
323: modifiera 1.2.3.56 en 6.7.8.56 et 1.2.3.67 en 6.7.8.67.
324: Cette fonctionnalité correspond à ce que les routeurs Cisco PIX appellent
325: "bidouillage DNS" ("DNS doctoring"). Si l'ancienne IP est donnée sous la forme
326: d'une gamme d'adresses, alors seules les adresses dans cette gamme seront
327: réécrites, et non le sous-réseau dans son ensemble. Ainsi,
328: .B --alias=192.168.0.10-192.168.0.40,10.0.0.0,255.255.255.0
329: fait correspondre 192.168.0.10->192.168.0.40 à 10.0.0.10->10.0.0.40
330: .TP
331: .B \-B, --bogus-nxdomain=<adresse IP>
332: Transforme les réponses contenant l'adresse IP fournie en réponses "pas de tel
333: domaine" ("no such domain"). Ceci a pour but de neutraliser la modification
334: sournoise mise en place par Verisign en septembre 2003, lorsqu'ils ont commencé
335: à retourner l'adresse d'un serveur web publicitaire en réponse aux requêtes pour
336: les noms de domaines non enregistrés, au lieu de la réponse correcte "NXDOMAIN".
337: Cette option demande à Dnsmasq de retourner la réponse correcte lorsqu'il
338: constate ce comportement. L'adresse retournée par Verisign en septembre 2003
339: est 64.94.110.11.
340: .TP
341: .B \-f, --filterwin2k
342: Les dernières versions de windows font des requêtes DNS périodiques auxquelles
343: non seulement les serveurs DNS publics ne peuvent donner de réponse, mais qui,
344: de surcroît, peuvent poser des problèmes en déclenchant des connexions
345: intempestives pour des liens réseaux avec des connexions "à la demande". Fournir
346: cette option active le filtrage des requêtes de ce type. Les requêtes bloquées
347: sont les requêtes pour les entrées de type SOA ou SRV, ainsi que les requêtes de
348: type ANY avec des noms possédant des caractères sous-lignés (requêtes pour des
349: serveurs LDAP).
350: .TP
351: .B \-r, --resolv-file=<fichier>
352: Lis les adresses des serveurs de nom amont dans le fichier de nom <fichier>,
353: au lieu du fichier /etc/resolv.conf. Pour le format de ce fichier, voir dans le
354: manuel pour
355: .BR resolv.conf (5)
356: les entrées correspondant aux serveurs de noms (nameserver). Dnsmasq peut lire
357: plusieurs fichiers de type resolv.conf, le premier fichier spécifié remplace le
358: fichier par défaut, le contenu des suivants est rajouté dans la liste des
359: fichiers à consulter. Seul le fichier ayant la dernière date de modification
360: sera chargé en mémoire.
361: .TP
362: .B \-R, --no-resolv
363: Ne pas lire le contenu du fichier /etc/resolv.conf. N'obtenir l'adresse des
364: serveurs de nom amont que depuis la ligne de commande ou le fichier de
365: configuration de Dnsmasq.
366: .TP
367: .B \-1, --enable-dbus[=<nom de service>]
368: Autoriser la mise à jour de la configuration de Dnsmasq par le biais d'appel de
369: méthodes DBus. Il est possible par ce biais de mettre à jour l'adresse de
370: serveurs DNS amont (et les domaines correspondants) et de vider le cache. Cette
371: option nécessite que Dnsmasq soit compilé avec le support DBus. Si un nom de
372: service est fourni, dnsmasq fourni un service à ce nom, plutôt qu'avec la
373: valeur par défaut :
374: .B uk.org.thekelleys.dnsmasq
375: .TP
376: .B \-o, --strict-order
377: Par défaut, Dnsmasq envoie les requêtes à n'importe lequel des serveurs amonts
378: dont il a connaissance tout en essayant de favoriser les serveurs qu'il sait
379: fonctionner. Cette option force Dnsmasq à essayer d'interroger, pour chaque
380: requête, les serveurs DNS dans leur ordre d'apparition dans le fichier
381: /etc/resolv.conf.
382: .TP
383: .B --all-servers
384: Par défaut, lorsque dnsmasq a plus d'un serveur amont disponible, il n'envoie
385: les requêtes qu'à un seul serveur. Spécifier cette option force dnsmasq à
386: effectuer ses requêtes à tous les serveurs disponibles. Le résultat renvoyé
387: au client sera celui fournit par le premier serveur ayant répondu.
388: .TP
389: .B --stop-dns-rebind
390: Rejette (et enregistre dans le journal d'activité) les adresses dans la gamme
391: d'adresses IP privée (au sens RFC1918) qui pourraient être renvoyées par les
392: serveurs amonts suite à une résolution de nom. Cela bloque les attaques cherchant
393: à détourner de leur usage les logiciels de navigation web ('browser') en s'en
394: servant pour découvrir les machines situées sur le réseau local.
395: .TP
396: .B --rebind-localhost-ok
397: Exclue 127.0.0/8 des vérifications de réassociation DNS. Cette gamme d'adresses
398: est retournée par les serveurs Realtime Blackhole (RBL, utilisés dans la
399: lutte contre le spam), la bloquer peut entraîner des dysfonctionnements de ces
400: services.
401: .TP
402: .B --rebind-domain-ok=[<domaine>]|[[/<domaine>/[<domaine>/]
403: Ne pas détecter ni bloquer les actions de type dns-rebind pour ces domaines.
404: Cette option peut prendre comme valeur soit un nom de domaine soit plusieurs
405: noms de domaine entourés par des '/', selon une syntaxe similaire à l'option
406: --server, c-à-d :
407: .B --rebind-domain-ok=/domaine1/domaine2/domaine3/
408: .TP
409: .B \-n, --no-poll
410: Ne pas vérifier régulièrement si le fichier /etc/resolv.conf a été modifié.
411: .TP
412: .B --clear-on-reload
413: Lorsque le fichier /etc/resolv.conf est relu, ou si les serveurs amonts sont
414: configurés via DBus, vider le cache DNS.
415: Cela est utile si les nouveaux serveurs sont susceptibles d'avoir des données
416: différentes de celles stockées dans le cache.
417: .TP
418: .B \-D, --domain-needed
419: Indique à Dnsmasq de ne jamais transmettre en amont de requêtes A ou AAAA pour
420: des noms simples, c'est à dire ne comprenant ni points ni nom de domaine. Si un
421: nom n'est pas dans /etc/hosts ou dans la liste des baux DHCP, alors une réponse
422: de type "non trouvé" est renvoyée.
423: .TP
424: .B \-S, --local, --server=[/[<domaine>]/[domaine/]][<Adresse IP>[#<port>][@<Adresse IP source>|<interface>[#<port>]]]
425: Spécifie directement l'adresse IP d'un serveur de nom amont. Cette option ne
426: supprime pas la lecture du fichier /etc/resolv.conf : utiliser pour cela
427: l'option
428: .B -R .
429: Si un ou plusieurs nom(s) de domaine(s) optionnel(s) sont fournis, ce
430: serveur sera uniquement utilisé uniquement pour ce(s) domaine(s), et toute
431: requête concernant ce(s) domaine(s) sera adressée uniquement à ce serveur.
432: Cette option est destinée aux serveurs de nom privés : si vous avez un serveur
433: de nom sur votre réseau ayant pour adresse IP 192.168.1.1 et effectuant la
434: résolution des noms de la forme xxx.internal.thekelleys.org.uk, alors
435: .B -S /internal.thekelleys.org.uk/192.168.1.1
436: enverra toutes les requêtes pour les machines internes vers ce serveur de nom,
437: alors que toutes les autres requêtes seront adressées aux serveurs indiqués dans
438: le fichier /etc/resolv.conf. Une spécification de nom de domaine vide,
439: .B //
440: possède le sens particulier de "pour les noms non qualifiés uniquement",
441: c'est-à-dire les noms ne possédant pas de points. Un port non standard peut être
442: rajouté à la suite des adresses IP en utilisant le caractère #. Plus d'une
443: option
444: .B -S
445: est autorisée, en répétant les domaines et adresses IP comme requis.
446:
447: Le domaine le plus spécifique l'emporte sur le domaine le moins spécifique,
448: ainsi :
449: .B --server=/google.com/1.2.3.4
450: .B --server=/www.google.com/2.3.4.5
451: enverra les requêtes pour *.google.com à 1.2.3.4, à l'exception des requêtes
452: *www.google.com, qui seront envoyées à 2.3.4.5.
453:
454: L'adresse spéciale '#' signifie "utiliser les serveurs standards", ainsi
455: .B --server=/google.com/1.2.3.4
456: .B --server=/www.google.com/#
457: enverra les requêtes pour *.google.com à 1.2.3.4, à l'exception des requêtes
458: pour *www.google.com qui seront envoyées comme d'habitude (c-à-d aux serveurs
459: définis par défaut).
460:
461: Il est également permis de donner une option
462: .B -S
463: avec un nom de domaine mais sans
464: adresse IP; Cela informe Dnsmasq que le domaine est local et qu'il doit répondre
465: aux requêtes le concernant depuis les entrées contenues dans le fichier
466: /etc/hosts ou les baux DHCP, et ne doit en aucun cas transmettre les requêtes
467: aux serveurs amonts.
468: .B local
469: est synonyme de
470: .B server
471: ("serveur") afin de rendre plus claire l'utilisation de cette option pour cet
472: usage particulier.
473:
474: Les adresses IPv6 peuvent inclure un identifiant de zone sous la forme
475: %interface tel que par exemple
476: fe80::202:a412:4512:7bbf%eth0.
477:
478: La chaîne de caractères optionnelle suivant le caractère @ permet de définir
479: la source que Dnsmasq doit utiliser pour les réponses à ce
480: serveur de nom. Il doit s'agir d'une des adresses IP appartenant à la machine sur
481: laquelle tourne Dnsmasq ou sinon la ligne sera ignorée et une erreur sera
482: consignée dans le journal des événements, ou alors d'un nom d'interface. Si un nom
483: d'interface est donné, alors les requêtes vers le serveur de nom seront envoyées
484: depuis cette interface; si une adresse IP est donnée, alors l'adresse source de
485: la requête sera l'adresse en question. L'option query-port est ignorée pour tous
486: les serveurs ayant une adresse source spécifiée, mais il est possible de la donner
487: directement dans la spécification de l'adresse source. Forcer les requêtes à être
488: émises depuis une interface spécifique n'est pas possible sur toutes les plateformes
489: supportées par dnsmasq.
490: .TP
491: .B \-A, --address=/<domaine>/[domaine/]<adresse IP>
492: Spécifie une adresse IP à retourner pour toute requête pour les domaines fournis
493: en option. Les requêtes pour ce(s) domaine(s) ne sont jamais transmises aux
494: serveurs amonts et reçoivent comme réponse l'adresse IP spécifiée qui peut être
495: une adresse IPv4 ou IPv6. Pour donner à la fois une adresse IPv4 et une adresse
496: IPv6 pour un domaine, utiliser plusieurs options
497: .B -A.
498: Il faut noter que le
499: contenu du fichier /etc/hosts et de celui des baux DHCP supplante ceci pour des
500: noms individuels. Une utilisation courante de cette option est de rediriger la
501: totalité du domaine doubleclick.net vers un serveur web local afin d'éviter les
502: bannières publicitaires. La spécification de domaine fonctionne de la même façon
503: que
504: .B --server,
505: avec la caractéristique supplémentaire que
506: .B /#/
507: coïncide avec tout domaine. Ainsi,
508: .B --address=/#/1.2.3.4
509: retournera 1.2.3.4 pour toute requête
510: n'ayant de réponse ni dans /etc/hosts, ni dans les baux DHCP, et n'étant pas
511: transmise à un serveur spécifique par le biais d'une directive
512: .B --server.
513: .TP
514: .B --ipset=/<domaine>/[domaine/]<ipset>[,<ipset>]
515: Obtient les adresses IP des domaines spécifiés et les place dans les groupes
516: d'IP netfilter (ipset) indiqués. Domaines et sous-domaines sont résolus de la
517: même façon que pour --address. Ces groupes d'IP doivent déjà exister. Voir
518: ipset(8) pour plus de détails.
519: .TP
520: .B \-m, --mx-host=<nom de l'hôte>[[,<nom du MX>],<préférence>]
521: Spécifie un enregistrement de type MX pour <nom de l'hôte> retournant le nom
522: donné dans <nom du MX> (s'il est présent), ou sinon le nom spécifié dans
523: l'option
524: .B --mx-target
525: si elle est présente. Sinon retourne le nom de la machine
526: sur laquelle Dnsmasq tourne. La valeur par défaut (spécifiée dans l'option
527: .B --mx-target
528: ) est utile dans un réseau local pour rediriger les courriers
529: électroniques vers un serveur central. La valeur de préférence est optionnelle
530: et vaut par défaut 1 si elle n'est pas spécifiée. Plus d'une entrée MX peut être
531: fournie pour un hôte donné.
532: .TP
533: .B \-t, --mx-target=<nom d'hôte>
534: Spécifie la réponse par défaut fournie par Dnsmasq pour les requêtes sur des
535: enregistrements de type MX. Voir
536: .B --mx-host.
537: Si
538: .B --mx-target
539: est donné mais pas de
540: .B --mx-host,
541: alors Dnsmasq retourne comme réponse un enregistrement MX
542: contenant le nom d'hôte spécifié dans l'option
543: .B --mx-target
544: pour toute requête
545: concernant le MX de la machine sur laquelle tourne Dnsmasq.
546: .TP
547: .B \-e, --selfmx
548: Définit, pour toutes les machines locales, un MX correspondant à l'hôte
549: considéré. Les machines locales sont celles définies dans le fichier /etc/hosts
550: ou dans un bail DHCP.
551: .TP
552: .B \-L, --localmx
553: Définit, pour toutes les machines locales, un enregistrement MX pointant sur
554: l'hôte spécifié par mx-target (ou la machine sur laquelle Dnsmasq tourne). Les
555: machines locales sont celles définies dans le fichier /etc/hosts ou dans un bail
556: DHCP.
557: .TP
558: .B \-W --srv-host=<_service>.<_protocole>.[<domaine>],[<cible>[,<port>[,<priorité>[,<poids>]]]]
559: Spécifie un enregistrement DNS de type SRV. Voir la RFC2782 pour plus de
560: détails. Si le champs <domaine> n'est pas fourni, prends par défaut la valeur
561: fournie dans l'option
562: .B --domain.
563: La valeur par défaut pour le domaine est vide et le port par défaut est 1, alors
564: que les poids et priorités par défaut sont 0. Attention lorsque vous transposez
565: des valeurs issues d'une configuration BIND : les ports, poids et priorités sont
566: dans un ordre différents. Pour un service/domaine donné, plus d'un
567: enregistrement SRV est autorisé et tous les enregistrements qui coïncident sont
568: retournés dans la réponse.
569: .TP
570: .B --host-record=<nom>[,<nom>....][<adresse IPv4>],[<adresse IPv6>]
571: Ajoute des enregistrements A, AAAA et PTR dans le DNS. Ceci permet d'ajouter
572: un ou plusieurs noms dans le DNS et de les associer à des enregistrements IPv4
573: (A) ou IPv6 (AAAA). Un nom peut apparaître dans plus d'une entrée
574: .B host-record
575: et de fait être associé à plus d'une adresse. Seule la première entrée créée
576: l'enregistrement PTR associée au nom. Ceci correspond à la même règle que celle
577: utilisée lors de la lecture du fichier hosts.
578: Les options
579: .B host-record
580: sont considérées lues avant le fichier hosts, ainsi un nom apparaissant dans
581: une option host-record et dans le fichier hosts n'aura pas d'enregistrement
582: PTR associé à l'entrée dans le fichier hosts. A l'inverse du fichier hosts, les
583: noms ne sont pas étendus, même lorsque l'option
584: .B expand-hosts
585: est activée. Les noms longs et les noms courts peuvent apparaitre dans la même
586: entrée
587: .B host-record,
588: c-à-d
589: .B --host-record=laptop,laptop.thekelleys.org,192.168.0.1,1234::100
590: .TP
591: .B \-Y, --txt-record=<nom>[[,<texte>],<texte>]
592: Définit un enregistrement DNS de type TXT. La valeur de l'enregistrement TXT est
593: un ensemble de chaînes de caractères, donc un nombre variable de chaînes de
594: caractères peuvent être spécifiées, séparées par des virgules. Utilisez des
595: guillemets pour mettre une virgule dans une chaîne de caractères. Notez que la
596: longueur maximale pour une chaîne est de 255 caractères, les chaînes plus
597: longues étant découpées en morceaux de 255 caractères de longs.
598: .TP
599: .B --ptr-record=<nom>[,<cible>]
600: Définit un enregistrement DNS de type PTR.
601: .TP
602: .B --naptr-record=<nom>,<ordre>,<préférence>,<drapeaux>,<service>,<expr. régulière>[,<remplacement>]
603: Retourne un enregistrement de type NAPTR, tel que spécifié dans le RFC3403.
604: .TP
605: .B --cname=<cname>,<cible>
606: Retourne un enregistrement de type CNAME qui indique que <cname> est en
607: réalité <cible>. Il existe des contraintes importantes sur la valeur
608: cible; il doit s'agir d'un nom DNS qui est connu de dnsmasq via /etc/hosts
609: (ou un fichier hôtes additionnel), via DHCP, via interface--name ou par un autre
610: .B --cname.
611: Si une cible ne satisfait pas ces critères, le CNAME est ignoré. Le CNAME
612: doit être unique, mais il est autorisé d'avoir plus d'un CNAME pointant
613: vers la même cible.
614: .TP
615: .B --dns-rr=<nom>,<numéro-RR>,[<données hexadécimales>]
616: Retourne un enregistrement DNS arbitraire. Le numéro correspond au type
617: d'enregistrement (qui est toujours de la classe C_IN). La valeur de
618: l'enregistrement est donnée dans les données hexadécimales, qui peuvent
619: être de la forme 01:23:45, 01 23 45,+012345 ou n'importe quelle combinaison.
620: .TP
621: .B --interface-name=<nom>,<interface>
622: Définit un enregistrement DNS associant le nom avec l'adresse primaire sur
623: l'interface donnée en argument. Cette option spécifie un enregistrement de type
624: A pour le nom donné en argument de la même façon que s'il était défini par une
625: ligne de /etc/hosts, sauf que l'adresse n'est pas constante mais dépendante de
626: l'interface définie. Si l'interface est inactive, non existante ou non
627: configurée, une réponse vide est fournie. Un enregistrement inverse (PTR) est
628: également créé par cette option, associant l'adresse de l'interface avec le nom.
629: Plus d'un nom peut être associé à une interface donnée en répétant cette option
630: plusieurs fois; dans ce cas, l'enregistrement inverse pointe vers le nom fourni
631: dans la première instance de cette option.
632: .TP
633: .B --synth-domain=<domaine>,<plage d'adresses>[,<préfixe>]
634: Créé des enregistrements A/AAAA ou PTR pour une plage d'adresses. Les
635: enregistrements utilisent l'adresse ainsi que les points (ou les deux points
636: dans le cas d'IPv6) remplacés par des tirets.
637:
638: Un exemple devrait rendre cela plus clair :
639: La configuration
640: .B --synth-domain=thekelleys.org.uk,192.168.0.0/24,internal-
641: permet de retourner internal-192-168-0-56.thekelleys.org.uk lors d'une requête
642: sur l'adresse 192.168.0.56 et vice-versa pour la requête inverse. La même
643: logique s'applique pour IPv6, avec la particularité suivante : les adresses
644: IPv6 pouvant commencer par '::', mais les noms DNS ne pouvant pas commencer
645: par '-', si aucun préfixe n'est donné, un zéro est ajouté en début de nom.
646: Ainsi, ::1 devient 0--1.
647:
648: La plage d'adresses peut être de la forme
649: <adresse IP>,<adresse IP> ou <adresse IP>/<masque réseau>
650: .TP
651: .B --add-mac
652: Ajoute l'adresse MAC du requêteur aux requêtes DNS transmises aux serveurs
653: amonts. Cela peut être utilisé dans un but de filtrage DNS par les serveurs
654: amonts. L'adresse MAC peut uniquement être ajoutée si le requêteur est sur le
655: même sous-réseau que le serveur dnsmasq. Veuillez noter que le mécanisme
656: utilisé pour effectuer cela (une option EDNS0) n'est pas encore standardisée,
657: aussi cette fonctionnalité doit être considérée comme expérimentale. Notez
658: également qu'exposer les adresses MAC de la sorte peut avoir des implications
659: en termes de sécurité et de vie privée. L'avertissement donné pour --add-subnet
660: s'applique également ici.
661: .TP
662: .B --add-subnet[[=<longueur de préfixe IPv4>],<longueur de préfixe IPv6>]
663: Rajoute l'adresse de sous-réseau du requêteur aux requêtes DNS transmises
664: aux serveurs amonts. La quantité d'adresses transmises dépend du paramètre
665: longueur du préfixe : 32 (ou 128 dans le cas d'IPv6) transmet la totalité
666: de l'adresse, 0 n'en transmet aucun mais marque néanmoins la requête ce qui
667: fait qu'aucun serveur amont ne rajoutera d'adresse client. La valeur par
668: défaut est zéro et pour IPv4 et pour IPv6. A noter que les serveurs amonts
669: peuvent être configurés pour retourner des valeurs différentes en fonction
670: de cette information mais que le cache de dnsmasq n'en tient pas compte.
671: Si une instance de dnsmasq est configurée de telle manière que des valeurs
672: différentes pourraient être rencontrées, alors le cache devrait être désactivé.
673: .TP
674: .B \-c, --cache-size=<taille>
675: Définit la taille du cache de Dnsmasq. La valeur par défaut est de 150 noms.
676: Définir une valeur de zéro désactive le cache. Remarque: la taille importante
677: du cache a un impact sur les performances.
678: .TP
679: .B \-N, --no-negcache
680: Désactive le "cache négatif". Le "cache négatif" permet à Dnsmasq de se souvenir
681: des réponses de type "no such domain" fournies par les serveurs DNS en amont et
682: de fournir les réponses sans avoir à retransmettre les requêtes aux serveurs
683: amont.
684: .TP
685: .B \-0, --dns-forward-max=<nombre de requêtes>
686: Définit le nombre maximum de requêtes DNS simultanées. La valeur par défaut est
687: 150, ce qui devrait être suffisant dans la majorité des configurations. La seule
688: situation identifiée dans laquelle cette valeur nécessite d'être augmentée est
689: lorsqu'un serveur web a la résolution de nom activée pour l'enregistrement de
690: son journal des requêtes, ce qui peut générer un nombre important de requêtes
691: simultanées.
692: .TP
693: .B --proxy-dnssec
694: Un résolveur sur une machine cliente peut effectuer la validation DNSSEC de
695: deux façons : il peut effectuer lui-même les opérations de chiffrements sur
696: la réponse reçue, ou il peut laisser le serveur récursif amont faire la
697: validation et positionner un drapeau dans la réponse au cas où celle-ci est
698: correcte. Dnsmasq n'est pas un validateur DNSSEC, aussi il ne peut effectuer
699: la validation comme un serveur de nom récursif, cependant il peut retransmettre
700: les résultats de validation de ses serveurs amonts. Cette option permet
701: l'activation de cette fonctionnalité. Vous ne devriez utiliser cela que si vous
702: faites confiance aux serveurs amonts
703: .I ainsi que le réseau entre vous et eux.
704: Si vous utilisez le premier mode DNSSEC, la validation par le résolveur des
705: clients, cette option n'est pas requise. Dnsmasq retourne toujours toutes les
706: données nécessaires par un client pour effectuer la validation lui-même.
707: .TP
708:
709: .B --auth-zone=<domaine>[,<sous-réseau>[/<longueur de préfixe>][,<sous-réseau>[/<longueur de préfixe>].....]]
710: Définie une zone DNS pour laquelle dnsmasq agit en temps que serveur faisant
711: autorité. Les enregistrements DNS définis localement et correspondant à ce
712: domaine seront fournis. Les enregistrements A et AAAA doivent se situer dans
713: l'un des sous-réseaux définis, ou dans un réseau correspondant à une plage DHCP
714: (ce comportement peut être désactivé par
715: .B constructor-noauth:
716: ). Le ou les sous-réseaux sont également utilisé(s) pour définir les domaines
717: in-addr.arpa et ip6.arpa servant à l'interrogation DNS inverse. Si la longueur
718: de préfixe n'est pas spécifiée, elle sera par défaut de 24 pour IPv4 et 64 pour
719: IPv6. Dans le cas d'IPv4, la longueur du masque de réseau devrait être de 8, 16
720: ou 24, sauf si en cas de mise en place d'une délégation de la zone in-addr.arpa
721: conforme au RFC 2317.
722: .TP
723: .B --auth-soa=<numéro de série>[,<mainteneur de zone (hostmaster)>[,<rafraichissement>[,<nombre de réessais>[,<expiration>]]]]
724: Spécifie les champs de l'enregistrement de type SOA (Start Of Authority)
725: associé à une zone pour laquelle le serveur fait autorité. A noter que cela est
726: optionnel, les valeurs par défaut devant convenir à la majorité des cas.
727: .TP
728: .B --auth-sec-servers=<domaine>[,<domaine>[,<domaine>...]]
729: Spécifie un ou plusieurs serveur de nom secondaires pour une zone pour
730: laquelle dnsmasq fait autorité. Ces serveurs doivent être configurés pour
731: récupérer auprès de dnsmasq les informations liées à la zone au travers d'un
732: transfert de zone, et répondre aux requêtes pour toutes les zones pour
733: lesquelles dnsmasq fait autorité.
734: .TP
735: .B --auth-peer=<adresse IP>[,<adresse IP>[,<adresse IP>...]]
736: Spécifie la ou les adresses de serveurs secondaires autorisés à initier des
737: requêtes de transfert de zone (AXFR) pour les zones pour lesquelles
738: dnsmasq fait autorité. Si cette option n'est pas fournie, les requêtes AXFR
739: seront acceptées pour tous les serveurs secondaires.
740: .TP
741: .B --conntrack
742: Lis le marquage de suivi de connexion Linux associé aux requêtes DNS entrantes
743: et positionne la même marque au trafic amont utilisé pour répondre à ces
744: requêtes. Cela permet au trafic généré par Dnsmasq d'être associé aux requêtes
745: l'ayant déclenché, ce qui est pratique pour la gestion de la bande passante
746: (accounting) et le filtrage (firewall). Dnsmasq doit pour cela être compilé
747: avec le support conntrack, le noyau doit également inclure conntrack et être
748: configuré pour cela. Cette option ne peut pas être combinée avec
749: --query-port.
750: .TP
751: .B \-F, --dhcp-range=[tag:<label>[,tag:<label>],][set:<label>],]<adresse de début>[,<adresse de fin>][,<mode>][,<masque de réseau>[,<broadcast>]][,<durée de bail>]
752: .TP
753: .B \-F, --dhcp-range=[tag:<label>[,tag:<label>],][set:<label>],]<adresse IPv6 de début>[,<adresse IPv6 de fin>|constructor:<interface>][,<mode>][,<longueur de préfixe>][,<durée de bail>]
754:
755: Active le serveur DHCP. Les adresses seront données dans la plage comprise entre
756: <adresse de début> et <adresse de fin> et à partir des adresses définies
757: statiquement dans l'option
758: .B dhcp-host.
759: Si une durée de bail est donnée, alors les baux seront donnés pour cette
760: durée. La durée de bail est donnée en secondes, en minutes (exemple : 45m),
761: en heures (exemple : 1h) ou être la chaine de caractère "infinite" pour une
762: durée indéterminée. Si aucune valeur n'est donnée, une durée de bail par défaut
763: de une heure est appliquée. La valeur minimum pour un bail DHCP est de 2
764: minutes.
765:
766: Pour les plages IPv6, la durée de bail peut être égale au mot-clef "deprecated"
767: (obsolète); Cela positionne la durée de vie préférée envoyée dans les baux DHCP
768: ou les annonces routeurs à zéro, ce qui incite les clients à utiliser d'autres
769: adresses autant que possible, pour toute nouvelle connexion, en préalable à
770: la renumérotation.
771:
772: Cette option peut être répétée, avec différentes adresses,
773: pour activer le service DHCP sur plus d'un réseau. Pour des réseaux directement
774: connectés (c'est-à-dire des réseaux dans lesquels la machine sur laquelle tourne
775: Dnsmasq possède une interface), le masque de réseau est optionnel : Dnsmasq la
776: déterminera à partir de la configuration des interfaces.
777:
778: Pour les réseaux pour lesquels le service DHCP se fait via un relais DHCP
779: ("relay agent"), Dnsmasq est incapable de déterminer le masque par lui-même,
780: aussi il doit être spécifié, faute de quoi Dnsmasq essaiera de le deviner en
781: fonction de la classe (A, B ou C) de l'adresse réseau. L'adresse de broadcast
782: est toujours optionnelle.
783:
784: Il est toujours possible d'avoir plus d'une plage DHCP pour un même
785: sous-réseau.
786:
787: Pour IPv6, les paramètres sont légèrement différents : au lieu d'un masque de
788: réseau et d'une adresse de broadcast, il existe une longueur de préfixe
789: optionnelle. Si elle est omise, la valeur par défaut est 64. À la différence
790: d'IPv4, la longueur de préfixe n'est pas automatiquement déduite de la
791: configuration de l'interface. La taille minimale pour la longueur de préfixe
792: est 64.
793:
794: Pour IPv6 (et IPv6 uniquement), il est possible de définir les plages d'une
795: autre façon. Dans ce cas, l'adresse de départ et l'adresse de fin optionnelle
796: contiennent uniquement la partie réseau (par exemple ::1) et sont suivies par
797: .B constructor:<interface>.
798: Cela forme un modèle décrivant comment construire la plage, à partir des
799: adresses assignées à l'interface. Par exemple
800:
801: .B --dhcp-range=::1,::400,constructor:eth0
802:
803: provoque la recherche d'adresses de la forme <réseau>::1 sur eth0 et crée une
804: plage allant de <réseau>::1 à <réseau>:400. Si une interface est assignée à
805: plus d'un réseau, les plages correspondantes seront automatiquement créées,
806: rendues obsolètes puis supprimées lorsque l'adresse est rendue obsolète puis
807: supprimée. Le nom de l'interface peut être spécifié avec un caractère joker '*'
808: final.
809:
810: provoque la recherche d'adresses sur eth0 et crée une plage allant de
811: <réseau>::1 à <réseau>:400. Si l'interface est assignée à
812: plus d'un réseau, les plages correspondantes seront respectivement
813: automatiquement créées, rendues obsolètes et supprimées lorsque l'adresse
814: est rendue obsolète et supprimée. Le nom de l'interface peut être spécifié avec
815: un caractère joker '*' final. Les adresses autoconfigurées, privées ou
816: obsolètes ne conviennent pas.
817:
818: Si une plage dhcp-range est uniquement utilisée pour du DHCP sans-état
819: ("stateless") ou de l'autoconfiguration sans état ("SLAAC"), alors l'adresse
820: peut être indiquée sous la forme '::'
821:
822: .B --dhcp-range=::,constructor:eth0
823:
824: Il existe une variante de la syntaxe constructor: qui consiste en l'utilisation
825: du mot-clef
826: .B constructor-noauth.
827: Voir
828: .B --auth-zone
829: pour des explications à ce sujet.
830:
831: L'identifiant de label optionnel
832: .B set:<label>
833: fournie une étiquette alphanumérique qui identifie ce réseau, afin de permettre
834: la fourniture d'options DHCP spécifiques à chaque réseau.
835: Lorsque préfixé par 'tag:', la signification change, et au lieu de définir un
836: label, il définit le label pour laquelle la règle s'applique. Un seul label peut-
837: être défini mais plusieurs labels peuvent coïncider.
838:
839: Le mot clef optionnel <mode> peut être égal à
840: .B static
841: ("statique") ce qui indique à Dnsmasq d'activer le service DHCP pour le réseau
842: spécifié, mais de ne pas activer l'allocation dynamique d'adresses IP : Seuls
843: les hôtes possédant des adresses IP statiques fournies via
844: .B dhcp-host
845: ou présentes dans le fichier /etc/ethers seront alors servis par le DHCP. Il est
846: possible d'activer un mode "fourre-tout" en définissant un réseau statique
847: comportant uniquement des zéros, c'est à dire :
848: .B --dhcp=range=::,static
849: Cela permet de retourner des réponses à tous les paquets de type
850: Information-request (requête d'information) en mode DHCPv6 sans état sur le
851: sous-réseau configuré.
852:
853: Pour IPv4, le <mode> peut est égal à
854: .B proxy
855: , auquel cas Dnsmasq fournira un service de DHCP proxy pour le sous-réseau
856: spécifié. (voir
857: .B pxe-prompt
858: et
859: .B pxe-service
860: pour plus de détails).
861:
862: Pour IPv6, le mode peut être une combinaison des valeurs
863: .B ra-only, slaac, ra-names, ra-stateless, off-link.
864:
865: .B ra-only
866: indique à dnsmasq de n'effectuer que des annonces de routeur (Router
867: Advertisement, RA) sur ce sous-réseau, et de ne pas faire de DHCP.
868:
869: .B slaac
870: indique à dnsmasq d'effectuer des annonces de routeur sur ce sous-réseau
871: et de positionner dans celles-ci le bit A, afin que les clients utilisent
872: des adresses SLAAC. Lorsqu'utilisé conjointement avec une plage DHCP ou des
873: affectations statiques d'adresses DHCP, les clients disposeront à la fois
874: d'adresses DHCP assignées et d'adresses SLAAC.
875:
876: .B ra-stateless
877: indique à dnsmasq d'effectuer des annonces de routeur avec les bits 0 et A
878: positionnés, et de fournir un service DHCP sans état ("stateless"). Les clients
879: utiliseront des adresses SLAAC, et utiliseront DHCP pour toutes les autres
880: informations de configuration.
881:
882: .B ra-names
883: active un mode qui fourni des noms DNS aux hôtes fonctionnant en double pile
884: ("dual stack") et configurés pour faire du SLAAC en IPv6. Dnsmasq utilise le
885: bail IPv4 de l'hôte afin de dériver le nom, le segment de réseau et l'adresse
886: MAC et assume que l'hôte disposera d'une adresse IPv6 calculée via l'algorithme
887: SLAAC, sur le même segment de réseau. Un ping est envoyé à l'adresse, et si une
888: réponse est obtenue, un enregistrement AAAA est rajouté dans le DNS pour cette
889: adresse IPv6. Veuillez-noter que cela n'arrive que pour les réseaux directement
890: connectés (et non ceux pour lesquels DHCP se fait via relai), et ne
891: fonctionnera pas si un hôte utilise les "extensions de vie privée"
892: ("privacy extensions").
893: .B ra-names
894: peut être combiné avec
895: .B ra-stateless
896: et
897: .B slaac.
898:
899: .B off-link
900: indique à dnsmasq d'annoncer le préfixe sans le bit L (sur lien).
901:
902: .TP
903: .B \-G, --dhcp-host=[<adresse matérielle>][,id:<identifiant client>|*][,set:<label>][,<adresse IP>][,<nom d'hôte>][,<durée de bail>][,ignore]
904: Spécifie les paramètres DHCP relatifs à un hôte. Cela permet à une machine
905: possédant une adresse matérielle spécifique de se voir toujours allouée les
906: mêmes nom d'hôte, adresse IP et durée de bail. Un nom d'hôte spécifié comme
907: ceci remplace le nom fourni par le client DHCP de la machine hôte. Il est
908: également possible d'omettre l'adresse matérielle et d'inclure le nom d'hôte,
909: auquel cas l'adresse IP et la durée de bail s'appliqueront à toute machine se
910: réclamant de ce nom. Par exemple
911: .B --dhcp-host=00:20:e0:3b:13:af,wap,infinite
912: spécifie à Dnsmasq de fournir à la machine d'adresse matérielle
913: 00:20:e0:3b:13:af le nom, et un bail de durée indéterminée.
914:
915: .B --dhcp-host=lap,192.168.0.199
916: spécifie à Dnsmasq d'allouer toujours à la machine portant le nom lap
917: l'adresse IP 192.168.0.199.
918:
919: Les adresses allouées de la sorte ne sont pas contraintes à une plage d'adresse
920: spécifiée par une option --dhcp-range, mais elles se trouver dans le même
921: sous-réseau qu'une plage dhcp-range valide. Pour les sous-réseaux qui n'ont pas
922: besoin d'adresses dynamiquement allouées, utiliser le mot-clef "static" dans la
923: déclaration de plage d'adresses dhcp-range.
924:
925: Il est possible d'utiliser des identifiants clients (appelés "DUID client" dans
926: le monde IPv6) plutôt que des adresses matérielles pour identifier les hôtes,
927: en préfixant ceux-ci par 'id:'. Ainsi,
928: .B --dhcp-host=id:01:02:03:04,.....
929: réfère à l'hôte d'identifiant 01:02:03:04. Il est également possible de
930: spécifier l'identifiant client sous la forme d'une chaîne de caractères, comme
931: ceci :
932: .B --dhcp-host=id:identifiantclientsousformedechaine,.....
933:
934: Un seul
935: .B dhcp-host
936: peut contenir une adresse IPv4, une adresse IPv6, ou les deux en même temps.
937: Les adresses IPv6 doivent être mises entre crochets comme suit :
938: .B --dhcp-host=laptop,[1234::56]
939: Les adresses IPv6 peuvent ne contenir que la partie identifiant de client :
940: .B --dhcp-host=laptop,[::56]
941: Dans ce cas, lorsque des plages dhcp sont définies automatiquement par le biais
942: de constructeurs, la partie réseau correspondante est rajoutée à l'adresse.
943:
944: A noter que pour le DHCP IPv6, l'adresse matérielle n'est pas toujours
945: disponible, bien que ce soit toujours le cas pour des clients directement
946: connectés (sur le même domaine de broadcast) ou pour des clients utilisant
947: des relais DHCP qui supportent la RFC 6939.
948:
949: En DHCPv4, l'option spéciale id:* signifie : "ignorer tout identifiant client et n'utiliser
950: que l'adresse matérielle". Cela est utile lorsqu'un client présente un
951: identifiant client mais pas les autres.
952:
953: Si un nom apparaît dans /etc/hosts, l'adresse associée peut être allouée à un
954: bail DHCP mais seulement si une option
955: .B --dhcp-host
956: spécifiant le nom existe par ailleurs. Seul un nom d'hôte peut être donné dans
957: une option
958: .B dhcp-host
959: , mais les alias sont possibles au travers de l'utilisation des CNAMEs. (Voir
960: .B --cname
961: ).
962: Le mot clef "ignore" ("ignorer") indique
963: à Dnsmasq de ne jamais fournir de bail DHCP à une machine. La machine peut être
964: spécifiée par son adresse matérielle, son identifiant client ou son nom d'hôte.
965: Par exemple
966: .B --dhcp-host=00:20:e0:3b:13:af,ignore
967: Cela est utile lorsqu'un autre serveur DHCP sur le réseau doit être utilisé par
968: certaines machines.
969:
970: Le paramètre set:<identifiant réseau> permet de définir un
971: identifiant de réseau lorsque l'option dhcp-host est utilisée. Cela peut servir
972: à sélectionner des options DHCP juste pour cet hôte. Plus d'un label peut être
973: fourni dans une directive dhcp-host (et dans cette seule directive). Lorsqu'une
974: machine coïncide avec une directive dhcp-host (ou une impliquée par
975: /etc/ethers), alors le label réservé "known" ("connu") est associé. Cela permet à
976: Dnsmasq d'être configuré pour ignorer les requêtes issus de machines inconnue
977: par le biais de
978: .B --dhcp-ignore=tag:!known.
979:
980: Les adresses ethernet (mais pas les identifiants clients) peuvent être définies
981: avec des octets joker, ainsi par exemple
982: .B --dhcp-host=00:20:e0:3b:13:*,ignore
983: demande à Dnsmasq d'ignorer une gamme d'adresses matérielles. Il est à noter
984: que "*" doit être précédé d'un caractère d'échappement ou mis entre guillemets
985: lorsque spécifié en option de ligne de commande, mais pas dans le fichier de
986: configuration.
987:
988: Les adresses matérielles coïncident en principe avec n'importe
989: quel type de réseau (ARP), mais il est possible de les limiter à un seul type
990: ARP en les précédant du type ARP (en Hexadécimal) et de "-". Ainsi
991: .B --dhcp-host=06-00:20:e0:3b:13:af,1.2.3.4
992: coïncidera uniquement avec des adresses matérielles Token-Ring, puisque le type
993: ARP pour une adresse Token-Ring est 6.
994:
995: Un cas spécial, pour IPv4, correspond à l'inclusion d'une ou plusieurs adresses
996: matérielles, c-à-d :
997: .B --dhcp-host=11:22:33:44:55:66,12:34:56:78:90:12,192.168.0.2.
998: Cela permet à une adresse IP d'être associé à plusieurs adresses
999: matérielles, et donne à dnsmasq la permission d'abandonner un bail DHCP
1000: attribué à l'une de ces adresses lorsqu'une autre adresse dans la liste
1001: demande un bail. Ceci est une opération dangereuse qui ne fonctionnera
1002: de manière fiable que si une adresse matérielle est active à un moment
1003: donné et dnsmasq n'a aucun moyen de s'assurer de cela. Cela est utile,
1004: par exemple, pour allouer une adresse IP stable à un laptop qui
1005: aurait à la fois une connexion filaire et sans-fil.
1006: .TP
1007: .B --dhcp-hostsfile=<chemin>
1008: Lis les informations d'hôtes DHCP dans le fichier spécifié. Si l'argument est
1009: un chemin vers un répertoire, lis tous les fichiers de ce répertoire. Le
1010: fichier contient des informations à raison d'un hôte par ligne. Le format
1011: d'une ligne est la même que le texte fourni à la droite sur caractère "=" dans
1012: l'option
1013: .B --dhcp-host.
1014: L'avantage de stocker les informations sur les hôtes DHCP dans ce fichier est
1015: que celles-ci peuvent être modifiées sans recharger Dnsmasq; le fichier sera
1016: relu lorsque Dnsmasq reçoit un signal SIGHUP.
1017: .TP
1018: .B --dhcp-optsfile=<chemin>
1019: Lis les informations relatives aux options DHCP dans le fichier spécifié. Si
1020: l'argument est un chemin vers un répertoire, lis tous les fichiers de ce
1021: répertoire. L'intérêt d'utiliser cette option est le même que pour
1022: --dhcp-hostsfile : le fichier spécifié sera rechargé à la réception par
1023: dnsmasq d'un signal SIGHUP. Notez qu'il est possible d'encoder l'information
1024: via
1025: .B --dhcp-boot
1026: en utilisant les noms optionnels bootfile-name, server-ip-address et
1027: tftp-server. Ceci permet d'inclure ces options dans un fichier "dhcp-optsfile".DNSMASQ_SUPPLIED_HOSTNAME
1028: .TP
1029: .B \-Z, --read-ethers
1030: Lis les informations d'hôtes DHCP dans le fichier /etc/ethers. Le format de
1031: /etc/ethers est une adresse matérielle suivie, soit par un nom d'hôte, soit par
1032: une adresse IP sous la forme de 4 chiffres séparés par des points. Lorsque lu
1033: par Dnsmasq, ces lignes ont exactement le même effet que l'option
1034: .B --dhcp-host
1035: contenant les mêmes informations. /etc/ethers est relu à la réception d'un
1036: signal SIGHUP par Dnsmasq. Les adresses IPv6 ne sont PAS lues dans /etc/ethers.
1037: .TP
1038: .B \-O, --dhcp-option=[tag:<label>,[tag:<label>]][encap:<option>,][vi-encap:<entreprise>,][vendor:[<classe_vendeur>],][<option>|option:<nom d'option>|option6:<option>|option6:<nom d'option>],[<valeur>[,<valeur>]]
1039: Spécifie des options différentes ou supplémentaires pour des clients DHCP. Par
1040: défaut, Dnsmasq envoie un ensemble standard d'options aux clients DHCP : le
1041: masque de réseau et l'adresse de broadcast sont les mêmes que pour l'hôte
1042: sur lequel tourne Dnsmasq, et le serveur DNS ainsi que la route par défaut
1043: prennent comme valeur l'adresse de la machine sur laquelle tourne Dnsmasq.
1044: (Des règles équivalentes s'appliquent en IPv6). Si une option de nom de domaine
1045: a été définie, son contenu est transmis. Cette option de configuration permet
1046: de changer toutes ces valeurs par défaut, ou de spécifier d'autres options.
1047: L'option DHCP à transmettre peut être fournie sous forme d'un nombre décimal
1048: ou sous la forme "option:<nom d'option>". Les nombres correspondants aux options
1049: sont définis dans la RFC2132 et suivants. Les noms d'options connus par Dnsmasq
1050: peuvent être obtenus via "Dnsmasq --help dhcp". Par exemple, pour définir la
1051: route par défaut à 192.168.4.4, il est possible de faire
1052: .B --dhcp-option=3,192.168.4.4
1053: ou
1054: .B --dhcp-option = option:router, 192.168.4.4
1055: ou encore, pour positionner l'adresse du serveur de temps à 192.168.0.4, on peut
1056: faire
1057: .B --dhcp-option = 42,192.168.0.4
1058: ou
1059: .B --dhcp-option = option:ntp-server, 192.168.0.4
1060: L'adresse 0.0.0.0 prends ici le sens "d'adresse de la machine sur laquelle
1061: tourne Dnsmasq". Les types de données autorisées sont des adresses IP sous la
1062: forme de 4 chiffres séparés par des points, un nombre décimal, une liste de
1063: caractères hexadécimaux séparés par des 2 points, ou une chaîne de caractères.
1064: Si des labels optionnels sont fournis, alors cette option n'est envoyée
1065: qu'aux réseaux dont tous les labels coïncident avec ceux de la requête.
1066:
1067: Un traitement spécial est effectué sur les chaînes de caractères fournies pour
1068: l'option 119, conformément à la RFC 3397. Les chaînes de caractères ou les
1069: adresses IP sous forme de 4 chiffres séparés par des points donnés en arguments
1070: de l'option 120 sont traités conformément à la RFC 3361. Les adresses IP sous
1071: forme de 4 chiffres séparés par des points suivies par une barre montante "/",
1072: puis une taille de masque sont encodés conformément à la RFC 3442.
1073:
1074: Les options IPv6 sont fournies en utilisant le mot-clef
1075: .B option6:
1076: suivi par le numéro d'option ou le nom d'option. L'espace de nommage des options
1077: IPv6 est disjoint de l'espace de nommage des options IPv4. Les adresses IPv6
1078: en option doivent être entourées de crochets, comme par exemple :
1079: .B --dhcp-option=option6:ntp-server,[1234::56]
1080:
1081: Attention : aucun test n'étant fait pour vérifier que des données d'un type
1082: adéquat sont envoyées pour un numéro d'option donné, il est tout à fait possible
1083: de persuader Dnsmasq de générer des paquets DHCP illégaux par une utilisation
1084: incorrecte de cette option. Lorsque la valeur est un nombre décimal, Dnsmasq
1085: doit déterminer la taille des données. Cela est fait en examinant le numéro de
1086: l'option et/ou la valeur, mais peut être évité en rajoutant un suffixe d'une
1087: lettre comme suit :
1088: b = un octet, s = 2 octets, i = 4 octets. Cela sert essentiellement pour des
1089: options encapsulées de classes de vendeurs (voir plus bas), pour lesquelles
1090: Dnsmasq ne peut déterminer la taille de la valeur. Les données d'options
1091: consistant uniquement de points et de décimaux sont interprétées par Dnsmasq
1092: comme des adresses IP, et envoyées comme telles. Pour forcer l'envoi sous forme
1093: de chaîne de caractère, il est nécessaire d'utiliser des guillemets doubles. Par
1094: exemple, l'utilisation de l'option 66 pour fournir une adresse IP sous la forme
1095: d'une chaîne de caractères comme nom de serveur TFTP, il est nécessaire de faire
1096: comme suit :
1097: .B --dhcp-option=66,"1.2.3.4"
1098:
1099: Les options encapsulées de classes de vendeurs peuvent être aussi spécifiées
1100: (pour IPv4 seulement) en utilisant
1101: .B --dhcp-option
1102: : par exemple
1103: .B --dhcp-option=vendor:PXEClient,1,0.0.0.0
1104: envoie l'option encapsulée de classe de vendeur "mftp-address=0.0.0.0" à
1105: n'importe quel client dont la classe de vendeur correspond à "PXEClient". La
1106: correspondance pour les classes de vendeur s'effectue sur des sous-chaînes de
1107: caractères (voir
1108: .B --dhcp-vendorclass
1109: pour plus de détails). Si une option de
1110: classe de vendeur (numéro 60) est envoyée par Dnsmasq, alors cela est utilisé
1111: pour sélectionner les options encapsulées, de préférence à toute option envoyée
1112: par le client. Il est possible d'omettre complètement une classe de vendeur :
1113: .B --dhcp-option=vendor:,1,0.0.0.0
1114: Dans ce cas l'option encapsulée est toujours envoyée.
1115:
1116: En IPv4, les options peuvent être encapsulées au sein d'autres options :
1117: par exemple
1118: .B --dhcp-option=encap:175, 190, "iscsi-client0"
1119: enverra l'option 175, au sein de laquelle se trouve l'option 190.
1120: Plusieurs options encapsulées avec le même numéro d'option seront correctement
1121: combinées au sein d'une seule option encapsulée. Il n'est pas possible de
1122: spécifier encap: et vendor: au sein d'une même option dhcp.
1123:
1124: La dernière variante pour les options encapsulées est "l'option de Vendeur
1125: identifiant le vendeur" ("Vendor-Identifying Vendor Options") telle que
1126: décrite dans le RFC3925. Celles-ci sont spécifiées comme suit :
1127: .B --dhcp-option=vi-encap:2, 10, "text"
1128: Le numéro dans la section vi-encap: est le numéro IANA de l'entreprise servant
1129: à identifier cette option. Cette forme d'encapsulation est également supportée
1130: en IPv6.
1131:
1132: L'adresse 0.0.0.0 n'est pas traitée de manière particulière lorsque fournie dans
1133: une option encapsulée.
1134: .TP
1135: .B --dhcp-option-force=[tag:<label>,[tag:<label>]][encap:<option>,][vi-encap:<entreprise>,][vendor:[<classe_vendeur>],][<option>|option:<nom d'option>],[<valeur>[,<valeur>]]
1136: Cela fonctionne exactement de la même façon que
1137: .B --dhcp-option
1138: sauf que cette option sera toujours envoyée, même si le client ne la demande pas
1139: dans la liste de paramètres requis. Cela est parfois nécessaire, par exemple lors
1140: de la fourniture d'options à PXELinux.
1141: .TP
1142: .B --dhcp-no-override
1143: (IPv4 seulement) Désactive la réutilisation des champs DHCP nom de serveur et
1144: nom de fichier comme espace supplémentaire pour les options. Si cela est
1145: possible, dnsmasq déplace les informations sur le serveur de démarrage
1146: et le nom de fichier (fournis par 'dhcp-boot') en dehors des champs
1147: dédiés à cet usage dans les options DHCP. Cet espace supplémentaire est
1148: alors disponible dans le paquet DHCP pour d'autres options, mais peut, dans
1149: quelques rares cas, perturber des clients vieux ou défectueux. Cette
1150: option force le comportement à l'utilisation des valeurs "simples et sûres"
1151: afin d'éviter des problèmes dans de tels cas.
1152: .TP
1153: .B --dhcp-relay=<adresse locale>,<adresse de serveur>[,<interface]
1154: Configure dnsmasq en temps que relais DHCP. L'adresse locale est une
1155: adresse allouée à l'une interface de la machine sur laquelle tourne dnsmasq.
1156: Toutes les requêtes DHCP arrivant sur cette interface seront relayées au
1157: serveur DHCP distant correspondant à l'adresse de serveur indiquée. Il est
1158: possible de relayer depuis une unique adresse locale vers différents serveurs
1159: distant en spécifiant plusieurs fois l'option dhcp-relay avec la même adresse
1160: locale et différentes adresses de serveur. L'adresse de serveur doit être
1161: sous forme numérique. Dans le cas de DHCPv6, l'adresse de serveur peut être
1162: l'adresse de multicast ff05::1:3 correspondant à tous les serveurs DHCP. Dans
1163: ce cas, l'interface doit être spécifiée et ne peut comporter de caractère
1164: joker. Elle sera utilisée pour indiquer l'interface à partir de laquelle le
1165: multicast pourra atteindre le serveur DHCP.
1166:
1167: Le contrôle d'accès pour les clients DHCP suivent les mêmes règles que pour
1168: les serveurs DHCP : voir --interface, --except-interface, etc. Le nom
1169: d'interface optionel dans l'option dhcp-relay comporte une autre fonction :
1170: il contrôle l'interface sur laquelle la réponse du serveur sera acceptée. Cela
1171: sert par exemple dans des configurations à 3 interfaces : une à partir de
1172: laquelle les requêtes sont relayées, une seconde permettant de se connecter à
1173: un serveur DHCP, et une troisième reliée à un réseau non-sécurisé tel
1174: qu'internet. Cela permet d'éviter l'arrivée de requêtes usurpées via cette
1175: troisième interface.
1176:
1177: Il est permis de configurer dnsmasq pour fonctionner comme serveur DHCP sur
1178: certaines interfaces et en temps que relais sur d'autres. Cependant, même s'il
1179: est possible de configurer dnsmasq de telle manière qu'il soit à la fois
1180: serveur et relais pour une même interface, cela n'est pas supporté et la
1181: fonction de relais prendra le dessus.
1182:
1183: Le relais DHCPv4 et le relais DHCPv6 sont tous les deux supportés, mais il
1184: n'est pas possible de relayer des requêtes DHCPv4 à un serveur DHCPv6 et
1185: vice-versa.
1186: .TP
1187: .B \-U, --dhcp-vendorclass=set:<label>,[enterprise:<numéro IANA d'enterprise>,]<classe de vendeur>
1188:
1189: Associe une chaîne de classe de vendeur à un label. La plupart
1190: des clients DHCP fournissent une "classe de vendeur" ("vendor class") qui
1191: représente, d'une certaine façon, le type d'hôte. Cette option associe des
1192: classes de vendeur à des labels, de telle sorte que des options DHCP peuvent être
1193: fournies de manière sélective aux différentes classes d'hôtes. Par exemple,
1194: .B dhcp-vendorclass=set:printers,Hewlett-Packard JetDirect
1195: ou
1196: .B dhcp-vendorclass=printers,Hewlett-Packard JetDirect
1197: permet de n'allouer des options qu'aux imprimantes HP de la manière suivante :
1198: .B --dhcp-option=tag:printers,3,192.168.4.4
1199: La chaîne de caractères de la classe de vendeur fournie en argument est cherchée
1200: en temps que sous-chaîne de caractères au sein de la classe de vendeur fournie
1201: par le client, de façon à permettre la recherche d'un sous-ensemble de la chaîne
1202: de caractères ("fuzzy matching"). Le préfixe set: est optionnel mais autorisé
1203: afin de conserver une certaine homogénéité.
1204:
1205: Notez qu'en IPv6 (et seulement en IPv6), les noms de classes de vendeurs
1206: sont dans un espace de nom associé au numéro attribué à l'entreprise par
1207: l'IANA. Ce numéro est fourni par le biais du mot-clef enterprise: et seules
1208: les classes de vendeurs associées au numéro spécifié seront cherchées.
1209: .TP
1210: .B \-j, --dhcp-userclass=set:<label>,<classe utilisateur>
1211: Associe une chaîne de classe d'utilisateur à un label (effectue la
1212: recherche sur des sous-chaînes, comme pour les classes de vendeur). La plupart
1213: des clients permettent de configurer une "classe d'utilisateur". Cette option
1214: associe une classe d'utilisateur à un label, de telle manière qu'il soit
1215: possible de fournir des options DHCP spécifiques à différentes classes d'hôtes.
1216: Il est possible, par exemple, d'utiliser ceci pour définir un serveur
1217: d'impression différent pour les hôtes de la classe "comptes" et ceux de la
1218: classe "ingénierie".
1219: .TP
1220: .B \-4, --dhcp-mac=set:<label>,<adresse MAC>
1221: Associe une adresse matérielle (MAC) à un label. L'adresse
1222: matérielle peut inclure des jokers. Par exemple
1223: .B --dhcp-mac=set:3com,01:34:23:*:*:*
1224: permet de définir le label "3com" pour n'importe quel hôte dont l'adresse
1225: matérielle coïncide avec les critères définis.
1226: .TP
1227: .B --dhcp-circuitid=set:<label>,<identifiant de circuit>, --dhcp-remoteid=set:<label>,<identifiant distant>
1228: Associe des options de relais DHCP issus de la RFC3046 à des labels.
1229: Cette information peut être fournie par des relais DHCP. L'identifiant
1230: de circuit ou l'identifiant distant est normalement fourni sous la forme d'une
1231: chaîne de valeurs hexadécimales séparées par des ":", mais il est également
1232: possible qu'elle le soit sous la forme d'une simple chaîne de caractères. Si
1233: l'identifiant de circuit ou d'agent correspond exactement à celui fourni par le
1234: relais DHCP, alors le label est apposé.
1235: .B dhcp-remoteid
1236: est supporté en IPv6 (mais non dhcp-circuitid).
1237: .TP
1238: .B --dhcp-subscrid=set:<label>,<identifiant d'abonné>
1239: (IPv4 et IPv6) Associe des options de relais DHCP issues de la RFC3993 à des
1240: labels.
1241: .TP
1242: .B --dhcp-proxy[=<adresse IP>]......
1243: (IPv4 seulement) Un agent relai DHCP normal est uniquement utilisé pour faire
1244: suivre les éléments initiaux de l'interaction avec le serveur DHCP. Une fois
1245: que le client est configuré, il communique directement avec le serveur. Cela
1246: n'est pas souhaitable si le relais rajoute des informations supplémentaires
1247: aux paquets DHCP, telles que celles utilisées dans
1248: .B dhcp-circuitid
1249: et
1250: .B dhcp-remoteid.
1251: Une implémentation complète de relai peut utiliser l'option serverid-override
1252: de la RFC 5107 afin de forcer le serveur DHCP à utiliser le relai en temps que
1253: proxy complet, de sorte que tous les paquets passent par le relai. Cette option
1254: permet d'obtenir le même résultat pour des relais ne supportant pas la RFC
1255: 5107. Fournie seule, elle manipule la valeur de server-id pour toutes les
1256: interactions via des relais. Si une liste d'adresses IP est donnée, seules les
1257: interactions avec les relais dont l'adresse est dans la liste seront affectées.
1258: .TP
1259: .B --dhcp-match=set:<label>,<numéro d'option>|option:<nom d'option>|vi-encap:<entreprise>[,<valeur>]
1260: Si aucune valeur n'est spécifiée, associe le label si le client
1261: envoie une option DHCP avec le numéro ou le nom spécifié. Lorsqu'une valeur est
1262: fournie, positionne le label seulement dans le cas où l'option est fournie et
1263: correspond à la valeur. La valeur peut être de la forme "01:ff:*:02", auquel
1264: cas le début de l'option doit correspondre (en respectant les jokers). La
1265: valeur peut aussi être de la même forme que dans
1266: .B dhcp-option
1267: , auquel cas l'option est traitée comme un tableau de valeur, et un des
1268: éléments doit correspondre, ainsi
1269:
1270: --dhcp-match=set:efi-ia32,option:client-arch,6
1271:
1272: spécifie le label "efi-ia32" si le numéro 6 apparaît dnas la liste
1273: d'architectures envoyé par le client au sein de l'option 93. (se référer
1274: au RFC 4578 pour plus de détails). Si la valeur est un chaine de caractères,
1275: celle-ci est recherchée (correspondance en temps que sous-chaîne).
1276:
1277: Pour la forme particulière vi-encap:<numéro d'entreprise>, la comparaison se
1278: fait avec les classes de vendeur "identifiant de vendeur" ("vendor-identifying
1279: vendor classes") pour l'entreprise dont le numéro est fourni en option.
1280: Veuillez vous référer à la RFC 3925 pour plus de détails.
1281: .TP
1282: .B --tag-if=set:<label>[,set:<label>[,tag:<label>[,tag:<label>]]]
1283: Effectue une opération booléenne sur les labels. Si tous les labels
1284: apparaissant dans la liste tag:<label> sont positionnés, alors tous les
1285: la de la liste "set:<labels>" sont positionnés (ou supprimés, dans le cas
1286: où "tag:!<label>" utilisé).
1287: Si aucun tag:<label> n'est spécifié, alors tous les labels fournis par
1288: set:<label> sont positionnés.
1289: N'importe quel nombre de set: ou tag: peuvent être fournis, et l'ordre est sans
1290: importance.
1291: Les lignes tag-if sont exécutées dans l'ordre, ce qui fait que si un label dans
1292: tag:<label> est un label positionné par une rêgle
1293: .B tag-if,
1294: la ligne qui positionne le label doit précéder celle qui le teste.
1295: .TP
1296: .B \-J, --dhcp-ignore=tag:<label>[,tag:<label>]
1297: Lorsque tous les labels fournis dans l'option sont présents, ignorer l'hôte et
1298: ne pas donner de bail DHCP.
1299: .TP
1300: .B --dhcp-ignore-names[=tag:<label>[,tag:<label>]]
1301: Lorsque tous les labels fournis dans l'option sont présents, ignorer le
1302: nom de machine fourni par l'hôte. Il est à noter que, à la différence de
1303: l'option "dhcp-ignore", il est permis de ne pas fournir de label.
1304: Dans ce cas, les noms d'hôtes fournis par les clients DHCP seront toujours
1305: ignorés, et les noms d'hôtes seront ajoutés au DNS en utilisant uniquement la
1306: configuration dhcp-host de Dnsmasq, ainsi que le contenu des fichiers /etc/hosts
1307: et /etc/ethers.
1308: .TP
1309: .B --dhcp-generate-names=tag:<label>[,tag:<label>]
1310: (IPv4 seulement) Générer un nom pour les clients DHCP qui autrement n'en aurait
1311: pas, en utilisant l'adresse MAC sous sa forme hexadécimale, séparée par des
1312: tirets.
1313: Noter que si un hôte fourni un nom, celui-ci sera utilisé de préférence au nom
1314: autogénéré, à moins que
1315: .B --dhcp-ignore-names
1316: ne soit positionné.
1317: .TP
1318: .B --dhcp-broadcast=[tag:<label>[,tag:<label>]]
1319: (IPv4 seulement) Lorsque tous les labels fournis dans l'option sont présents,
1320: toujours utiliser le broadcast pour communiquer avec l'hôte lorsque celui-ci
1321: n'est pas configuré. Il est possible de ne spécifier aucun label, auquel cas
1322: cette option s'applique inconditionnellement. La plupart des clients DHCP
1323: nécessitant une réponse par le biais d'un broadcast activent une option dans
1324: leur requête, ce qui fait que cela se fait automatiquement, mais ce n'est pas
1325: le cas de certains vieux clients BOOTP.
1326: .TP
1327: .B \-M, --dhcp-boot=[tag:<label>,]<nom de fichier>,[<nom de serveur>[,<adresse de serveur>|<nom du serveur tftp>]]
1328: (IPv4 seulement) Spécifie les options BOOTP devant être retournées par le
1329: serveur DHCP. Le nom de serveur ainsi que l'adresse sont optionnels : s'ils
1330: ne sont pas fournis, le nom est laissé vide et l'adresse fournie est celle de
1331: la machine sur laquelle s'exécute Dnsmasq. Si Dnsmasq fournit un service TFTP (voir
1332: .B --enable-tftp
1333: ), alors seul un nom de fichier est requis ici pour permettre un démarrage par
1334: le réseau.
1335: Si d'éventuels labels sont fournis, ils doivent coïncider avec
1336: ceux du client pour que cet élément de configuration lui soit envoyé.
1337: Une adresse de serveur TFTP peut être spécifiée à la place de l'adresse IP,
1338: sous la forme d'un nom de domaine qui sera cherché dans le fichier /etc/hosts.
1339: Ce nom peut être associé dans /etc/hosts avec plusieurs adresses IP, auquel cas
1340: celles-ci seront utilisées tour à tour (algorithme round-robin).
1341: Cela peut être utilisé pour équilibrer la charge tftp sur plusieurs serveurs.
1342: .TP
1343: .B --dhcp-sequential-ip
1344: Dnsmasq est conçu pour choisir l'adresse IP des clients DHCP en utilisant
1345: un hachage de l'adresse MAC du client. Cela permet en général à l'adresse
1346: IP du client de rester stable au fil du temps, même lorsque le client laisse
1347: expirer son bail DHCP de temps en temps. Dans ce mode de fonctionnement par
1348: défaut, les adresses IP sont distribuées de façon pseudo-aléatoire dans la
1349: totalité de la plage d'adresses utilisable. Il existe des circonstances (par
1350: exemples pour du déploiement de serveur) où il est plus pratique d'allouer les
1351: adresses IP de manière séquentielle, en commençant par la plus petite adresse
1352: disponible, et c'est ce mode de fonctionnement qui est permis par cette option.
1353: Veuillez noter que dans ce mode séquentiel, les clients qui laissent expirer
1354: leur bail ont beaucoup plus de chance de voir leur adresse IP changer, aussi
1355: cette option ne devrait pas être utilisée dans un cas général.
1356: .TP
1357: .B --dhcp-ignore-clid
1358: Dnsmasq lit l'option 'client identifier' (RFC 2131) envoyée par les clients
1359: (si disponible) afin d'identifier les clients. Cela permet de distribuer la
1360: même adresse IP à un client utilisant plusieurs interfaces. Activer cette option
1361: désactive la lecture du 'client identifier', afin de toujours identifier un client
1362: en utilisant l'adresse MAC.
1363: .TP
1364: .B --pxe-service=[tag:<label>,]<CSA>,<entrée de menu>[,<nom de fichier>|<type de service de démarrage>][,<adresse de serveur>|<nom de serveur>]
1365: La plupart des ROMS de démarrage PXE ne permettent au système PXE que la simple
1366: obtention d'une adresse IP, le téléchargement du fichier spécifié dans
1367: .B dhcp-boot
1368: et son exécution. Cependant, le système PXE est capable de fonctions bien plus
1369: complexes pour peu que le serveur DHCP soit adapté.
1370:
1371: Ceci spécifie l'option de démarrage qui apparaitra dans un menu de démarrage
1372: PXE. <CSA> est le type du système client. Seuls des types de services valides
1373: apparaitront dans un menu. Les types connus sont x86PC, PC98, IA64_EFI, Alpha,
1374: Arc_x86, Intel_Lean_Client, IA32_EFI, BC_EFI, Xscale_EFI et X86-64_EFI;
1375: D'autres types peuvent être spécifiés sous la forme d'une valeur entière. Le
1376: paramètre après le texte correspondant à l'entrée dans le menu peut être un nom
1377: de fichier, auquel cas Dnsmasq agit comme un serveur de démarrage et indique au
1378: client PXE qu'il faut télécharger ce fichier via TFTP, soit depuis ce serveur
1379: (l'option
1380: .B enable-tftp
1381: doit être spécifiée pour que cela marche), soit depuis un autre serveur TFTP
1382: si une adresse ou un nom de serveur est fournie.
1383: Veuillez noter que le suffixe de "couche" (en principe ".0") est fourni par PXE
1384: et ne doit pas être rajouté au nom de fichier. Si une valeur numérique entière
1385: est fournir pour le type de démarrage, en remplacement du nom de fichier, le
1386: client PXE devra chercher un service de démarrage de ce type sur le réseau.
1387: Cette recherche peut être faite via broadcast ou directement auprès d'un
1388: serveur si son adresse IP ou son nom sont fournis dans l'option.
1389: Si aucun nom de fichier n'est donné ni aucune valeur de type de service de
1390: démarrage n'est fournie (ou qu'une valeur de 0 est donnée pour le type de
1391: service), alors l'entrée de menu provoque l'interruption du démarrage par
1392: le réseau et la poursuite du démarrage sur un média local. L'adresse de serveur
1393: peut être donnée sous la forme de nom de domaine qui est recherché dans
1394: /etc/hosts. Ce nom peut être associé à plusieurs adresses IP, qui dans ce cas
1395: sont utilisées à tour de rôle (en "round-robin").
1396: .TP
1397: .B --pxe-prompt=[tag:<label>,]<invite>[,<délai>]
1398: Cette option permet d'afficher une invite à la suite du démarrage PXE. Si un
1399: délai est fourni, alors la première entrée du menu de démarrage sera
1400: automatiquement exécutée après ce délai. Si le délai vaut 0, alors la première
1401: entrée disponible sera exécutée immédiatement. Si
1402: .B pxe-prompt
1403: est omis, le système attendra un choix de l'utilisateur s'il existe plusieurs
1404: entrées dans le menu, ou démarrera immédiatement dans le cas où il n'y a qu'une
1405: seule entrée. Voir
1406: .B pxe-service
1407: pour plus de détails sur les entrées de menu.
1408:
1409: Dnsmasq peut servir de "proxy-DHCP" PXE, dans le cas où un autre serveur DHCP
1410: sur le réseau est responsable de l'allocation des adresses IP, auquel cas
1411: Dnsmasq se contente de fournir les informations données dans les options
1412: .B pxe-prompt
1413: et
1414: .B pxe-service
1415: pour permettre le démarrage par le réseau. Ce mode est activé en utilisant le
1416: mot-clef
1417: .B proxy
1418: dans
1419: .B dhcp-range.
1420: .TP
1421: .B \-X, --dhcp-lease-max=<nombre>
1422: Limite Dnsmasq à un maximum de <nombre> baux DHCP. Le défaut est de 1000. Cette
1423: limite permet d'éviter des attaques de déni de service ("DoS") par des hôtes
1424: créant des milliers de baux et utilisant beaucoup de mémoire dans le processus
1425: Dnsmasq.
1426: .TP
1427: .B \-K, --dhcp-authoritative
1428: Doit être spécifié lorsque dnsmasq est réellement le seul serveur DHCP
1429: sur le réseau. Pour DHCPv4, cela change le comportement par défaut qui est
1430: celui d'un strict respect des RFC, afin que les requêtes DHCP pour des baux
1431: inconnus par des hôtes inconnus ne soient pas ignorées. Cela permet à de
1432: nouveaux hôtes d'obtenir des baux sans tenir compte de fastidieuses
1433: temporisations ("timeout"). Cela permet également à Dnsmasq de reconstruire
1434: sa base de données contenant les baux sans que les clients n'aient besoin de
1435: redemander un bail, si celle-ci est perdue.
1436: Dans le cas de DHCPv6, cela positionne la priorité des réponses à 255 (le
1437: maximum) au lieu de 0 (le minimum).
1438: .TP
1439: .B --dhcp-alternate-port[=<port serveur>[,<port client>]]
1440: (IPv4 seulement) Change les ports utilisés par défaut pour le DHCP. Si cette
1441: option est donnée seule sans argument, alors change les ports utilisés pour le
1442: DHCP de 67 et 68 respectivement à 1067 et 1068. Si un seul argument est donné, ce
1443: numéro est utilisé pour le port serveur et ce numéro plus 1 est utilisé pour le
1444: port client. Enfin, en fournissant deux numéros de ports, il est possible de
1445: spécifier arbitrairement 2 ports à la fois pour le serveur et pour le client DHCP.
1446: .TP
1447: .B \-3, --bootp-dynamic[=<identifiant de réseau>[,<identifiant de réseau>]]
1448: (IPv4 seulement) Permet l'allocation dynamique d'adresses IP à des clients BOOTP.
1449: Utiliser cette option avec précaution, une adresse allouée à un client BOOTP
1450: étant perpétuelle, et de fait n'est plus disponibles pour d'autres hôtes. Si
1451: aucun argument n'est donné, alors cette option permet une allocation dynamique
1452: dans tous les cas. Si des arguments sont spécifiés, alors l'allocation ne se
1453: fait que lorsque tous les identifiants coïncident. Il est possible de répéter
1454: cette option avec plusieurs jeux d'arguments.
1455: .TP
1456: .B \-5, --no-ping
1457: (IPv4 seulement) Par défaut, le serveur DHCP tente de s'assurer qu'une adresse
1458: n'est pas utilisée avant de l'allouer à un hôte. Cela est fait en envoyant une
1459: requête ICMP de type "echo request" (aussi connue sous le nom de "ping") à
1460: l'adresse en question. Si le serveur obtient une réponse, alors l'adresse doit
1461: déjà être utilisée et une autre est essayée. Cette option permet de supprimer
1462: cette vérification. A utiliser avec précaution.
1463: .TP
1464: .B --log-dhcp
1465: Traces additionnelles pour le service DHCP : enregistre toutes les options
1466: envoyées aux clients DHCP et les labels utilisés pour la
1467: détermination de celles-ci.
1468: .TP
1469: .B --quiet-dhcp, --quiet-dhcp6, --quiet-ra
1470: Supprime les logs des opérations de routine des protocoles concernés. Les
1471: erreurs et les problèmes seront toujours enregistrés. L'option --log-dhcp
1472: prends le pas sur --quiet-dhcp et quiet-dhcp6.
1473: .TP
1474: .B \-l, --dhcp-leasefile=<chemin de fichier>
1475: Utilise le fichier dont le chemin est fourni pour stocker les informations de
1476: baux DHCP.
1477: .TP
1478: .B --dhcp-duid=<ID d'entreprise>,<uid>
1479: (IPv6 seulement) Spécifie le numéro d'UID de serveur persistant que le serveur
1480: DHCPv6 doit utiliser. Cette option n'est normalement pas requise, Dnsmasq
1481: créant un DUID automatiquement lorsque cela est nécessaire. Lorsque cette
1482: option est positionnée, elle fournit à Dnsmasq les données nécessaires à la
1483: création d'un DUID de type DUID-EN. Veuillez noter qu'une fois créé, le DUID
1484: est stocké dans la base des baux, aussi changer entre un DUID créé
1485: automatiquement et un DUID-EN et vice-versa impose de réinitialiser la base de
1486: baux. Le numéro d'ID d'entreprise est assigné par l'IANA, et l'uid est une
1487: chaine hexadécimale unique à chaque serveur.
1488: .TP
1489: .B \-6 --dhcp-script=<chemin de fichier>
1490: Lorsqu'un bail DHCP est créé, qu'un ancien est supprimé, ou qu'un transfert
1491: TFTP est terminé, le fichier dont le
1492: chemin est spécifié est exécuté. Le <chemin de fichier> doit être un chemin
1493: absolu, aucune recherche n'est effectuée via la variable d'environnement PATH.
1494: Les arguments fournis à celui-ci sont soit
1495: "add" ("ajouter"), "old" ("ancien") ou "del" ("supprimer"), suivi de l'adresse
1496: MAC de l'hôte (ou le DUID pour IPv6) puis l'adresse IP et le nom d'hôte si
1497: celui-ci est connu."add" signifie qu'un bail a été créé, "del" signifie qu'il a
1498: été supprimé, "old" notifie que le bail existait au lancement de Dnsmasq, ou un
1499: changement d'adresse MAC ou de nom d'hôte pour un bail existant (ou, dans le cas
1500: où leasefile-ro est spécifié, un changement de durée de bail ou d'identifiant
1501: d'hôte). Si l'adresse Mac est d'un type de réseau autre qu'ethernet, il est
1502: nécessaire de la préceder du type de réseau, par exemple "06-01:23:45:67:89:ab"
1503: pour du token ring. Le processus est exécuté en temps que super-utilisateur
1504: (si Dnsmasq a été lancé en temps que "root"), même si Dnsmasq est configuré
1505: pour changer son UID pour celle d'un utilisateur non-privilégié.
1506:
1507: L'environnement est hérité de celui de l'invocation du processus Dnsmasq,
1508: auquel se rajoute quelques unes ou toutes les variables décrites ci-dessous :
1509:
1510: Pour IPv4 et IPv6 :
1511:
1512: DNSMASQ_DOMAIN si le nom de domaine pleinement qualifié de l'hôte est connu, la
1513: part relative au domaine y est stockée. (Notez que le nom d'hôte transmis comme
1514: argument au script n'est jamais pleinement qualifié).
1515:
1516: Si le client fournit un nom d'hôte, DNSMASQ_SUPPLIED_HOSTNAME.
1517:
1518: Si le client fournit des classes d'utilisateur, DNSMASQ_USER_CLASS0 à
1519: DNSMASQ_USER_CLASSn.
1520:
1521: Si Dnsmasq a été compilé avec l'option HAVE_BROKEN_RTC ("horloge RTC
1522: défectueuse"), alors la durée du bail (en secondes) est stockée dans la
1523: variable DNSMASQ_LEASE_LENGTH, sinon la date d'expiration du bail est toujours
1524: stocké dans la variable d'environnement DNSMASQ_LEASE_EXPIRES. Le nombre de
1525: secondes avant expiration est toujours stocké dans DNSMASQ_TIME_REMAINING.
1526:
1527: Si un bail était associé à un nom d'hôte et
1528: que celui-ci est supprimé, un évênement de type "old" est généré avec le
1529: nouveau statut du bail, c-à-d sans nom d'hôte, et le nom initial est fourni
1530: dans la variable d'environnement DNSMASQ_OLD_HOSTNAME.
1531:
1532: La variable DNSMASQ_INTERFACE contient le nom de l'interface sur laquelle la
1533: requête est arrivée; ceci n'est pas renseigné dans le cas des actions "old"
1534: ayant lieu après un redémarrage de dnsmasq.
1535:
1536: La variable DNSMASQ_RELAY_ADDRESS est renseignée si le client a utilisé un
1537: relai DHCP pour contacter Dnsmasq, si l'adresse IP du relai est connue.
1538:
1539: DNSMASQ_TAGS contient tous les labels fournis pendant la transaction DHCP,
1540: séparés par des espaces.
1541:
1542: DNSMASQ_LOG_DHCP est positionné si
1543: .B --log-dhcp
1544: est activé.
1545:
1546: Pour IPv4 seulement :
1547:
1548: DNSMASQ_CLIENT_ID, si l'hôte a fourni un identifiant de client.
1549:
1550: DNSMASQ_CIRCUIT_ID, DNSMASQ_SUBSCRIBER_ID, DNSMASQ_REMOTE_ID si un relai DHCP a
1551: rajouté l'une de ces options.
1552:
1553: Si le client fournit une information de classe de vendeur, DNSMASQ_VENDOR_CLASS.
1554:
1555: Pour IPv6 seulement :
1556:
1557: Si le client fournit une classe de vendeur (vendor-class), positionne
1558: DNSMASQ_VENDOR_CLASS_ID avec comme contenu le numéro IANA de l'entreprise pour
1559: la classe, et DNSMASQ_VENDOR_CLASS0..DNSMASQ_VENDOR_CLASSn pour les données.
1560:
1561: DNSMASQ_SERVER_DUID contient le DUID du serveur : cette valeur est la même
1562: pour chaque appel au script.
1563:
1564: DNSMASQ_IAID contenant l'IAID pour le bail. Si le bail est une allocation
1565: temporaire, cela est préfixé par le caractère 'T'.
1566:
1567: DNSMASQ_MAC contient l'adresse MAC du client, si celle-ci est connue.
1568:
1569: A noter que le nom d'hôte fourni, la classe de vendeur ou les données de classe
1570: d'utilisateur sont uniquement fournies pour les actions "add" ou l'action "old"
1571: lorsqu'un hôte reprend un bail existant, puisque ces informations ne sont pas
1572: conservées dans la base de baux de dnsmasq.
1573:
1574: Tous les descripteurs de fichiers sont fermés, sauf stdin, stdout et stderr qui
1575: sont ouverts sur /dev/null (sauf en mode déverminage).
1576:
1577: Le script n'est pas lancé de manière concurrente : au plus une instance du
1578: script est exécutée à la fois (dnsmasq attend qu'une instance de script se
1579: termine avant de lancer la suivante). Les changements dans la base des baux
1580: nécessitant le lancement du script sont placé en attente dans une queue jusqu'à
1581: terminaison d'une instance du script en cours. Si cette mise en queue fait que
1582: plusieurs changements d'états apparaissent pour un bail donné avant que le
1583: script puisse être lancé, alors les états les plus anciens sont supprimés et
1584: lorsque le script sera finalement lancé, ce sera avec l'état courant du bail.
1585:
1586: Au démarrage de Dnsmasq, le script sera invoqué pour chacun des baux existants
1587: dans le fichier des baux. Le script sera lancé avec l'action "del" pour les
1588: baux expirés, et "old" pour les autres. Lorsque Dnsmasq reçoit un signal HUP,
1589: le script sera invoqué avec une action "old" pour tous les baux existants.
1590:
1591: Il existe deux autres actions pouvant apparaître comme argument au script :
1592: "init" et "tftp". D'autres sont susceptibles d'être rajoutées dans le futur,
1593: aussi les scripts devraient être écrits de sorte à ignorer les actions
1594: inconnues. "init" est décrite ci-dessous dans
1595: .B --leasefile-ro.
1596: L'action "tftp" est invoquée lorsqu'un transfert de fichier TFTP s'est
1597: terminé. Ses arguments sont la taille du fichier en octets, l'adresse à
1598: laquelle le fichier a été envoyé, ainsi que le chemin complet du fichier.
1599:
1600: .TP
1601: .B --dhcp-luascript=<chemin>
1602: Spécifie un script écrit en Lua, devant être exécuté lorsque des baux sont
1603: créés, détruits ou modifiés. Pour utiliser cette option, dnsmasq doit être
1604: compilé avec avec le support de Lua. L'interpréteur Lua est initialisé une
1605: seule fois, lorsque dnsmasq démarre, ce qui fait que les variables globales
1606: persistent entre les événements liés aux baux. Le code Lua doit définir une
1607: fonction
1608: .B lease
1609: et peut fournir des fonctions
1610: .B init
1611: et
1612: .B shutdown
1613: qui sont appellées, sans arguments, lorsque dnsmasq démarre ou s'arrête.
1614: Il peut également fournir une fonction
1615: .B tftp.
1616:
1617: La fonction
1618: .B lease
1619: reçoit les informations détaillées dans
1620: .B --dhcp-script.
1621: Il reçoit deux arguments. Le premier spécifie l'action, qui est une chaîne de
1622: caractères contenant les valeurs "add" (ajout), "old" (réactivation d'un bail
1623: existant) ou "del" (suppression). Le deuxième est une table contenant des
1624: paires de valeurs de labels. Les labels correspondent pour l'essentiel aux
1625: valeurs d'environnement détaillées ci-dessus, ainsi le label "domain" (domaine)
1626: contient les mêmes données que la variable d'environnement DNSMASQ_DOMAIN. Il
1627: existe quelques labels supplémentaires contenant les données fournies comme
1628: arguments à
1629: .B --dhcp-script.
1630: Ces labels sont
1631: .B mac_address, ip_address
1632: (pour respectivement l'adresse MAC et l'adresse IP)
1633: et
1634: .B hostname
1635: (le nom d'hôte) dans le cas d'IPv4, et
1636: .B client_duid, ip_address
1637: (valeur DUID du client et adresse IP respectivement)
1638: ainsi que
1639: .B hostname
1640: (le nom d'hôte) dans le cas d'IPv6.
1641:
1642: La fonction
1643: .B tftp
1644: est appelée de la même façon que la fonction "lease", et la table contient les
1645: labels
1646: .B destination_address,
1647: .B file_name
1648: et
1649: .B file_size
1650: (respectivement "adresse de destination", "nom de fichier" et "taille de fichier").
1651: .TP
1652: .B --dhcp-scriptuser
1653: Spécifie l'utilisateur sous lequel le script shell lease-change ou le script
1654: doivent être exécutés. La valeur par défaut correspond à l'utilisateur root
1655: mais peut être changée par le biais de cette option.
1656: .TP
1657: .B \-9, --leasefile-ro
1658: Supprimer complètement l'usage du fichier servant de base de donnée pour les
1659: baux DHCP. Le fichier ne sera ni créé, ni lu, ni écrit. Change la façon dont le
1660: script de changement d'état de bail est lancé (si celui-ci est fourni par le
1661: biais de l'option
1662: .B --dhcp-script
1663: ), de sorte que la base de données de baux puisse
1664: être complètement gérée par le script sur un stockage externe. En addition aux
1665: actions décrites dans
1666: .B --dhcp-script,
1667: le script de changement d'état de bail est appelé une fois, au lancement de
1668: Dnsmasq, avec pour seul argument "init". Lorsqu'appelé de la sorte, le script
1669: doit fournir l'état de la base de baux, dans le format de fichier de baux de
1670: Dnsmasq, sur sa sortie standard (stdout) et retourner un code de retour de 0.
1671: Positionner cette option provoque également une invocation du script de
1672: changement d'état de bail à chaque changement de l'identifiant de client, de
1673: longueur de bail ou de date d'expiration.
1674: .TP
1675: .B --bridge-interface=<interface>,<alias>[,<alias>]
1676: Traiter les requêtes DHCP (v4 et v6) et IPv6 Router Solicit arrivant
1677: sur n'importe laquelle des interfaces <alias> comme si elles
1678: arrivaient de l'interface <interface>. Cette option permet à dnsmasq
1679: de fournir les service DHCP et RA sur les interfaces ethernet non
1680: adressés et non pontés; par exemple sur un hôte de calcul d'OpenStack
1681: où chaque telle interface est une interface TAP à une machine
1682: virtuelle, ou lors de l'utilisation de pont ethernet "ancien mode" sur
1683: plate-forme BSD. Chaque <alias> peut finir avec un simple '*' joker.
1684: .TP
1685: .B \-s, --domain=<domaine>[,<gamme d'adresses>[,local]]
1686: Spécifie le domaine du serveur DHCP. Le domaine peut être donné de manière
1687: inconditionnelle (sans spécifier de gamme d'adresses IP) ou pour des gammes
1688: d'adresses IP limitées. Cela a deux effets; tout d'abord, le
1689: serveur DHCP retourne le domaine à tous les hôtes le demandant, deuxièmement,
1690: cela spécifie le domaine valide pour les hôtes DHCP configurés. Le but de cela
1691: est de contraindre les noms d'hôte afin qu'aucun hôte sur le LAN ne puisse
1692: fournir via DHCP un nom tel que par exemple "microsoft.com" et capturer du
1693: trafic de manière illégitime. Si aucun nom de domaine n'est spécifié, alors
1694: les noms d'hôtes avec un nom de domaine (c-à-d un point dans le nom) seront
1695: interdits et enregistrés dans le journal (logs). Si un suffixe est fourni, alors
1696: les noms d'hôtes possédant un domaine sont autorisés, pour peu que le nom de
1697: domaine coïncide avec le nom fourni. De plus, si un suffixe est fourni, alors
1698: les noms d'hôtes ne possédant pas de nom de domain se voient rajouter le
1699: suffixe fourni dans l'option
1700: .B --domain.
1701: Ainsi, sur mon réseau, je peux configurer
1702: .B --domain=thekelleys.org.uk
1703: et avoir une machine dont le nom DHCP serait "laptop". L'adresse IP de cette
1704: machine sera disponible à la fois pour "laptop" et "laptop.thekelleys.org.uk".
1705: Si la valeur fournie pour <domaine> est "#", alors le nom de domaine est
1706: positionné à la première valeur de la directive "search" du fichier
1707: /etc/resolv.conf (ou équivalent).
1708:
1709: La gamme d'adresses peut être de la forme
1710: <adresse IP>,<adresse IP> ou <adresse IP>/<masque de réseau> voire une simple
1711: <adresse IP>. Voir
1712: .B --dhcp-fqdn
1713: qui peut changer le comportement de dnsmasq relatif aux domaines.
1714:
1715: Si la gamme d'adresse est fournie sous la forme
1716: <adresse IP>/<taille de réseau>, alors le drapeau "local" peut être rajouté
1717: qui a pour effet d'ajouter --local-declarations aux requêtes DNS directes et
1718: inverses. C-à-d
1719: .B --domain=thekelleys.org.uk,192.168.0.0/24,local
1720: est identique à
1721: .B --domain=thekelleys.org.uk,192.168.0.0/24
1722: --local=/thekelleys.org.uk/ --local=/0.168.192.in-addr.arpa/
1723: La taille de réseau doit être de 8, 16 ou 24 pour être valide.
1724: .TP
1725: .B --dhcp-fqdn
1726: Dans le mode par défaut, dnsmasq insère les noms non-qualifiés des clients
1727: DHCP dans le DNS. Pour cette raison, les noms doivent être uniques, même si
1728: deux clients ayant le même nom sont dans deux domaines différents. Si un
1729: deuxième client DHCP apparaît ayant le même nom qu'un client déjà existant,
1730: ce nom est transféré au nouveau client. Si
1731: .B --dhcp-fqdn
1732: est spécifié, ce comportement change : les noms non qualifiés ne sont plus
1733: rajoutés dans le DNS, seuls les noms qualifiés le sont. Deux clients DHCP
1734: avec le même nom peuvent tous les deux garder le nom, pour peu que la partie
1735: relative au domaine soit différente (c-à-d que les noms pleinement qualifiés
1736: diffèrent). Pour s'assurer que tous les noms ont une partie domaine, il doit y
1737: avoir au moins un
1738: .B --domain
1739: sans gamme d'adresses de spécifié lorsque l'option
1740: .B --dhcp-fqdn
1741: est configurée.
1742: .TP
1743: .B --dhcp-client-update
1744: Normalement, lorsque dnsmasq fournit un bail DHCP, il positionne un label
1745: dans l'option FQDN pour indiquer au client qu'il ne doit pas tenter de faire
1746: une mise à jour DDNS avec son nom et son adresse IP. Ceci parce que la paire
1747: Nom-IP est rajoutée automatiquement dans la partie DNS de dnsmasq. Cette option
1748: inhibe ce comportement ce qui est utile, par exemple, pour permettre aux clients
1749: Windows de la mise à jour de serveurs Active Directory. Voir la RFC 4702 pour
1750: plus de détails.
1751: .TP
1752: .B --enable-ra
1753: Active la fonctionnalité d'annonces routeurs IPv6 ("IPv6 Router Advertisement").
1754: DHCPv6 ne gère pas la configuration complète du réseau de la même façon que
1755: DHCPv4. La découverte de routeurs et la découverte (éventuelle) de préfixes pour
1756: la création autonome d'adresse sont gérées par un protocole différent.
1757: Lorsque DHCP est utilisé, seul un sous-ensemble de tout ceci est nécessaire et
1758: dnsmasq est à même de le gérer, en utilisant la configuration DHCP présente pour
1759: fournir la majorité des données. Lorsque les annonces routeurs (RA pour "Router
1760: Advertisement") sont activées, dnsmasq va annoncer un préfixe pour chaque
1761: dhcp-range et, par défaut, fournir comme valeur de routeur et de DNS récursif
1762: la valeur d'adresse link-local appropriée parmi celles de la machine sur
1763: laquelle tourne dnsmasq.
1764: Par défaut, les bits "managed address" sont positionnés, et le bit "use SLAAC"
1765: ("utiliser SLAAC") est réinitialisé. Cela peut être changé pour des
1766: sous-réseaux donnés par le biais du mot clef de mode décris dans
1767: .B --dhcp-range.
1768: Les paramètres DNS du RFC6106 sont inclus dans les annonces. Par défaut,
1769: l'adresse link-local appropriée parmi celles de la machine sur laquelle tourne
1770: dnsmasq est spécifiée comme DNS récursif. Si elles sont fournies, les
1771: options dns-server et domain-search sont utilisées respectivement pour RDNSS et
1772: DNSSL.
1773: .TP
1774: .B --ra-param=<interface>,[mtu:<valeur>|<interface>|off,][high,|low,]<intervalle d'annonce routeur>[,<durée de vie route>]
1775: Configure pour une interface donnée des valeurs pour les annonces routeurs
1776: différentes des valeurs par défaut. La valeur par défaut du champ priorité
1777: pour le routeur peut être changée de "medium" (moyen) à "high" (haute) ou
1778: "low" (basse). Par exemple :
1779: .B --ra-param=eth0,high,0.
1780: Un intervalle (en secondes) entre les annonces routeur peut être fourni par :
1781: .B --ra-param=eth0,60.
1782: La durée de vie de la route peut être changée ou mise à zéro, auquel cas
1783: le routeur peut annoncer les préfixes mais pas de route :
1784: .B --ra-param=eth0,0,0
1785: (une valeur de zéro pour l'intervalle signifie qu'il garde la valeur par défaut).
1786: Ces quatre paramètres peuvent être configurés en une fois :
1787: .B --ra-param=eth0,mtu:1280,low,60,1200
1788: La valeur pour l'interface peut inclure un caractère joker.
1789: .TP
1790: .B --enable-tftp[=<interface>[,<interface>]]
1791: Active la fonction serveur TFTP. Celui-ci est de manière délibérée limité aux
1792: fonctions nécessaires au démarrage par le réseau ("net-boot") d'un client. Seul
1793: un accès en lecture est possible; les extensions tsize et blksize sont supportées
1794: (tsize est seulement supportée en mode octet). Sans argument optionnel, le service
1795: TFTP est fourni sur les mêmes interfaces que le service DHCP. Si une liste
1796: d'interfaces est fournie, cela définit les interfaces sur lesquelles le
1797: service TFTP sera activé.
1798: .TP
1799: .B --tftp-root=<répertoire>[,<interface>]
1800: Les fichiers à fournir dans les transferts TFTP seront cherchés en prenant le
1801: répertoire fourni comme racine. Lorsque cela est fourni, les chemins TFTP
1802: incluant ".." sont rejetés, afin d'éviter que les clients ne puissent sortir de
1803: la racine spécifiée. Les chemins absolus (commençant par "/") sont autorisés,
1804: mais ils doivent être à la racine TFTP fournie. Si l'option interface est
1805: spécifiée, le répertoire n'est utilisé que pour les requêtes TFTP reçues sur
1806: cette interface.
1807: .TP
1808: .B --tftp-unique-root
1809: Ajouter l'adresse IP du client TFTP en temps qu'élément de chemin, à la suite
1810: de la racine tftp (adresse sous forme de 4 chiffres séparés par des points).
1811: Uniquement valable si une racine TFTP est spécifiée et si le répertoire
1812: correspond existe. Ainsi, si la valeur pour tftp-root est "/tftp" et que le
1813: client d'adresse IP 1.2.3.4 requiert le fichier "monfichier", alors le chemin
1814: effective résultant sera "/tftp/1.2.3.4/monfichier" si /tftp/1.2.3.4 existe, ou
1815: "/tftp/monfichier" dans le cas contraire.
1816: .TP
1817: .B --tftp-secure
1818: Active le mode TFTP sécurisé : sans cela, tout fichier lisible
1819: par Dnsmasq est disponible via TFTP (les règles de contrôle d'accès unix
1820: habituelles s'appliquent). Lorsque l'option
1821: .B --tftp-secure
1822: est spécifiée, seuls les fichiers possédés par l'utilisateur sous lequel tourne
1823: le processus Dnsmasq sont accessibles. Si Dnsmasq est exécuté en temps que
1824: super-utilisateur ("root"), des règles différentes s'appliquent :
1825: .B --tftp-secure
1826: n'a aucun effet, mais seuls les fichiers ayant un droit de lecture pour tout le
1827: monde sont accessibles. Il n'est pas recommandé d'exécuter Dnsmasq sous
1828: l'utilisateur "root" lorsque le service TFTP est activé, et il est formellement
1829: déconseillé de le faire sans fournir l'option
1830: .B --tftp-root.
1831: Sans cela, en effet, l'accès de tous les fichiers du serveur pour lequel le
1832: droit de lecture pour tout le monde est positionné ("world-readable") devient
1833: possible par n'importe quel hôte sur le réseau.
1834: .TP
1835: .B --tftp-lowercase
1836: Converti les noms de fichiers des requêtes TFTP en minuscules. Cela est utile
1837: pour les requêtes effectuées depuis les machines Windows, dont les systèmes
1838: de fichiers sont insensibles à la casse et pour lesquels la détermination
1839: de la casse est parfois un peu aléatoire. A noter que le serveur tftp de
1840: dnsmasq converti systématiquement les "\\" en "/" dans les noms de fichiers.
1841: .TP
1842: .B --tftp-max=<connexions>
1843: Définit le nombre maximum de connexions TFTP simultanées autorisées. La valeur
1844: par défaut est de 50. Lorsqu'un grand nombre de connexions TFTP est spécifié,
1845: il se peut que la limite de nombre de descripteurs de fichiers par processus
1846: soit atteinte. Dnsmasq nécessite quelques descripteurs de fichiers, ainsi qu'un
1847: descripteur de fichier pour chaque connexion TFTP simultanée et pour chacun des
1848: fichiers devant être fournis. De fait, servir le même fichier à n clients ne
1849: nécessitera qu'environ n + 10 descripteurs de fichiers, alors que fournir des
1850: fichiers tous différents à n clients utilisera environ (2*n) + 10 descripteurs.
1851: Si elle est donnée, l'option
1852: .B --tftp-port-range
1853: peut affecter le nombre maximum de connexions concurrentes.
1854: .TP
1855: .B --tftp-no-blocksize
1856: Empêche le serveur TFTP de négocier l'option "blocksize" (taille de bloc) avec
1857: les clients. Certains clients buggés spécifient cette option mais se comportent
1858: ensuite de manière incorrecte si celle-ci est accordée.
1859: .TP
1860: .B --tftp-port-range=<début>,<fin>
1861: Un serveur TFTP écoute sur le port prédéfini 69 ("well-known port") pour
1862: l'initiation de la connexion, mais utilise également un port dynamiquement
1863: alloué pour chaque connexion. Normalement, ces ports sont alloués par
1864: le système d'exploitation, mais cette option permet de spécifier une gamme
1865: de ports à utiliser pour les transferts TFTP. Cela peut être utile si
1866: TFTP doit traverser un dispositif garde-barrière ("firewall"). La valeur
1867: de début pour la plage de port ne peut être inférieure à 1025 sauf si
1868: dnsmasq tourne en temps que super-utilisateur ("root"). Le nombre de
1869: connexions TFTP concurrentes est limitée par la taille de la gamme de
1870: ports ainsi spécifiée.
1871: .TP
1872: .B --tftp-port-range=<début>,<fin>
1873: Un serveur TFTP écoute sur un numéro de port bien connu (69) pour l'initiation
1874: de la connexion, et alloue dynamiquement un port pour chaque connexion. Ces
1875: numéros de ports sont en principe alloués par le système d'exploitation, mais
1876: cette option permet de spécifier une gamme de ports à utiliser pour les
1877: transferts TFTP. Cela peut être utile lorsque ceux-ci doivent traverser un
1878: dispositif garde-barrière ("firewall"). Le début de la plage ne peut être
1879: inférieur à 1024 à moins que Dnsmasq ne fonctionne en temps que
1880: super-utilisateur ("root"). Le nombre maximal de connexions TFTP concurrentes
1881: est limitée par la taille de la plage de ports ainsi définie.
1882: .TP
1883: .B \-C, --conf-file=<fichier>
1884: Spécifie un fichier de configuration différent. L'option "conf-file" est
1885: également autorisée dans des fichiers de configuration, ce qui permet
1886: l'inclusion de multiples fichiers de configuration. L'utilisation de "-" comme
1887: nom de fichier permet la lecture par dnsmasq de sa configuration sur l'entrée standard
1888: stdin.
1889: .TP
1890: .B \-7, --conf-dir=<répertoire>[,<extension de fichier>...]
1891: Lis tous les fichiers du répertoire spécifié et les traite comme des fichiers de
1892: configuration. Si des extensions sont données, tout fichier finissant par ces
1893: extensions seront ignorés. Tout fichier dont le nom se termine en ~ ou commence
1894: par ., ainsi que ceux commençant ou se terminant par # seront systématiquement
1895: ignorés.
1896: Cette option peut être donnée en ligne de commande ou dans un fichier de
1897: configuration.
1898: .SH FICHIER DE CONFIGURATION
1899: Au démarrage, Dnsmasq lis
1900: .I /etc/dnsmasq.conf,
1901: si ce fichier existe. (Sur FreeBSD, ce fichier est
1902: .I /usr/local/etc/dnsmasq.conf
1903: ) (voir cependant les options
1904: .B \-C
1905: et
1906: .B \-7
1907: ). Le format de ce fichier consiste en une option par ligne, exactement comme
1908: les options longues détaillées dans la section OPTIONS, mais sans être précédées
1909: par "--". Les lignes commençant par # sont des commentaires et sont ignorées.
1910: Pour les options qui ne peuvent-être spécifiées qu'une seule fois, celle du
1911: fichier de configuration prends le pas sur celle fournie en ligne de commande.
1912: Il est possible d'utiliser des guillemets afin d'éviter que les ",",":","." et
1913: "#" ne soient interprétés, et il est possible d'utiliser les séquences
1914: d'échappement suivantes : \\\\ \\" \\t \\e \\b \\r et \\n. Elles correspondent
1915: respectivement à la barre oblique descendante ("anti-slash"), guillemets doubles,
1916: tabulation, caractère d'échappement ("escape"), suppression ("backspace"), retour ("return") et
1917: nouvelle ligne ("newline").
1918: .SH NOTES
1919: A la réception d'un signal SIGHUP,
1920: .B Dnsmasq
1921: vide son cache et recharge les fichiers
1922: .I /etc/hosts
1923: et
1924: .I /etc/ethers
1925: ainsi que tout autre fichier spécifié par les options
1926: .B --dhcp-hostsfile
1927: ,
1928: .B --dhcp-optsfile
1929: ou
1930: .B --addn-hosts.
1931: Le script de changement de bail est appellé pour chaque bail DHCP existant. Si
1932: l'option
1933: .B --no-poll
1934: est positionnée, alors le fichier
1935: .I /etc/resolv.conf
1936: est également rechargé.
1937: SIGHUP ne provoque PAS de rechargement du fichier de configuration.
1938: .PP
1939: A la réception d'un signal SIGUSR1,
1940: .B Dnsmasq
1941: écrit des statistiques dans les traces système. Les informations fournies sont :
1942: la taille du cache, le nombre de noms ayant été supprimés du cache avant
1943: expiration afin de faire de la place pour les nouveaux noms, ainsi que le nombre
1944: total d'entrées ayant été insérées dans le cache. Pour chaque serveur amont, il fournit
1945: le nomnbre de requêtes transmises ainsi que le nombre de requêtes ayant résulté par une
1946: erreur. Lorsque Dnsmasq a été lancé via
1947: .B --no-daemon
1948: ou lorsque la traçabilité maximale a été activée (
1949: .B -q
1950: ), la totalité du contenu du
1951: cache est de surcroît fournie.
1952: .PP
1953: A la réception d'un signal SIGUSR2 et lorsqu'il enregistre directement ses
1954: traces dans un fichier (voir
1955: .B --log-facility
1956: ), alors
1957: .B Dnsmasq
1958: ferme et rouvre le fichier de traces. Il faut noter que pendant cette
1959: opération Dnsmasq ne s'exécute pas en tant que "root". Lorsqu'il créé un
1960: fichier de traces pour la première fois, Dnsmasq change le propriétaire du
1961: fichier afin de le faire appartenir à l'utilisateur non "root" sous lequel
1962: Dnsmasq s'exécute. Le logiciel de rotation de fichiers de trace logrotate doit
1963: être configuré pour créer un nouveau fichier avec un propriétaire identique au
1964: fichier existant avant d'envoyer le signal SIGUSR2. Si une requête DNS TCP est
1965: en cours, l'ancien fichier de traces reste ouvert dans le processus fils qui
1966: traite la requête TCP et il peut y être écrit. Il existe cependant une limite
1967: de 150 secondes après laquelle tous les processus traitant des requêtes TCP
1968: expirent : pour cette raison, il est préférable de ne pas configurer la
1969: compression des fichiers de traces venant juste de faire l'objet d'une rotation.
1970: Dans le cas de l'utilisation du logiciel logrotate, les options requises sont
1971: .B create
1972: et
1973: .B delaycompress.
1974:
1975: .PP
1976: Dnsmasq est un logiciel de transmission de requêtes DNS : il n'est pas capable
1977: d'effectuer une résolution de nom récursive en partant des serveurs DNS racine,
1978: mais transmet de telles requêtes à un serveur DNS amont capable de telles
1979: recherches récursives, ce qui est typiquement le cas d'un serveur DNS de FAI.
1980: Par défaut, Dnsmasq lis
1981: .I /etc/resolv.conf
1982: pour découvrir les adresses IP des serveurs DNS amonts à utiliser, puisque cette
1983: information est en général stockée à cet endroit. A moins que l'option
1984: .B --no-poll
1985: ne soit utilisée,
1986: .B Dnsmasq
1987: vérifie la date de modification du fichier
1988: .I /etc/resolv.conf
1989: (ou l'équivalent si
1990: .B \--resolv-file
1991: est utilisé), et le relis lorsqu'il change. Cela permet de définir les serveurs
1992: DNS amont de manière dynamique lorsque PPP ou DHCP sont utilisés, puisque ces
1993: protocoles fournissent cette information.
1994: L'absence du fichier
1995: .I /etc/resolv.conf
1996: ne conduit pas à une erreur, puisqu'il peut très bien ne pas être créé avant
1997: qu'une connexion PPP ne soit établie. Dans ce cas, Dnsmasq vérifie régulièrement
1998: pour voir si un fichier
1999: .I /etc/resolv.conf
2000: est créé. Dnsmasq peut être configuré pour lire plus d'un fichier resolv.conf.
2001: Cela est utile sur un ordinateur portable où PPP et DHCP peuvent être utilisés :
2002: Dnsmasq peut alors être configuré pour lire à la fois
2003: .I /etc/ppp/resolv.conf
2004: et
2005: .I /etc/dhcpc/resolv.conf
2006: et utilisera le contenu du fichier ayant changé en dernier, ce qui permet de
2007: passer automatiquement de serveurs DNS à d'autres.
2008: .PP
2009: Les serveurs amonts peuvent aussi être spécifiés sur la ligne de commande ou
2010: dans un fichier de configuration. Ces spécifications de serveurs peuvent
2011: éventuellement se voir adjoindre d'un nom de domaine qui précise à Dnsmasq quel
2012: serveur utiliser pour trouver les noms d'un domaine donné.
2013: .PP
2014: Pour configurer Dnsmasq afin qu'il se comporte comme un cache pour la machine
2015: sur laquelle il tourne, mettre "nameserver 127.0.0.1" dans le fichier
2016: .I /etc/resolv.conf
2017: afin de forcer les processus locaux à envoyer leurs requêtes à Dnsmasq. Ensuite,
2018: spécifier les serveurs DNS amont soit en les fournissant directement à Dnsmasq
2019: via l'option
2020: .B \--server
2021: ou alors en mettant leurs adresses dans un autre fichier, par exemple
2022: .I /etc/resolv.dnsmasq
2023: et en lançant Dnsmasq avec l'option
2024: .B \-r /etc/resolv.dnsmasq.
2025: Cette deuxième technique permet la mise-à-jour dynamique des adresses de
2026: serveurs DNS amont par le biais de PPP ou DHCP.
2027: .PP
2028: Les adresses dans /etc/hosts prennent le dessus sur celles fournies par le
2029: serveur DNS amont, ainsi "macompagnie.com 1.2.3.4" dans /etc/hosts assure que
2030: les requêtes pour "macompagnie.com" retourneront toujours 1.2.3.4, même si une
2031: requête au serveur DNS amont retournerait une adresse différente. Il y a une
2032: exception à ceci : si le DNS amont contient un CNAME qui pointe vers un nom
2033: présent dans /etc/hosts, alors la recherche du CNAME via Dnsmasq fournira
2034: l'adresse DNS amont. Pour contourner cela, il suffit de mettre l'entrée
2035: correspondant au CNAME dans /etc/hosts.
2036: .PP
2037: le système de label fonctionne comme suit : pour chaque requête DHCP, dnsmasq
2038: associe un ensemble de labels obtenus à partir des lignes de la configuration
2039: incluant set:<label>, y compris un pour la plage d'adresse (
2040: .B dhcp-range
2041: ) utilisée pour allouer l'adresse, un pour chaque entrée
2042: .B dhcp-host
2043: associée (auquel est rajouté le mot-clef "known" si une entrée dhcp-host
2044: coïncide).
2045:
2046: Le label "bootp" est associé aux requêtes BOOTP, un label dont le nom est le
2047: nom de l'interface sur laquelle la requête est arrivée.
2048:
2049: Pour les lignes de configuration comportant des éléments tag:<label>,
2050: seules seront valides celles pour lesquels tous les labels correspondants
2051: seront présents. C'est typiquement le cas des lignes dhcp-options.
2052: Un
2053: .B dhcp-option
2054: possédant des labels sera utilisé de préférence à un
2055: .B dhcp-option
2056: sans label, pour peu que _tous_ les labels positionnés correspondent à l'ensemble
2057: de labels décrit plus haut.
2058: Le préfixe '!' sur un label est un indicateur de négation, ainsi
2059: .B --dhcp=option=tag:!purple,3,1.2.3.4
2060: n'envoie l'option que lorsque le label "purple" n'est pas dans la liste de
2061: labels définis pour l'hôte considéré. (dans le cas de l'utilisation dans une
2062: ligne de commande au lieu d'un fichier de configuration, ne pas oublier
2063: d'échapper le caractère !, qui est un méta-caractère d'interpréteur de commande
2064: shell).
2065:
2066: Lors de la sélection d'une option, une étiquette spécifiée par dhcp-range
2067: passe après les autres étiquettes, ce qui permet de facilement remplacer des
2068: option génériques pour des hôtes spécifiques, ainsi :
2069: .B dhcp-range=set:interface1,......
2070: .B dhcp-host=set:monhote,.....
2071: .B dhcp-option=tag:interface1,option:nis-domain,"domaine1"
2072: .B dhcp-option=tag:monhote,option:nis-domain,"domaine2"
2073: va positionner l'option NIS-domain à domaine1 pour les hôtes dans la plage
2074: d'adresse, sauf pour monhote pour lequel cette valeur sera domaine2.
2075:
2076: .PP
2077: Veuillez noter que pour
2078: .B dhcp-range
2079: , les éléments tag:<label> et set:<label> sont tous les deux autorisés
2080: pour sélectionner la plage à utiliser selon, par exemple, le dhcp-host,
2081: et pour affecter l'option envoyée, sur la base de la plage sélectionnée.
2082:
2083: Ce système a évolué d'un système plus ancien et aux possibilités plus limitées,
2084: et pour des raisons de compatibilité "net:" peut être utilisé à la place de
2085: "tag:" et "set:" peut être omis (à l'exception de
2086: .B dhcp-host,
2087: où "net:" peut être utilisé à la place de "set:"). Pour les mêmes raisons, '#'
2088: peut être utilisé à la place de '!' pour indiquer la négation.
2089: .PP
2090: Le serveur DHCP intégré dans Dnsmasq fonctionne également en temps que serveur
2091: BOOTP, pour peu que l'adresse MAC et l'adresse IP des clients soient fournies,
2092: que ce soit par le biais de l'option
2093: .B dhcp-host
2094: ou dans le fichier
2095: .I /etc/ethers
2096: , et que l'option
2097: .B dhcp-range
2098: soit présente afin d'activer le serveur DHCP pour un réseau donné (L'option
2099: .B --bootp-dynamic
2100: supprime la nécessité des associations statiques). Le paramètre
2101: "filename" (nom de fichier) de la requête BOOTP est utilisé comme label, ainsi
2102: que le label "bootp", permettant un certain contrôle sur les options retournées
2103: aux différentes classes d'hôtes.
2104:
2105:
2106: .SH CONFIGURATION EN TEMPS QUE SERVEUR FAISANT AUTORITÉ
2107: .PP
2108: Configurer dnsmasq pour agir en temps que serveur DNS faisant autorité est
2109: compliqué par le fait que cela implique la configuration de serveurs DNS
2110: externes pour mettre en place la délégation. Seront présentés ci-dessous trois
2111: scénarios de complexité croissante. Le pré-requis pour chacun de ces scénarios
2112: est l'existence d'une adresse IP globalement disponible, d'un enregistrement de
2113: type A ou AAAA pointant vers cette adresse, ainsi que d'un serveur DNS externe
2114: capable d'effectuer la délégation de la zone en question. Pour la première
2115: partie de ces explications, nous allons appeler serveur.exemple.com
2116: l'enregistrement A (ou AAAA) de l'adresse globalement accessible, et
2117: notre.zone.com la zone pour laquelle dnsmasq fait autorité.
2118:
2119: La configuration la plus simple consiste en deux lignes de configuration,
2120: sous la forme :
2121: .nf
2122: .B auth-server=serveur.exemple.com,eth0
2123: .B auth-zone=notre.zone.com,1.2.3.0/24
2124: .fi
2125:
2126: ainsi que deux enregistrements dans le DNS externe :
2127:
2128: .nf
2129: serveur.exemple.com A 192.0.43.10
2130: notre.zone.com NS serveur.exemple.com
2131: .fi
2132:
2133: eth0 est l'interface réseau externe sur laquelle dnsmasq écoute, dont l'adresse
2134: IP (globalement accessible) est 192.0.43.10.
2135:
2136: A noter que l'adresse IP externe peut parfaitement être dynamique (par exemple
2137: attribuée par un FAI via DHCP ou PPP). Dans ce cas, l'enregistrement de type A
2138: doit être lié à cet enregistrement dynamique par l'une ou l'autre des techniques
2139: habituelles de système DNS dynamique.
2140:
2141: Un exemple plus complexe mais en pratique plus utile correspond au cas où
2142: l'adresse IP globalement accessible se trouve dans la zone pour laquelle
2143: dnsmasq fait autorité, le plus souvent à la racine. Dans ce cas nous avons :
2144:
2145: .nf
2146: .B auth-server=notre.zone.com,eth0
2147: .B auth-zone=notre.zone.com,1.2.3.0/24
2148: .fi
2149:
2150: .nf
2151: notre.zone.com A 1.2.3.4
2152: notre.zone.com NS our.zone.com
2153: .fi
2154:
2155: L'enregistrement A pour notre.zone.com est dorénavant un enregistrement "colle"
2156: qui résout le problème de poule et d'oeuf consistant à trouver l'adresse IP
2157: du serveur de nom pour notre.zone.com lorsque l'enregistrement se trouve dans
2158: la zone en question. Il s'agit du seul rôle de cet enregistrement : comme dnsmasq
2159: fait désormais autorité pour notre.zone.com, il doit également fournir cet
2160: enregistrement. Si l'adresse externe est statique, cela peut être réalisé par
2161: le biais d'une entrée dans
2162: .B /etc/hosts
2163: ou via un
2164: .B --host-record.
2165:
2166: .nf
2167: .B auth-server=notre.zone.com,eth0
2168: .B host-record=notre.zone.com,1.2.3.4
2169: .B auth-zone=notre.zone.com,1.2.3.0/24
2170: .fi
2171:
2172: Si l'adresse externe est dynamique, l'adresse associée à notre.zone.com doit
2173: être dérivée de l'interface correspondante. Cela peut être fait en utilisant
2174: .B interface-name
2175: Sous la forme :
2176:
2177: .nf
2178: .B auth-server=notre.zone.com,eth0
2179: .B interface-name=notre.zone.com,eth0
2180: .B auth-zone=notre.zone.com,1.2.3.0/24
2181: .fi
2182:
2183: La configuration finale rajoute à cette base un serveur DNS secondaire. Il
2184: s'agit d'un autre serveur DNS qui apprend les données DNS de la zone en
2185: effectuant un transfert de zone, et qui joue le rôle de serveur de secours
2186: au cas où le serveur principal devenait inaccessible. La configuration
2187: de ce serveur secondaire sort du cadre de cette page de manuel. Les éléments
2188: de configuration à rajouter dans dnsmasq sont les simples :
2189:
2190: .nf
2191: .B auth-sec-servers=secondaire.monfai.com
2192: .fi
2193:
2194: et
2195:
2196: .nf
2197: notre.zone.com NS secondaire.monfai.com
2198: .fi
2199:
2200: L'addition d'une option auth-sec-servers active les transferts de zone dans
2201: dnsmasq, ce qui permet au serveur secondaire de venir collecter les données
2202: DNS. Si vous souhaitez restreindre l'accès à ces données à des hôtes
2203: spécifiques, vous pouvez le faire via :
2204:
2205: .nf
2206: .B auth-peer=<adresse IP du serveur secondaire>
2207: .fi
2208:
2209: Dnsmasq joue le rôle de serveur faisant autorité pour les domaines in-addr.arpa
2210: et ip6.arpa associés aux sous-réseaux définis dans la déclaration de zone
2211: auth-zone, ce qui fait que les requêtes DNS inversées (de l'adresse vers
2212: le nom) peuvent simplement être configurées avec un enregistrement NS
2213: adéquat. Par exemple, comme nous définissons plus haut les adresses
2214: 1.2.3.0/24 :
2215: .nf
2216: 3.2.1.in-addr.arpa NS notre.zone.com
2217: .fi
2218:
2219: Veuillez noter que pour l'instant, les zones inverses ne sont pas
2220: disponibles dans les transferts de zone, donc il est inutile de configurer
2221: de serveur secondaire pour la résolution inverse.
2222:
2223: .PP
2224: Lorsque dnsmasq est configuré en temps que serveur faisant autorité,
2225: les données suivantes sont utilisées pour peupler la zone considérée :
2226: .PP
2227: .B --mx-host, --srv-host, --dns-rr, --txt-record, --naptr-record
2228: , pour autant que les noms des enregistrements se trouvent dans la zone en
2229: question.
2230: .PP
2231: .B --cname
2232: pour peu que le nom soit dans le domaine. Si la cible du CNAME n'est
2233: pas pleinement qualifiée, alors elle est qualifiée avec le nom de la
2234: zone pour laquelle le serveur fait autorité.
2235: .PP
2236: Les adresses IPv4 et IPv6 extraites de /etc/hosts (et
2237: .B --addn-hosts
2238: ) ainsi que les options
2239: .B --host-record
2240: fournissant des adresses situées dans l'un des sous-réseaux spécifiés dans
2241: .B --auth-zone.
2242: .PP
2243: Adresses spécifiées par
2244: .B --interface-name.
2245: Dans ce cas, l'adresse n'est pas limitée à l'un des sous-réseaux donné dans
2246: .B --auth-zone.
2247:
2248: .PP
2249: Les adresses de baux DHCP, si l'adresse est située dans l'un des sous-réseaux de
2250: .B --auth-zone
2251: OU dans une plage DHCP construite. Dans le mode par défaut, où le bail
2252: DHCP a un nom non qualifié, et éventuellement pour un nom qualifié construit
2253: via
2254: .B --domain
2255: , alors le nom dans la zone faisant autorité est construit à partir du nom
2256: non qualifié et du nom de domaine de la zone. Cela peut on non être égal
2257: celui fourni par
2258: .B --domain.
2259: Si l'option
2260: .B --dhcp-fqdn
2261: est fournie, alors les noms pleinement qualifiés associés aux baux DHCP
2262: sont utilisés, dès lors qu'ils correspondent au nom de domaine associé
2263: à la zone.
2264:
2265:
2266: .SH CODES DE SORTIE
2267: .PP
2268: 0 - Dnsmasq s'est correctement lancé en tâche de fond, ou alors s'est
2269: correctement terminé si le lancement en tâche de fond n'a pas été activé.
2270: .PP
2271: 1 - Un problème de configuration a été détecté.
2272: .PP
2273: 2 - Un problème est survenu avec un accès réseau (adresse déjà utilisée,
2274: tentative d'utiliser un port privilégié sans les permissions nécessaires).
2275: .PP
2276: 3 - Un problème est survenu avec une opération sur un système de fichier
2277: (fichier ou répertoire manquant, permissions).
2278: .PP
2279: 4 - Impossibilité d'allouer de la mémoire.
2280: .PP
2281: 5 - Autre problème.
2282: .PP
2283: 11 ou plus - un code de retour différent de 0 a été reçu lors de l'appel au
2284: processus "init" du script des bails. Le code de retour de Dnsmasq correspond
2285: au code de retour du script plus 10.
2286:
2287: .SH LIMITES
2288: Les valeurs par défaut pour les limites de ressources de Dnsmasq sont en général
2289: conservatrices et appropriées pour des utilisations embarquées sur des machines
2290: de type routeur ayant des processeurs lents et une mémoire limitée. Sur du
2291: matériel plus performant, il est possible d'augmenter les limites et de gérer
2292: plus de clients. Les remarques suivantes s'appliquent à Dnsmasq version 2.37 et
2293: ultérieur : les versions précédentes ne montaient pas en charge aussi bien.
2294:
2295: .PP
2296: Dnsmasq est capable de gérer le DNS et DHCP pour au moins un millier de clients.
2297: Pour cela, la durée des bail ne doit pas être très courte (moins d'une heure).
2298: La valeur de
2299: .B --dns-forward-max
2300: peut être augmentée : commencer par la rendre égale au nombre de clients et
2301: l'augmenter si le DNS semble lent. Noter que la performance du DNS dépends
2302: également de la performance des serveurs amonts. La taille du cache DNS peut-
2303: être augmentée : la limite en dur est de 10000 entrées et la valeur par défaut
2304: (150) est très basse. Envoyer un signal SIGUSR1 à Dnsmasq le fait émettre des
2305: informations utiles pour paramétrer la taille de cache. Voir la section
2306: .B NOTES
2307: pour plus de détails.
2308: .PP
2309: Le serveur TFTP intégré est capable de plusieurs transferts de fichiers
2310: simultanés : La limite absolue est liée au nombre maximal de descripteurs de
2311: fichiers alloué à un processus et à la capacité de l'appel système select() à
2312: gérer un grand nombre de HANDLE de fichier. Si la limite est fixée trop haut par
2313: le biais de
2314: .B --tftp-max
2315: elle sera réduite et la limite actuelle sera enregistrée au démarrage. Il faut
2316: noter que plus de transferts sont possible lorsque le même fichier est transmis
2317: au lieu d'avoir un fichier différent pour chaque transfert.
2318:
2319: .PP
2320: Il est possible d'utiliser Dnsmasq pour bloquer la publicité sur la toile
2321: en associant des serveurs de publicité bien connus à l'adresse 127.0.0.1 ou
2322: 0.0.0.0 par le biais du fichier
2323: .B /etc/hosts
2324: ou d'un fichier d'hôte additionnel. Cette liste peut être très longue, Dnsmasq
2325: ayant été testé avec succès avec un million de noms. Cette taille de fichier
2326: nécessite un processeur à 1 Ghz et environ 60 Mo de RAM.
2327:
2328: .SH INTERNATIONALISATION
2329: Dnsmasq peut être compilé pour supporter l'internationalisation. Pour cela,
2330: les cibles "all-i18n" et "install-i18n" doivent être données à make, en lieu
2331: et place des cibles standards "all" et "install". Lorsque compilé avec le
2332: support de l'internationalisation, dnsmasq supporte les noms de domaines
2333: internationalisés ("internationalised domain names" ou IDN), et les messages de
2334: traces ("logs") sont écrits dans la langue locale. Les noms de domaines dans
2335: /etc/hosts, /etc/ethers et /etc/dnsmasq.conf contenant des caractères
2336: non-ASCII seront transformés selon la représentation punycode interne
2337: aux DNS. Veuillez noter que dnsmasq détermine la langue pour les messages
2338: ainsi que le jeu de caractères susceptible d'être utilisé dans les fichiers
2339: de configuration à partir de la variable d'environnement LANG. Ceci devrait
2340: être configuré à la valeur par défaut du système par les scripts démarrant
2341: dnsmasq. Lorsque les fichiers de configuration sont édités, veuillez faire
2342: attention à le faire en utilisant la valeur de locale par défaut du système
2343: et non une valeur spécifique à l'utilisateur, puisque dnsmasq n'a aucun
2344: moyen de déterminer directement la valeur de jeu de caractère utilisé,
2345: et assume de ce fait qu'il s'agit de la valeur par défaut du système.
2346:
2347: .SH FICHIERS
2348: .IR /etc/dnsmasq.conf
2349:
2350: .IR /usr/local/etc/dnsmasq.conf
2351: .IR /var/run/dnsmasq/resolv.conf
2352: .IR /etc/ppp/resolv.conf
2353: .IR /etc/dhcpc/resolv.conf
2354:
2355: .IR /etc/resolv.conf
2356:
2357: .IR /etc/hosts
2358:
2359: .IR /etc/ethers
2360:
2361: .IR /var/lib/misc/dnsmasq.leases
2362:
2363: .IR /var/db/dnsmasq.leases
2364:
2365: .IR /var/run/dnsmasq.pid
2366: .SH VOIR AUSSI
2367: .BR hosts (5),
2368: .BR resolver (5)
2369: .SH AUTEUR
2370: Cette page de manuel a été écrite par Simon Kelley <simon@thekelleys.org.uk>.
2371:
2372: La traduction dans un français bancal a été commise par Gildas Le Nadan
2373: <3ntr0p13@gmail.com> : Toute révision/correction permettant de corriger
2374: orthographe ou grammaire mais surtout les éventuelles fautes de sens sera la
2375: bienvenue!
FreeBSD-CVSweb <freebsd-cvsweb@FreeBSD.org>
![[BACK]](/icons/cvsweb/back.gif){kind=icon}
Return to dnsmasq.8 CVS log ![[TXT]](/icons/cvsweb/text.gif){kind=icon}
![[DIR]](/icons/cvsweb/dir.gif){kind=icon}
Up to [ELWIX - Embedded LightWeight unIX -] / embedaddon / dnsmasq / man / fr