{{indexmenu_n>4}}
====== Настройка Unbound с Alfis ======

Unbound — кэширующий DNS-сервер и рекурсор для Unix-систем. Unbound может работать отличным локальным кэширующим сервером, при этом форвардя на Alfis DNS только запросы к внутрисетевым доменам ''.ygg''. Это можно сделать следующим конфигом:

<code>
server:
        interface: ::0 # будем слушать на всех адресах IPv6 (и IPv4 в Linux)
        access-control: 0.0.0.0/0 allow
        access-control: ::0/0 allow
        hide-identity: yes
        hide-version: yes
        hide-trustanchor: yes
        do-not-query-localhost: no  # иначе не будет обращаться к локальным резолверам 

# у этих зон нет DNSSEC-подписей, поэтому их проверку нужно отключить
domain-insecure: "ygg."

forward-zone:
        name: "."
        forward-addr: 1.1.1.1 # если используете другой ресолвер для остальных сетей, укажите свой

forward-zone:
        name: "ygg."
        forward-addr: 302:db60::53 # желательно указать несколько forward-addr с различными адресами Alfis
</code>

Данная конфигурация предполагaает, что Unbound находится на машине за файрволлом; если это не так, следует более тщательно настроить ACL.

====== Настройка с Alfis ======

Unbound можно также направить на уже запущенный локальный резолвер Alfis (указать в конфигурации ''forward-zone'' выше адрес, на котором запущен резолвер Alfis, по умолчанию это ''127.0.0.1:5311''). В таком случае необходимо добавить для всех зон, поддерживаемых Alfis, в конфигурацию Unbound соответствующие им директивы ''domain-insecure'' и ''forward-zone'', указывая им ''forward-addr'', на котором запущен DNS-сервер Alfis:
<code>
domain-insecure: "ygg."
forward-zone:
        name: "ygg."
        forward-addr: 127.0.0.1@5311

domain-insecure: "anon."
forward-zone:
        name: "anon."
        forward-addr: 127.0.0.1@5311
...
</code>

На текущий момент это 10 доменных зон, указанных в [[https://github.com/Revertron/Alfis/blob/6c837c0f45fd136814abf6f0523811a945d3175c/README.md#how-it-works/README.md|документации]] Alfis:

> There are 10 domain zones available to get domain in: ''.anon'', ''.btn'', ''.conf'', ''.index'', ''.merch'', ''.mirror'', ''.mob'', ''.screen'', ''.srv'', ''.ygg''. But, ''.anon'' and ''.ygg'' are bound to have IP-addresses from Yggdrasil Network only.