modules/unbound/templates/unbound.conf.erb

   1 ##
   2 ## THIS FILE IS UNDER PUPPET CONTROL. DON'T EDIT IT HERE.
   3 ## USE: git clone git+ssh://$USER@puppet.debian.org/srv/puppet.debian.org/git/dsa-puppet.git
   4 ##
   5
   6 server:
   7         verbosity: 1
   8
   9         # specify the interfaces to answer queries from by ip-address.
  10         # The default is to listen to localhost (127.0.0.1 and ::1).
  11         # specify 0.0.0.0 and ::0 to bind to all available interfaces.
  12         # specify every interface[@port] on a new 'interface:' labelled line.
  13         # The listen interfaces are not changed on reload, only on restart.
  14         # interface: 192.0.2.153
  15         # interface: 192.0.2.154
  16         # interface: 192.0.2.154@5003
  17         # interface: 2001:DB8::5
  18
  19         # enable this feature to copy the source address of queries to reply.
  20         # Socket options are not supported on all platforms. experimental.
  21         interface-automatic: yes
  22
  23         # control which clients are allowed to make (recursive) queries
  24         # to this server. Specify classless netblocks with /size and action.
  25         # By default everything is refused, except for localhost.
  26         # Choose deny (drop message), refuse (polite error reply),
  27         # allow (recursive ok), allow_snoop (recursive and nonrecursive ok)
  28         # access-control: 0.0.0.0/0 refuse
  29         # access-control: 127.0.0.0/8 allow
  30         # access-control: ::0/0 refuse
  31         # access-control: ::1 allow
  32         # access-control: ::ffff:127.0.0.1 allow
  33
  34         #chroot: ""
  35
  36         hide-identity: yes
  37         hide-version: yes
  38
  39         use-caps-for-id: yes
  40
  41         # Do not query the following addresses. No DNS queries are sent there.
  42         # List one address per entry. List classless netblocks with /size,
  43         # do-not-query-address: 127.0.0.1/8
  44         # do-not-query-address: ::1
  45
  46         # if yes, the above default do-not-query-address entries are present.
  47         # if no, localhost can be queried (for testing and debugging).
  48         # do-not-query-localhost: yes
  49
  50         # File with trusted keys, kept uptodate using RFC5011 probes,
  51         # initial file like trust-anchor-file, then it stores metadata.
  52         # Use several entries, one per domain name, to track multiple zones.
  53         # auto-trust-anchor-file: ""
  54         auto-trust-anchor-file: "/var/lib/unbound/root.key"
  55         auto-trust-anchor-file: "/var/lib/unbound/debian.org.key"
  56
  57 <%=
  58         out = []
  59         unless nodeinfo['misc']['resolver-recursive']
  60                 forwarders = nodeinfo['hoster']['nameservers']
  61                 forwarders ||= []
  62
  63                 out << 'forward-zone:'
  64                 out << '        name: "."'
  65                 forwarders.each do |ns|
  66                         out << "        forward-addr: #{ns}"
  67                 end
  68         end
  69         out.join("\n")
  70 %>