syntax fixes
[mirror/dsa-puppet.git] / modules / unbound / templates / unbound.conf.erb
1 ##
2 ## THIS FILE IS UNDER PUPPET CONTROL. DON'T EDIT IT HERE.
3 ## USE: git clone git+ssh://$USER@puppet.debian.org/srv/puppet.debian.org/git/dsa-puppet.git
4 ##
5
6 server:
7         verbosity: 1
8
9         # specify the interfaces to answer queries from by ip-address.
10         # The default is to listen to localhost (127.0.0.1 and ::1).
11         # specify 0.0.0.0 and ::0 to bind to all available interfaces.
12         # specify every interface[@port] on a new 'interface:' labelled line.
13         # The listen interfaces are not changed on reload, only on restart.
14         # interface: 192.0.2.153
15         # interface: 192.0.2.154
16         # interface: 192.0.2.154@5003
17         # interface: 2001:DB8::5
18
19         # enable this feature to copy the source address of queries to reply.
20         # Socket options are not supported on all platforms. experimental. 
21         interface-automatic: yes
22
23         # control which clients are allowed to make (recursive) queries
24         # to this server. Specify classless netblocks with /size and action.
25         # By default everything is refused, except for localhost.
26         # Choose deny (drop message), refuse (polite error reply),
27         # allow (recursive ok), allow_snoop (recursive and nonrecursive ok)
28         # access-control: 0.0.0.0/0 refuse
29         # access-control: 127.0.0.0/8 allow
30         # access-control: ::0/0 refuse
31         # access-control: ::1 allow
32         # access-control: ::ffff:127.0.0.1 allow
33
34         #chroot: ""
35
36         hide-identity: yes
37         hide-version: yes
38
39         use-caps-for-id: yes
40
41         # Do not query the following addresses. No DNS queries are sent there.
42         # List one address per entry. List classless netblocks with /size,
43         # do-not-query-address: 127.0.0.1/8
44         # do-not-query-address: ::1
45
46         # if yes, the above default do-not-query-address entries are present.
47         # if no, localhost can be queried (for testing and debugging).
48         # do-not-query-localhost: yes
49
50         # File with trusted keys, kept uptodate using RFC5011 probes,
51         # initial file like trust-anchor-file, then it stores metadata.
52         # Use several entries, one per domain name, to track multiple zones.
53         # auto-trust-anchor-file: ""
54         auto-trust-anchor-file: "/var/lib/unbound/root.key"
55         auto-trust-anchor-file: "/var/lib/unbound/debian.org.key"
56
57 <%=
58         out = []
59         unless nodeinfo['misc']['resolver-recursive']
60                 forwarders = nodeinfo['hoster']['nameservers']
61                 forwarders ||= []
62
63                 out << 'forward-zone:'
64                 out << '        name: "."'
65                 forwarders.each do |ns|
66                         out << "        forward-addr: #{ns}"
67                 end
68         end
69         out.join("\n")
70 %>