Dnslinux PDF

Servidor DNS en linux
Gabriel Snchez Espaa, Grupo S22
Ficha de Prcticas
Nombre: Servidor DNS en linux Prctica: 2.2/ SRI Fecha inicio: 07/11/2011 Fecha fin: -Autor/es: Gabriel Snchez Espaa Versin: 1 Curso: S22
Contenido
Punto 1: .................................................................................................................................. 3 Punto 2: .................................................................................................................................. 3 Punto 3: .................................................................................................................................. 3 Punto 4: .................................................................................................................................. 4 Punto 5: .................................................................................................................................. 5 Punto 6: ................................................................................................................................ 12 Punto 7: ................................................................................................................................ 18 Punto 8: ................................................................................................................................ 21 Punto 9: ................................................................................................................................ 23 Punto 10: .............................................................................................................................. 28 Punto 11: .............................................................................................................................. 34 Punto 12: .............................................................................................................................. 38 Punto 13: .............................................................................................................................. 40 Punto 15: .............................................................................................................................. 42
Pgina 2 de 42
Ficha de Prcticas
Punto 1:
Consulta www.dnssec.net. Indica qu es. Dnssec es un sistema mediante el cual, las respuestas DNS de los servidores van firmadas mediante certificados. Evitando DNS Spoofing, pharming y otros ataques de falsificacin de nombres.
Punto 2:
Menciona qu es el pharming y footprinting y otros ataques conocidos sobre DNS. Pharming: Ataque que consiste en suplantar un sitio web, mediante otro exactamente igual pero ilegtimo, y redirigir hacia ste a una vctima modificando su cach DNS con una respuesta falsa a fin de apropiarse de datos privados. Footprinting: Hace referencia a la fase de reconocimiento antes de un ataque. En este paso se obtiene informacin sobre: 1. Rango de Red y sub-red (Network Range y subnet mask) 2. Acertar maquinas o computadoras activas 3. Puertos abiertos y las aplicaciones que estan corriendo en ellos 4. Detectar versiones de Sistemas Operativos 5. Nombres de Dominios (Domain Names) 6. Bloques de Red (Network Blocks) 7. Direcciones IP especficas 8. Pas y Ciudad donde se encuentran los Servidores 9. Informacin de Contacto (nmeros telefnicos, emails, etc.) 10. DNS records DNS Spoofing: Similar al ARP Spoofing, pero lo que se envenena mediante respuestas DNS falsas es la cach de la vctima.
Punto 3:
Mira el fichero /etc/hosts, fichero para la resolucin esttica de nombres (normalmente de la red local). Incluye una nueva lnea de la red local y prueba su funcionamiento con ping. Editamos el fichero y agregamos una lnea con el nombre que queremos asociar a la ip del equipo:
Pgina 3 de 42
Ficha de Prcticas
Hacemos ping al nombre que hemos asociado a la ip en el fichero /etc/hosts:
Punto 4:
Mira el /etc/resolv.conf, fichero que especifica los servidores DNS y los dominios de bsqueda. Cambia nameserver por un servidor DNS que conozcas y mediante host comprueba si funciona. Editamos el fichero y aadimos la ip del servidor cach DNS de google 8.8.4.4:
Hacemos ping a google.es para ver que todo funciona bien y el nombre se resuelve:
Pgina 4 de 42
Ficha de Prcticas
Punto 5:
Instalacin de un servidor DNS solo cache (no es autorizado para ninguna zona) y configuracin para que envie consultas recursivas en el equipo Ubuntuservidor de nuestra red. Se recomienda si necesitas informacin adicional consultar www.bind9.net. Comprueba con ps ef|grep named que el servidor se ha iniciado y con netstat ltun que escucha los puertos 53.
- Muestra los ficheros e indica qu contienen: - /etc/bind/named.conf - /etc/bind/named.conf.options - /etc/bind/named.conf.local - /etc/bind/named.conf.default-zones - /etc/bind/named.conf - /etc/bind/db.root - /etc/bind/db.local - /etc/bind/db.127 - /etc/bind/db.0 - /etc/bind/db.255
Lo primero que hacemos es instalar el servidor DNS en Linux, en nuestro caso bind9: Sudo apt-get install bind9 Por defecto, bind9 viene configurado como un servidor DNS cach, por lo que para hacerlo funcional, solo debemos indicar las direcciones ip de los servidores a los que redirigir las consultas efectuadas por los distintos clientes. Para ello editamos el fichero /etc/bind/named.conf.options y aadir en la zona de forwarders las ips de los DNS a las que se redirigirn las peticiones:
Pgina 5 de 42
Ficha de Prcticas
Reiniciamos el servicio y comprobamos que est en ejecucin, y a la escucha, tanto por tcp como por udp:
Contenido del fichero /etc/bind/named.conf: Se trata del archivo principal de configuracin del servidor DNS. Aqu no se configura nada relacionado con las zonas, dominios y nombres. Solo contiene las diferentes referencias indicando donde puede encontrar bind9 sus diferentes ficheros de configuracin:
Contenido del fichero /etc/bind/named.conf.options Aqu se definen las opciones genricas del servidor. Como el tipo de servidor y las direcciones ip de los reenviadores:
Pgina 6 de 42
Ficha de Prcticas
Contenido del fichero /etc/bind/named.conf.local En este archivo se indican los diferentes ficheros que contienen las bases de datos con los registros de las diferentes zonas de nuestro servidor DNS. Por ejemplo, para aadir una zona directa llamada iespjm.com aadiramos algo similar a esto:
zone "iespjm.com" { type master; file "/etc/bind/db.iespjm.com"; };
En estos momentos, como nuestro servidor est configurado como cach, no tiene ningn tipo de zona, y el fichero aparece vaco:
El fichero /etc/bind/named.conf.default-zones Como el fichero named.conf.local, pero contiene las referencias a los ficheros de registros DNS para la zona localhost e inversa de localhost.
Pgina 7 de 42
Ficha de Prcticas
Contenido del fichero /etc/bind/db.root Contiene los glue record hacia las trece diferentes
delegaciones del raz (.) en internet.
Contenido del fichero /etc/bind/db.local Este fichero contiene la base de datos de registros DNS para la zona localhost o loopback.
Pgina 8 de 42
Ficha de Prcticas
Contenido del fichero /etc/bind/db.127 Este fichero contiene los datos de resolucin inversa para localhost o loopback. Es decir, es la zona inversa del fichero db.local.
Contenido del fichero /etc/bind/db.0 Segn la imagen, este fichero contiene datos referentes a la zona inversa de multidifusin.
Ya por ltimo, el fichero /etc/bind/db.255 que segn la imagen, contiene exactamente lo mismo que db.0 Es decir, datos referentes a la zona inversa para multidifusin:
Pgina 9 de 42
Ficha de Prcticas
Para que el servidor pueda iniciar consultas recursivas tiene que conocer cules son los servidores DNS raz, consulta el fichero /etc/bind/db.root Efectivamente, como se ha visto en una imagen anterior, el fichero /etc/bind/db.root contiene los glue records a los diferentes servidores DNS raz. Inicia sesin en ubuntucliente y configura el resolver para que use como servidor DNS el instalado previamente. Editamos el fichero /etc/resolv.conf y aadimos la ip de nuestro servidor DNS:
Usa el comando dig para preguntar por un nombre de dominio. Vuelve a hacer la operacin para comprobar que el tiempo de respuesta es mucho menor dado que ya lo tena en la cach. Y ejecuta otra vez dicho comando. Probamos con el dominio www.hotmail.com, mediante dig www.hotmail.com Este comando como ya sabemos nos devuelve las diferentes ip asociadas al dominio. Solo nos quedaremos con los tiempos de respuesta. Primera consulta:
Segunda consulta:
Observamos como de 372 milisegundos, ha pasado a 1 milisegundo al encontrarse ya el registro almacenado en la cach de nuestro servidor DNS.
Pgina 10 de 42
Ficha de Prcticas
En el servidor DNS edita named.conf.options para poner como reenviador o forwaders el del instituto En primer lugar hacemos dig t NS informtica-politecnico.com para ver los registros DNS asociados al dominio del instituto, vemos que son dos:
Cogemos uno de ellos y consultamos su ip mediante dig t A dns1.servidoresdns.net
Y por ltimo lo ponemos como reenviador de nuestro servidor DNS:
Reinicia el servidor
Comprueba el fichero de logs del sistema y verifica que no ha habido fallos al arrancar: sudo tail /var/log/syslog
Salvo en la lnea resaltada en rojo, no hay ningn error que imposibilite nuestro servidor DNS para las funciones que estamos realizando hasta el momento. Tras investigar por internet, el fichero managed-keys.bind hace referencia a las llaves y certificados usados por dnssec, que por defecto en el servidor viene deshabilitado. Por lo que por el momento no nos resulta relevante.
Pgina 11 de 42
Ficha de Prcticas
Punto 6:
Configura un servidor de dominio como primario(maestro) para una zona directa e inversa con las siguientes caractersticas:
La red del aula tendr las direcciones 10.33.1.0/24 El dominio se llamar asir.net No se permiten actualizaciones dinmicas El servidor DNS maestro se llama ubuntuservidor.asir.net Aade como equipos todos los del esquema de red (A) Aade como ALIAS (CNAME) ns1.asir.net alias de ubuntuservidor.asir.net www.asir.net alias de ubuntuservidor.asir.net ftp.asir.net alias de w2003.asir.net mail.asir.net alias de w2003.asir.net(MX) El tiempo de cach de las respuestas negativas ser de 3 horas.
Lo primero que hacemos es editar /etc/bind/named.conf.local y aadir las referencias a los ficheros que contendrn los registros de nuestro domingo, tanto directos, como indirectos: (Los ficheros se crearn despus). Adems se deshabilitan las actualizaciones dinmicas.
En la primera zona asir.net referenciamos al fichero que contendr los registros para la zona directa de nuestro dominio. En la segunda zona 1.33.10.in-addr.arpa referenciamos al fichero que contendr los registros para la zona indirecta de nuestro dominio. Enlaces de inters hasta el momento: http://www.internetlab.es/post/793/como-desactivar-las-actualizaciones-dinamicas-enbind-dns/ Pgina 12 de 42
Ficha de Prcticas
Para la prctica utilizaremos el siguiente laboratorio de red: (No encuentro el esquema A por ningn lado).
Crea el fichero db.asir.net dentro de /etc/bind/ y aade las directivas necesarias para cumplir con los requisitos de la prctica. Cuestiones a saber : El carcter @ equivale al nombre de zona(en nuestro caso asir.net) definido en named.conf.local El punto al final se ha de poner en todos los nombres que se escriban con el dominio completo, los que no lo lleven se les aadir el nombre de la zona. Comprueba o chequea posibles errores de sintaxis con el comando named-checkconf named.conf Comprueba el archivo de zona con named-checkzone air.net /etc/bind/db.asir.net Reinicia el servidor y consulta en el syslog los posibles fallos provocados al arrancar. Pon ejemplos de comandos nslookup y dig para comprobar que tu servidor DNS resuelve consultas directas sobre los nombres de la zona asir.net. Comprueba adems que si usas un nombre sin puntos se completa con el sufijo asir.net
Pgina 13 de 42
Ficha de Prcticas
Ahora procedemos a la creacin del fichero que contendr la configuracin y registros para nuestra zona directa en el dominio asir.net. Siguiendo las pautas indicadas en el enunciado de la prctica, quedara as:
Chequeamos que nuestro fichero db.asir.net est correctamente escrito:
Una vez creado el fichero de la zona directa, procedemos a crear el de la zona inversa:
Pgina 14 de 42
Ficha de Prcticas
Como en el punto anterior, chequeamos nuestro fichero de zona inversa:
Adems, el comando named-checkconf named.conf no devuelve errores:
Configura los equipos de la red para que usen el servidor DNS instalado y aadan el sufijo asir.net a los nombres de dominio no FQDN. En concreto, desde tu equipo ubuntucliente consulta el fichero /etc/resolv.conf y observa que se ha creado una directiva search para el ese dominio. Como estamos utilizando un servidor DHCP en nuestro laboratorio, configuramos directamente el servidor DHCP para que asigne como nombre de dominio asir.net a los clientes dhcp:
Reiniciamos el servidor:
Pgina 15 de 42
Ficha de Prcticas
Verificamos la cola de /var/log/syslog y vemos que no hay errores, salvo el relacionado con las llaves y certificados de dnssec:
Nota: Nuestro Servidor DNS se llama ubuntuNAT en el prompt, porque es una copia de la mquina inicial. Le cambiamos el nombre para evitar confusiones con las capturas y pasamos a llamarla ubuntuDNS de aqu en adelante. Comprobamos el fichero /etc/resolv.conf de nuestro cliente Ubuntu:
Comprobaciones de funcionamiento del servidor DNS: Ejecucin del comando dig pcwindows.asir.net desde el cliente Ubuntu: OK
Pgina 16 de 42
Ficha de Prcticas
Ejecucin de nslookup pcubuntu.asir.net desde cliente Windows: OK
Ejecucin de host pcwindows sin subfijo .asir.net: OK
Ejecucin de nslookup pcubuntu sin prefijo asir.net: OK
Chequeando el funcionamiento de la zona inversa: Ejecucin comando dig x 10.33.1.53, resultado: OK
Pgina 17 de 42
Ficha de Prcticas
Ejecucin del comando nslookup 10.33.1.52, resultado: OK
Punto 7:
Configura el equipo ubuntucliente para que sea secundario o esclavo para una zona de resolucin directa e inversa. Usa el alias ns2.asir.net para referirse a ubuntucliente.asir.net.
Lo primero que vamos a hacer, es indicar en el servidor maestro, que desde este momento, la mquina Ubuntu cliente ser su esclavo. Para ello editamos el fichero de la zona directa db.asir.net del maestro y aadimos un registro NS nuevo y un alias para referenciar a la mquina pcubuntu que ser el dns esclavo. De esta manera indicamos al servidor maestro, que existe otro servidor DNS en la zona:
Pgina 18 de 42
Ficha de Prcticas
Ahora hacemos lo mismo en el archivo de la zona de inversa del maestro:
Ahora en el fichero /etc/bind/named.conf.local del esclavo indicamos que ser esclavo para las zonas asir.net y su zona inversa 1.33.10.in-addr.arpa, adems de indicar la ip del servidor que har de maestro:
Pgina 19 de 42
Ficha de Prcticas
Por ltimo, para que nuestros servidores DNS se mantengan sincronizados, aadimos la siguiente lnea en el fichero /etc/bind/named.conf.local del maestro para las dos zonas:
MUY IMPORTANTE: El servidor DNS esclavo, no guarda los registro proporcionados por las actualizaciones del maestro en el directorio /etc/bind, lo guarda en /var/cache/bind/ tal y como se puede observar en la captura.
Vemos que el proceso de actualizacin fue correcto. Pgina 20 de 42
Ficha de Prcticas
De todas formas, tambin es posible consultar /var/log/syslog y comprobar que las actualizaciones se estn llevando a cabo correctamente:
Enlaces tiles: http://linuxsilo.net/articles/bind.html http://man-es.debianchile.org/bind.html http://www.linuxparatodos.net/portal/staticpages/index.php?page=como-dns
Punto 8:
Crea en ubuntuservidor una nueva zona para el subdominio llamado sri.asir.net. El tiempo en que los registros de la zona se mantendrn en la cache de los clientes ser de 2 das, y el tiempo de las respuestas negativas de la zona ser de 3 horas
En primer lugar, al fichero /etc/bind/named.conf.local aadimos la referencia al nuevo subdominio:
Pgina 21 de 42
Ficha de Prcticas
Por ltimo, creamos el fichero que contendr los registros para el subdominio que acabamos de crear en /etc/bind/db.sri.asir.net: y pondremos al equipo ubuntuNAT en este subdominio tras eliminar su registro del dominio asir.net y modificar el fichero de zona indirecta. Modificaciones en el fichero de zona indirecta:
Ahora creamos el fichero para el nuevo subdominio y aadimos la mquina ubuntunat:
Nota: Es importante indicar en este nuevo fichero, el registro para el servidor dns mediante su FQLN.
Pgina 22 de 42
Ficha de Prcticas
Ahora hacemos dig ubuntunat.sri.asir.net desde Ubuntu cliente y comprobamos que funciona bien:
Aqu podramos poner todos los equipos que quisisemos que pertenecieran a este subdominio. Esto es til a nivel organizativo, como por ejemplo: PcAntonio.contabilidad.empresa.com PcManolo.empresa.com PcPepe.logistica.empresa.com
Punto 9:
Configura el servidor DNS para que delegue la autoridad del subdominio fct.asir.net en un nuevo servidor DNS ns1.fct.asir.net con IP ficticia 10.33.1.40. Opcionalmente, hazlo sobre una nueva mquina virtual.
En nuestro caso vamos a crear una mquina virtual nueva que har de servidor subdelegado y tendr la ip esttica 10.33.1.4. Adems aadiremos un nuevo cliente Ubuntu llamado Ubuntudesktop.fct.asir.net. en la zona de subdelegacin:
Pgina 23 de 42
Ficha de Prcticas
Lo primero, ser declarar y asociar la nueva zona a un fichero, editando /etc/bind/named.conf.local. Hay que tener en cuenta que nuestro servidor delegado es maestro para la zona que le ha sido delegada:
Ahora creamos el fichero /etc/bind/db.fct.asir.net y aadimos el registro NS que apunta al propio servidor DNS para la zona, y el equipo ubuntudesktop como registro A:
Pgina 24 de 42
Ficha de Prcticas
Ahora toca el fichero de la zona inversa:
Configuramos los reenviadores, que en este caso, ser la ip del servidor padre:
Pgina 25 de 42
Ficha de Prcticas
Ahora nos vamos al servidor padre, y aadimos las dos lneas que componen el glue record:
ca En la primera lnea estamos indicando que para el subdominio fct.asir.net. el servidor dns ser dlegado.fct.asir.net. En la segunda lnea del glue record asociamos la ip del servidor al nombre que se le dio en el primer registro. Reiniciamos tanto el servidor para la zona asir.net como el servidor delegado para la zona fct.asir.net y probamos que todo funciona: ANCDOTA DE LA PRCTICA: Al parecer el nombre ubuntudesktop.fct.asir.net ya existe, y al hacer ping a la mquina, los servidores dns cach de google nos devuelven como ip asociada la 64.95.64.195
Pgina 26 de 42
Ficha de Prcticas
Cambiamos el nombre por ubuntu2 y probamos el ping desde pcubuntu a ubuntu2.fct.asir.net y comprobamos que funciona:
Captura de la ejecucin de Dig ubuntu2.fct.asir.net:
Observemos un momento la ejecucin del comando. En l, en la parte resaltada en azul, podemos ver la ip del servidor principal a la que se mand la consulta. Adems, si nos fijamos, en la zona resaltada en rojo, nos indica la autoridad delegada a la que el servidor principal reenvi la consulta por ser la propietaria de la delegacin.
Pgina 27 de 42
Ficha de Prcticas
Punto 10:
Habilita las actualizaciones dinmicas en el servidor DNS por parte del servidor DHCP.
En este punto, es importante el fichero /etc/bind/rndc.key, ya que contiene la llave que se intercambiar con el servidor DHCP para las actualizaciones dinmicas:
Adems, el servidor dhcp debe estar instalado en la misma mquina que el servidor DNS. Una vez hecho esto, debemos ser muy metdicos en los siguientes pasos ya que si no configuramos los permisos de forma adecuada, se producirn errores. Primero, aadimos al usuario dhcpd al grupo bind para que pueda acceder sin problemas:
Y aadimos la zona resaltada en roja en /etc/apparmor.d/usr.sbin.dhcpd para permitir el acceso al contenido de la carpeta /etc/bind al demonio de dhcpd:
Pgina 28 de 42
Ficha de Prcticas
Si no realizamos correctamente los pasos anteriores, al iniciar el servidor dhcpd nos dar el error de que no puede abrir /etc/bind/rndc.key por no tener permisos.
Ahora editamos /etc/named.conf para configurar el uso de la llave indicada antes:
La zona resaltada en rojo es el nuevo cdigo que hemos aadido. En l se especifica la ip del servidor dhcp de nuestro laboratorio de red y que se usar la llave rndc para firmar los intercambios para la actualizacin dinmica. Ahora editamos /etc/bind/named.conf.local y para cada zona, indicamos el tipo de actualizacin con la lnea allow-update, donde indicamos que se har mediante la llave rndc-key. Lo hacemos tanto para la zona directa como la indirecta:
Pgina 29 de 42
Ficha de Prcticas
Ahora editamos /etc/dhcp/dhcpd.conf y dejamos la configuracin de nuestro servidor dhcpd de la siguiente forma, para indicar que se actualice dinmicamente con el servidor DNS para cada zona:
Ahora detenemos los servidores y borramos las concesiones que pudiesen haberse concedido hasta ahora:
Ahora configuramos un cliente aadiendo la siguiente lnea a /etc/dhcp3/dhclient.conf para que el cliente enve el nombre ubuntupruebaddns al servidor dhcp y este se sincronice con el servidor DNS para aadir el registro A correspondiente:
Pgina 30 de 42
Ficha de Prcticas
Comenzamos la pruebas. Arrancamos un cliente (ubuntupruebaddns) y ejecutamos dhclient para que solicite una ip a nuestro servidor:
Nota: Tras un error continuo que se produca una y otra vez a la hora de crear los ficheros .jnl, he descubierto que se trata de un bug ocasionado por un conflicto entre appArmor y el usuario del demonio dhcpd. Para que todo funcione sin problemas, he deshabilitado el arranque de appArmor en el inicio del sistema mediante update rc.d f apparmor remove Para volver a habilitarlo: update rc.d apparmor defaults Enlaces relacionados con el error: (En muchos casos por permisos, no nuestro caso) http://proyectofedora.org/wiki/DDNS_con_el_servidor_DHCP_dhcpd http://www.debianadmin.com/howto-setup-dhcp-server-and-dynamic-dns-with-bind-indebian.html http://ubuntuforums.org/showthread.php?t=1198162 http://www.debianadministration.org/article/Configuring_Dynamic_DNS__DHCP_on_Debian_Stable http://gomix.fedora-ve.org/projects/fedobetatest/wiki/ISC_DHCPD Solucin al problema: https://bugs.launchpad.net/ubuntu/+source/bind9/+bug/600106 http://www.humbug.in/docs/ubuntu-server-guide-es-10.04/apparmor.html
Pgina 31 de 42
Ficha de Prcticas
Ahora comprobamos que se ha aadido el puntero en nuestro servidor:
Si analizamos las lneas de la imagen, vemos que el servidor dhcp oferta la ip. Una vez ofertada la ip al cliente, el servidor dhcp se identifica al servidor dns mediante la llave, que es aprobada. Justo despus, comienza el proceso de actualizar las zonas y enviar las notificaciones a los esclavos (hay uno activo en este momento, el del punto anterior) cambiando el serial a 3. Despus se cran los fichero .jnl que contienen los registros dns viajeros es decir, que no son estticos, sino dinmicos y cambiarn con el tiempo. Lo hace tanto para la zona inversa como para la directa. Por ltimo, tras realizar todas las actualizaciones dinmicas en el servidor DNS, el servidor dhcp enva el DHCPACK al cliente para confirmarle la ip. Vemos como se han creado los ficheros .jnl:
Pgina 32 de 42
Ficha de Prcticas
Si hacemos cat a uno de los ficheros .jnl comprobamos el registro aadido, aunque no en lenguaje legible:
Vemos adems, que tambin realiza cambios en los ficheros directos e inverso, si hacemos cat a db.asir.net, nos encontramos con varias modificaciones:
En resumen, una vez habilitado el DDNS, ser el servidor dhcp y bind quienes se encarguen de mantener actualizados los ficheros de zona.
Pgina 33 de 42
Ficha de Prcticas
Punto 11:
Utiliza la herramienta webmin. Utilzala para configurar tu servidor DNS maestro de una nueva zona. Indica los pasos y opciones empleadas.
Para crear una nueva zona de la que nuestro servidor sea el maestro, hacemos clic en Create master zone:
Como vemos, todas las opciones estn disponibles en modo grfico, hasta podemos usar un fichero de zona ya creado. Como en nuestro caso, haremos uno nuevo, clic en Create.
Pgina 34 de 42
Ficha de Prcticas
Una vez creada, nuestra nueva zona, aparecer en la interface grfica de webmin:
En la siguiente ventana, podremos aadir los diferentes registros a nuestra zona. Como hemos marcado en la ventana anterior Add reverses for template addresses, los registros que creemos ahora, sern aadidos de forma automtica a la zona inversa. Adems, como en la ventana anterior tambin especificamos que crease el registro NS para el servidor, este ya se aadido y aparece creado.
Hacemos clic en Address con el icono del pc para aadir un registro tipo A:
Pgina 35 de 42
Ficha de Prcticas
En nuestro caso aadiremos la mquina que hace de NAT, tambin indicamos que nos cree directamente el puntero en la zona inversa. Hacemos clic en Create. Aplicamos los cambios realizados hasta ahora (reiniciar el servidor desde el propio webmin):
Probamos que todo funciona bien haciendo ping al nombre de registro que acabamos de crear:
Para aadir un reenviador, podemos hacerlo desde esta opcin:
Pgina 36 de 42
Ficha de Prcticas
Aadimos la ip o ips de los reenviadores que deseamos aadir,
reiniciamos el servicio y listo, ya tenemos nuestros reenviadores configurados. Los probamos haciendo dig a facebook:
Ya lo tendramos listo, solo tendramos que aadir los registros que quisisemos (A,MX,CNAME, etc) o incluso delegar subdominios, todo con simples clics
Pgina 37 de 42
Ficha de Prcticas
Por ejemplo, para asignar un esclavo, delegar zonas, etc.
Conclusiones: Una vez se domina la configuracin en modo consola de bind9, resulta ms cmoda y proporciona mayor control sobre nuestro servidor que las interfaces grficas.
Punto 12:
Instalacin de la herramienta gadmin-bind. Emplala para hacer una modificacin en el servidor anterior.
Lo primero es instalarlo mediante apt-get install gadmin-bind. Una vez instalado comprobamos que como webmin, nos proporciona las mismas opciones desde otra interface grfica diferente: Vista general de gadmin-bind:
Pgina 38 de 42
Ficha de Prcticas
Lo primero que comprobamos al iniciar gadmin-bind, es que intenta buscar los ficheros de zona en /var/named, es decir, el directorio de versiones ya obsoletas de bind9. Le decimos que las cree all para hacer las pruebas de la prctica: Creamos la zona de dominio de nombre prueba.com:
Pgina 39 de 42
Ficha de Prcticas
Despus aadimos el registro NS del propio servidor DNS y por ltimo un par de registros tipo A para un par de equipos. Tras indagar un poco ms, gadmin-bind no tiene mucho que aportar. En su interface grfica solo podemos crear zonas maestras o esclavas. No nos permite gestionar delegaciones, adems de no darnos control sobre la zona inversa (la gestiona el mismo). De las dos opciones de configuracin grfica disponibles, webmin es la mejor opcin.
Punto 13:
Herramientas de consulta DNS, por ejemplo, indica con nslookup cul es el servidor DNS autorizado para el dominio google.com(nslookup, >server 8.8.8.8 >set type=NS >google.com) o bien, cul es el nombre asociado a la direccin 8.8.4.4(dig x 8.8.4.4), consulta el nombre asociado a una direccin, obtn la direccin IP de www.google.com, consulta el servidor DNS autorizado, consulta el SOA del dominio xx, obten el nombre y la IP del servidor de correo del domino asir.net o wikipedia.org, etc. Pon 3 ejemplos diferentes para dig, nslookup y host(del paquete bind9-host). Puede que tengas que instalar el paquete dnsutils que incluye el programa dig.
Consultando el servidor DNS autorizado para google.com con nslookup:
Pgina 40 de 42
Ficha de Prcticas
Consulta inversa con dig x 8.8.8.8:
Obteniendo la ip de google:
Registro SOA de google.es:
Pgina 41 de 42
Ficha de Prcticas
Registro de servidor de correo de wikipedia.es:
Punto 15:
EXTRA. Consulta la documentacin de BIND para configurar los servidores instalados en ubuntuservidor y en ubuntucliente para que slo respondan a consultas recursivas de los equipos de la red virtual 10.33.1.0/24.
Tras investigar por internet y consultar documentacin sobre bind9, averiguamos que para configurar nuestro servidor DNS para que solo responda a consultas recursivas a host pertenecientes a la red 10.33.1.0/24, debemos aadir a /etc/named.conf.options la zona resaltada en roja:
De esta forma permitimos realizar consultas recursivas tanto al propio servidor, como a cualquier cliente con una ip dentro del rango especificado.
Pgina 42 de 42

Dnslinux PDF

Hochgeladen von

Dokumentinformationen

Originaltitel

Copyright

Verfügbare Formate

Dieses Dokument teilen

Dokument teilen oder einbetten

Freigabeoptionen

Stufen Sie dieses Dokument als nützlich ein?

Sind diese Inhalte unangemessen?

Copyright:

Verfügbare Formate

Dnslinux PDF

Hochgeladen von

Copyright:

Verfügbare Formate

Servidor DNS en linux

Gabriel Snchez Espaa, Grupo S22

Hacemos ping al nombre que hemos asociado a la ip en el fichero /etc/hosts:

Cogemos uno de ellos y consultamos su ip mediante dig t A dns1.servidoresdns.net

Y por ltimo lo ponemos como reenviador de nuestro servidor DNS:

Chequeamos que nuestro fichero db.asir.net est correctamente escrito:

Como en el punto anterior, chequeamos nuestro fichero de zona inversa:

Adems, el comando named-checkconf named.conf no devuelve errores:

Ejecucin de nslookup pcubuntu.asir.net desde cliente Windows: OK

Ejecucin de host pcwindows sin subfijo .asir.net: OK

Ejecucin de nslookup pcubuntu sin prefijo asir.net: OK

Chequeando el funcionamiento de la zona inversa: Ejecucin comando dig x 10.33.1.53, resultado: OK

Ejecucin del comando nslookup 10.33.1.52, resultado: OK

Ahora hacemos lo mismo en el archivo de la zona de inversa del maestro:

Vemos que el proceso de actualizacin fue correcto. Pgina 20 de 42

Enlaces tiles: http://linuxsilo.net/articles/bind.html http://man-es.debianchile.org/bind.html http://www.linuxparatodos.net/portal/staticpages/index.php?page=como-dns

En primer lugar, al fichero /etc/bind/named.conf.local aadimos la referencia al nuevo subdominio:

Ahora creamos el fichero para el nuevo subdominio y aadimos la mquina ubuntunat:

Ahora toca el fichero de la zona inversa:

Captura de la ejecucin de Dig ubuntu2.fct.asir.net:

Ahora editamos /etc/named.conf para configurar el uso de la llave indicada antes:

Ahora comprobamos que se ha aadido el puntero en nuestro servidor:

Para aadir un reenviador, podemos hacerlo desde esta opcin:

Aadimos la ip o ips de los reenviadores que deseamos aadir,

Por ejemplo, para asignar un esclavo, delegar zonas, etc.

Consultando el servidor DNS autorizado para google.com con nslookup:

Consulta inversa con dig x 8.8.8.8:

Registro SOA de google.es:

Registro de servidor de correo de wikipedia.es:

Das könnte Ihnen auch gefallen