15/6/2016

[manes]ConfiguracindelservidorDNSenDebian(BIND)

Con guracin del servidor DNS en Debian

Inicio[1]
ltima actualizacin: 13 de octubre, 2012

Tabla de Contenido
Introduccin
Berkeley Internet Name Domain (BIND) es una implementacin del protocolo Domain Name
System (DNS), ampliamente usado para resolver nombres y nmeros IP en Internet.
Si el computador est permanentemente conectado a Internet, puede resultar ventajoso
instalar BIND para mantener una tabla local con todos los nombres que resuelve el DNS
autoritativo de la red.
Ingresa a root, por ejemplo, corriendo un "Terminal de <Root>" en el men
"Aplicaciones/Accesorios" o, en el mismo men, un "Terminal" y luego el comando su (super
user).

Con guracin de un DNS local

Instala el paquete bind9,
# apt-get install bind9

Desinstala el paquete resolvconf, si es que est instalado,

# apt-get --purge remove resolvconf

Edita /etc/resolv.conf y modifcalo para que lea,

nameserver 127.0.0.1

Reinicia el daemon de BIND (named) con,

http://manes.debianchile.org/bind.html

1/8

15/6/2016

[manes]ConfiguracindelservidorDNSenDebian(BIND)

# /etc/init.d/bind9 restart

Lo que hemos hecho es transformar a localhost (127.0.0.1) en el servidor de nombres, que a

travs de BIND hace requerimientos a los DNS de la red.
Para ver el servidor DNS local en accin da el comando,
$ dig www.debian.org

Retornar a la pantalla la consulta al DNS autoritativo del dominio debian.org,

$ dig www.debian.org
; <<>> DiG 9.7.2-P3 <<>> www.debian.org
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 47296
;; flags: qr rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 0, ADDITIONAL: 0
;; QUESTION SECTION:
;www.debian.org.

IN

;; ANSWER SECTION:
www.debian.org.

300

IN

128.31.0.51

www.debian.org.

300

IN

206.12.19.7

;; Query time: 804 msec

;; SERVER: 127.0.0.1#53(127.0.0.1)
;; WHEN: Sun Mar 20 09:37:36 2011
;; MSG SIZE

rcvd: 158

La primera consulta tard 804 milisegundos (Query time). Repetir el mismo requerimiento
ser prcticamente instantneo. El servidor ahora consulta su propia tabla, en dnde existe
guardada una entrada con la informacin sobre www.debian.org,
$ dig www.debian.org
; <<>> DiG 9.7.2-P3 <<>> www.debian.org
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 35228
;; flags: qr rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 0, ADDITIONAL: 0
;; QUESTION SECTION:
;www.debian.org.
http://manes.debianchile.org/bind.html

IN

A
2/8

15/6/2016

[manes]ConfiguracindelservidorDNSenDebian(BIND)

;; ANSWER SECTION:
www.debian.org.

299

IN

128.31.0.51

www.debian.org.

299

IN

206.12.19.7

;; Query time: 15 msec

;; SERVER: 127.0.0.1#53(127.0.0.1)
;; WHEN: Sun Mar 20 09:41:49 2011
;; MSG SIZE

rcvd: 64

Deshabilitar el DNS asignado por el ISP

Muchos ISP usan DHCP para asignar parmetros de red a los computadores clientes del
servicio. Por omisin, el cliente DHCP reescribe /etc/resolv.conf con el DNS asignado por la red
cada vez que se reinicia. Para deshabilitar la reescritura de /etc/resolv.conf, edita el archivo de
con guracin del cliente DHCP, generalmente /etc/dhcp/dhclient.conf y comenta del
instructivo request las opciones domain-name, domain-name-servers y domain-search,
request subnet-mask, broadcast-address, time-offset, routers,
#

domain-name, domain-name-servers, domain-search,

host-name, netbios-name-servers, netbios-scope, interface-mtu,
rfc3442-classless-static-routes, ntp-servers;

Cuando el cliente DHCP se reinicie no solicitar al servidor DHCP de la red los parmetros
pertinentes a DNS, dejando intacto /etc/resolv.conf.
Si la red utiliza PPPoE para establecer la conexin, edita /etc/ppp/peers/dsl-provider y comenta
el instructivo usepeerdns.

Habilitar el DNS asignado por el ISP

Para usar los DNS asignados por el ISP, edita el archivo /etc/bind/named.conf.options,
# nano /etc/bind/named.conf.options

para que lea,

options {
directory "/var/cache/bind";
// If there is a firewall between you and nameservers you want
// to talk to, you may need to fix the firewall to allow multiple
// ports to talk.
http://manes.debianchile.org/bind.html

See http://www.kb.cert.org/vuls/id/800113
3/8

15/6/2016

[manes]ConfiguracindelservidorDNSenDebian(BIND)

// If your ISP provided one or more IP addresses for stable

// nameservers, you probably want to use them as forwarders.
// Uncomment the following block, and insert the addresses replacing
// the all-0's placeholder.
forwarders {
100.10.0.3;
100.10.0.7;
};
auth-nxdomain no;

# conform to RFC1035

listen-on-v6 { any; };
};

En forwarders van los nmeros IP de los servidores de nombre (DNS) de la red, los mismos del
archivo /etc/resolv.conf original indicados en el instructivo nameserver.
El DNS ahora consulta los DNS indicados en forwarders y mantiene una tabla local.

Con guracin de un DNS primario

La con guracin avanzada de BIND aqu presentada es apta para un servidor Debian con
nmero IP esttico y conectado permanentemente a Internet.
Para de nir un nuevo dominio y hacer que el servidor acte como su DNS autoritativo,
necesitas primero haber comprado un dominio en un registro de nombres de dominio (NIC),
por ejemplo en NIC Chile[2]1, y de nir el servidor de nombres primario del nuevo dominio
con el nmero IP y FQDN del servidor BIND.
Vamos a usar de ejemplo el dominio cticio.cl.
Edita /etc/bind/named.conf.local y agrega al nal del archivo,
zone "ficticio.cl" {
type master;
file "/etc/bind/db.ficticio.cl";
allow-transfer { none; };
allow-query { any; };
};

Crea el archivo /etc/bind/db. cticio.cl y agrega,

http://manes.debianchile.org/bind.html

4/8

15/6/2016

[manes]ConfiguracindelservidorDNSenDebian(BIND)

;
; archivo BIND para zona ficticio.cl
;
$TTL

604800

IN

SOA

ficticio.cl. hostmaster.ficticio.cl. (

; Serial
1200

; Refresh

300

; Retry

2419200

; Expire

1200 )

; Negative Cache TTL

ficticio.cl.

IN

NS

ns1.ficticio.cl.

ficticio.cl.

IN

NS

ns2.ficticio.cl.

ficticio.cl.

IN

MX

1 mx1.ficticio.cl.

ficticio.cl.

IN

MX

2 mx2.ficticio.cl.

localhost

IN

127.0.0.1

ficticio.cl.

IN

100.10.10.10

ns1

IN

100.10.10.10

ns2

IN

100.10.20.20

mx1

IN

100.10.10.10

mx2

IN

100.10.20.20

www

IN

100.10.10.10

smtp

IN

100.10.10.11

El instructivo TTL (Time To Live) indica la validez (en segundos) de la consulta, tras la cual
deber ejecutarse una actualizacin. 604800 segundos equivalen a una semana.
El nmero Serial debera incrementarse cada vez que se modi ca la zona. El campo Refresh
indica el intervalo de tiempo que los DNS secundarios deben refrescar la informacin del
archivo de zona si han habido cambios (20 munutos). Retry indica el intervalo de tiempo que
los DNS secundarios deben reintentar actualizar la informacin si el DNS primario no
responde (5 minutos). Expire indica el tiempo que el DNS secundario expira como servidor de
nombres de la zona en caso el DNS primario no responda a requerimiento de actualizacin (4
semanas). Negative Cache TTL indica el TTL en caso de una consulta con respuesta negativa
(20 minutos).
Modi ca todas las ocurrencias de cticio.cl por el dominio pertinente. Todas ellas deben
terminar con un punto. ns1 debe llevar el nmero IP del DNS primario, es decir, el servidor
BIND. ns2 de ne el DNS secundario. Puede ser el mismo servidor BIND, otro, o el que habilita
el registro de nombres de dominio, generalmente en forma gratuita, por ejemplo,
http://manes.debianchile.org/bind.html

5/8

15/6/2016

[manes]ConfiguracindelservidorDNSenDebian(BIND)

secundario.nic.cl. mx1 y mx2 son los registros MX (Mail eXchanger) e indican el destino del

correo eletrnico del dominio (@ cticio.cl), segn la prioridad indicada por los nmeros que
preceden el nombre. En principio, es necesario solo un registro MX. El MTA[3] de todo
servidor MX debe aceptar correo-e a nombre del dominio.
En este ejemplo, cticio.cl y www. cticio.cl apuntan al mismo nmero IP. Esto no debe
necesariamente ser as.
Si tienes un cortafuego[4], habilita el puerto 53 UDP y TCP hacia requerimientos por la
interfase que va a servir BIND.
Reinicia named con,
# /etc/init.d/bind9 restart

Con guracin de un DNS secundario

El DNS primario debe apuntar ns2 al servidor BIND que va a actuar de DNS secundario.
Edita named.conf.local en el DNS primario y modi ca el instructivo allow-transfer de la zona,
zone "ficticio.cl" {
type master;
file "/etc/bind/db.ficticio.cl";
allow-query { any; };
allow-transfer { 100.10.20.20; };
};

en donde allow-transfer debe llevar el nmero IP del servidor DNS secundario indicado en el
archivo de zona.
Edita named.conf.local en el DNS secundario y agrega al nal del archivo,
zone "ficticio.cl" {
type slave;
file "/etc/bind/db.ficticio.cl";
allow-query { any; };
masters { 100.10.10.10; };
};

en donde masters debe llevar el nmero IP del servidor DNS primario indicado en el archivo
de zona.

http://manes.debianchile.org/bind.html

6/8

15/6/2016

[manes]ConfiguracindelservidorDNSenDebian(BIND)

Si tienes un cortafuego[5], habilita el puerto 53 UDP y TCP hacia requerimientos por la

interfase que va a servir BIND.
El usuario de sistema bind en el DNS secundario necesita permisos para modi car archivos en
el directorio /etc/bind,
# chmod g+ws /etc/bind

Reinicia named con,

# /etc/init.d/bind9 restart

Reinicia named en el servidor DNS primario tambin. El DNS primario enviar un

requerimiento de actualizacin al DNS secundario y ste crear una copia exacta del archivo
de zona /etc/bind/db. cticio.cl.

Copyright 2002-2012 Ricardo Yanez[6]

[1] - http://www.nic.cl[7]
This document was generated using AFT v5.097[8]

Links
1. http://man-es.debianchile.org/index.html
2. http://www.nic.cl/
3. http://man-es.debianchile.org/exim.html
4. http://man-es.debianchile.org/cortafuego.html
5. http://man-es.debianchile.org/cortafuego.html
6. http://www.calel.org/
7. http://www.nic.cl/
8. http://www.maple sh.com/todd/aft.html

Consigue una cuenta gratuita de Evernote para guardar

este artculo y verlo ms tarde desde cualquier
http://manes.debianchile.org/bind.html

7/8

15/6/2016

[manes]ConfiguracindelservidorDNSenDebian(BIND)

dispositivo.
Crear cuenta

http://manes.debianchile.org/bind.html

8/8