ADMINISTRACION DE SERVIDORES LINUX ENTERPRISE

SERVIDOR DE RESOLUCION DE NOMBRES DNS - BIND

Instructor: Pedro Vargas E-Mail: pedrovar@gmail.com

SERVIDOR DE RESOLUCION DNS

TOPICOS CLASE 3: SERVIDOR DE RESOLUCION DE NOMBRES DNS Introduccin a DNS-BIND Instalacin de paquetes necesarios. Configuracin inicial del servicio. Creacin de las zonas del dominio: named.conf Creacin de los archivos de resolucin de nombres por zona. Configuracin de Mail y VirtualHost Comprobacin del servicio DNS y servicio de red local. Solucin de problemas frecuentes.

SERVIDOR DE RESOLUCION DNS

INTRODUCCION A DNS - BIND Introduccin

BIND (acrnimo de Berkeley Internet Name Domain) es una implementacin del protocolo DNS (Domain Name System) y provee una implementacin libre de los principales componentes del Sistema de Nombres de Dominio, los cuales incluyen: Un servidor de sistema de nombres de dominio (named). Una biblioteca resolutoria de sistema de nombres de dominio. Herramientas para verificar la operacin adecuada del servidor DNS (bind-utils). El servidor DNS BIND es ampliamente utilizado en la Internet (99% de los servidores DNS) proporcionando una robusta y estable solucin.

SERVIDOR DE RESOLUCION DNS

INTRODUCCION A DNS BIND Introduccin

El Domain Name System (DNS) es una base de datos distribuida y jerrquica que almacena informacin asociada a nombres de dominio en redes como Internet. Aunque como base de datos el DNS es capaz de asociar distintos tipos de informacin a cada nombre, los usos ms comunes son la asignacin de nombres de dominio a direcciones IP y la localizacin de los servidores de correo electrnico de cada dominio. La asignacin de nombres a direcciones IP es ciertamente la funcin ms conocida de los protocolos DNS. Por ejemplo, si la direccin IP del sitio WWW de ucbcba.edu.bo es 166.114.106.105, la mayora de la gente llega a este equipo especificando www.ucbcba.edu.bo y no la direccin IP. Adems de ser ms fcil de recordar, el nombre es ms fiable. La direccin numrica podra cambiar por muchas razones, sin que tenga que cambiar el nombre. Inicialmente, el DNS naci de la necesidad de recordar fcilmente los nombres de todos los servidores conectados a Internet. En un inicio, SRI (ahora SRI International) alojaba un archivo llamado HOSTS.TXT que contena todos los nombres de dominio conocidos (tcnicamente, este archivo an existe - la mayora de los sistemas operativos actuales

SERVIDOR DE RESOLUCION DNS

INTRODUCCION A DNS - BIND Cmo funciona el DNS El DNS organiza los nombres de mquina (hostname) en una jerarqua de dominios. Un dominio es una coleccin de nodos relacionados de alguna forma porque estn en la misma red, tal como los nodos de una universidad Por ejemplo, las universidades americanas se agrupan en el dominio edu. Cada universidad tiene all un subdominio, tal como la universidad Groucho Marx, que posee el subdominio groucho.edu. A su vez, podemos encontrar nuevos subdominios dentro, como el Departamento de Matemticas (maths). Finalmente, un nodo de ese departamento llamado erdos tendr un nombre completo (conocido como totalmente cualificado) tal como erdos.maths.groucho.edu. Este nombre totalmente cualificado tambin se conoce por las siglas FQDN. En Figura vemos una parte del espacio de nombres. La raz del rbol, que se identifica con un punto sencillo, es lo que se denomina dominio raz y es el origen de todos los dominios. Para indicar que un nombre es FQDN, a veces se termina su escritura en un punto. Este punto significa que el ltimo componente del nombre es el dominio raz.

SERVIDOR DE RESOLUCION DNS

INTRODUCCION A DNS - BIND Una parte del espacio de nombres de dominios

SERVIDOR DE RESOLUCION DNS

INTRODUCCION A DNS - BIND Funcionamiento de DNS

El Domain Name System (DNS) o Sistema de Nombres de Dominio permite a los usuarios de una red TCP/IP utilizar nombres jerrquicos y descriptivos para localizar fcilmente ordenadores (hosts) y otros recursos en dicha red, evitando de esta manera tener que recordar la direccin IP de cada ordenador al que se desea acceder. En esencia, DNS es una base de datos distribuida que contiene asociaciones de nombres simblicos (de hosts) a direcciones IP. El hecho de que sea distribuida permite delegar el control sobre diferentes segmentos de la base de datos a distintas organizaciones, pero siempre de forma que los datos de cada segmento estn disponibles en toda la red, a travs de un esquema cliente-servidor. Los programas denominados servidores de nombres (name servers) constituyen la parte servidora del esquema cliente-servidor. Los servidores de nombres contienen informacin sobre algunos segmentos de la base de datos y los ponen a disposicin de los clientes, llamados solucionadores o resolvers.

SERVIDOR DE RESOLUCION DNS

INTRODUCCION A DNS - BIND El Espacio de Nombres de Dominio

La base de datos distribuida de DNS est indexada por nombres de dominio. Cada nombre de dominio es esencialmente una trayectoria en un rbol invertido denominado espacio de nombres de dominio. La estructura jerrquica del rbol es similar a la estructura del sistema de ficheros LINUX. El rbol tiene una nica raz en el nivel superior llamada raz (root). Cada nodo del rbol puede ramificarse en cualquier nmero de nodos de nivel inferior. La profundidad del rbol est limitada a 127 niveles. Cada nodo en el rbol se identifica mediante una etiqueta no nula que puede contener hasta 63 caracteres, excepto el nodo raz, identificado mediante una etiqueta nula. El nombre de dominio completo de cualquier nodo est formado por la secuencia de etiquetas que forman la trayectoria desde dicho nodo hasta la raz, separando cada etiqueta de la siguiente mediante un punto. De esta forma, el nombre del nodo especifica de forma unvoca su localizacin en la jerarqua. A este nombre de dominio completo o absoluto se le conoce como nombre de dominio completamente cualificado o Fully Qualified Domain Name (FQDN). Al ser nula la etiqueta que identifica el nodo raz, el FQDN de cualquier nodo del rbol siempre acaba con un punto. La nica restriccin que se impone en el rbol de nombres es que los nodos hijos del mismo padre tengan etiquetas diferentes.

SERVIDOR DE RESOLUCION DNS

INTRODUCCION A DNS - BIND Arbol jerarquico DNS

SERVIDOR DE RESOLUCION DNS

INTRODUCCION A DNS - BIND Relacion DNS vs Linux/Unix

SERVIDOR DE RESOLUCION DNS

INTRODUCCION A DNS - BIND Dependiendiendo de su localizacin en la jerarqua, un dominio puede ser de primer nivel (top-level), segundo nivel o tercer nivel. Se pueden aadir todos los niveles que queramos, pero no son habituales. Los que siguen son los dominios de primer nivel que veremos con frecuencia: Inicialmente los cuatro primeros dominios de la lista anterior pertenecan solo a los Estados Unidos, sin embargo, los cambios de poltica posteriores han hecho que estos dominios, llamados de dominios globales primer nivel (gTLD) sean realmente globales. Adems se estn negociando nuevos dominios de primer nivel.

Fuera de los Estados Unidos, cada pas suele tener su propio dominio de primer nivel codificado con las dos letras del pas definidas en la tabla ISO-3166. Finlandia, por ejemplo, usa el dominio fi; en Espaa se usa el dominio es; en Mxico se usa mx; en Bolivia, bo, etc. Por debajo de cada dominio de primer nivel, cada pas organiza los dominios a su manera. Algunos crean a segundo nivel una serie de dominios similares a los gTLD. Por ejemplo, en Bolivia encontramos los dominios com.bo para las empresas, y org.bo para las organizaciones sin nimo de lucro. Otros pases, como Espaa, ponen directamente como nombres de segundo nivel las instituciones o empresas que los solicitan. Por ejemplo, tenemos hispalinux.es.

SERVIDOR DE RESOLUCION DNS

INTRODUCCION A DNS - BIND

Tipos de servidores de nombres Los servidores de nombres que mantienen oficialmente la informacin de una zona se conocen como autorizados de la zona, y a veces se conocen como servidores principales o maestros. Cualquier peticin de nodos de esa zona ir a parar a uno de estos servidores principales. Los servidores principales deben estar bien sincronizados. Es decir, uno de ellos ser llamado primario, que carga su informacin de un fichero, y hacer a los dems secundarios, que obtienen su informacin pidindosela peridicamente al primario. El objetivo de tener varios servidores principales es distribuir la carga y dar cierta tolerancia a fallos. Cuando uno de los servidores principales falla, todas las peticiones acabarn en los dems. Por supuesto, este esquema no nos protege de fallos del servidor que produzcan errores en todas las peticiones DNS, como podran ser errores del software. Tambin podemos instalar un servidor de nombres que no es maestro de ninguna zona. Esto es til, para dar servicio de nombres a una red local aprovechando sus caractersticas de ahorro de ancho de banda gracias a su cach. Estos servidores se conocen como de slo-cach.

SERVIDOR DE RESOLUCION DNS

INTRODUCCION A DNS - BIND La base de datos DNS

Hemos visto que el DNS no slo sabe de direcciones IP de mquinas, pero tambin almacena otras informaciones. Cada unidad de informacin del DNS se llama Registro de Recurso (RR). Cada registro tiene un tipo asociado que describe el dato que contiene, y una clase que especifica el tipo de red al que se aplica. Esto ltimo se adapta a diferentes esquemas de direccin, como direcciones IP (la clase IN), direcciones Hesiod (utilizadas por el sistema Kerberos del MIT) y algunas ms. El RR tpico es el registro A, que asocia un nombre completamente cualificado con una direccin IP. Un nodo puede ser conocido por ms de un nombre. Por ejemplo, podemos tener un servidor que proporciona tanto servicio FTP como WWW, y tendr dos nombres: ftp.maquinas.org y www.maquinas.org. Sin embargo, uno de estos nombres debe ser identificado como oficial o cannico. La diferencia es que el cannico es el nico registro A que debe existir apuntando a esa direccin IP, mientras que el resto de los nombres deben ser alias (registros CNAME), que apuntan al nombre cannico.

SERVIDOR DE RESOLUCION DNS

INTRODUCCION A DNS - BIND Registros de Recursos (RR)

Para resolver nombres, los servidores consultan sus zonas. Las zonas contienen registros de recursos que constituyen la informacin de recursos asociada al dominio DNS. Por ejemplo, ciertos registros de recursos asignan nombres descriptivos a direcciones IP. El formato de cada registro de recursos es el siguiente: Propietario TTL Clase Tipo RDATA

Propietario: nombre de host o del dominio DNS al que pertenece este recurso. Puede contener un nombre de host/dominio (completamente cualificado o no), el smbolo "@" (que representa el nombre de la zona que se est describiendo) o una cadena vaca (en cuyo caso equivale al propietario del registro de recursos anterior). TTL: (Time To Live) Tiempo de vida, generalmente expresado en segundos, que un servidor DNS o un resolver debe guardar en cach esta entrada antes de descartarla. Este campo es opcional. Tambin se puede expresar mediante letras indicando das (d), horas (h), minutos (m) y segundos (s). Por ejemplo: "2h30m". Clase: define la familia de protocolos en uso. Suele ser siempre "IN", que representa Internet.

SERVIDOR DE RESOLUCION DNS

INTRODUCCION A DNS - BIND

Registro de Recurso SOA Cada zona contiene un registro de recursos denominado Inicio de Autoridad o SOA (Start Of Authority) al comienzo de la zona. Los registros SOA incluyen los siguientes campos (slo se incluyen los que poseen un significado especfico para el tipo de registro): Propietario: nombre de dominio de la zona. Tipo: "SOA". Persona responsable: contiene la direccin de correo electrnico del responsable de la zona. En esta direccin de correo, se utiliza un punto en el lugar del smbolo "@". Nmero de serie: muestra el nmero de versin de la zona, es decir, un nmero que sirve de referencia a los servidores secundarios de la zona para saber cundo deben proceder a una actualizacin de su base de datos de la zona (o transferencia de zona). Cuando el nmero de serie del servidor secundario sea menor que el nmero del maestro, esto significa que el maestro ha cambiado la zona, y por tanto el secundario debe solicitar al maestro una transferencia de zona. Por tanto, este nmero debe ser incrementado (manualmente) por el administrador de la zona cada vez que realiza un cambio en algn registro de la zona (en el servidor maestro). Actualizacin: muestra cada cunto tiempo un servidor secundario debe

SERVIDOR DE RESOLUCION DNS

INTRODUCCION A DNS - BIND

Registro de Recurso SOA Reintentos: define el tiempo que el servidor secundario, despus de enviar una solicitud de transferencia de zona, espera para obtener una respuesta del servidor maestro antes de volverlo a intentar. Caducidad: define el tiempo que el servidor secundario de la zona, despus de la transferencia de zona anterior, responder a las consultas de la zona antes de descartar la suya propia como no vlida. TTL mnimo: este campo especifica el tiempo de validez (o de vida) de las respuestas "negativas" que realiza el servidor. Una respuesta negativa significa que el servidor contesta que un registro no existe en la zona.

Un ejemplo de registro SOA sera el siguiente:

IN pc0100.admon.com hostmaster.admon.com. ( 1 ; nmero de serie 3600 ; actualizacin 1 hora 600 ; reintentar 10 minutos 86400 ; caducar 1 da 60 ; TTL 1 minuto )

admon.com.

SERVIDOR DE RESOLUCION DNS

INTRODUCCION A DNS - BIND

Registro de Recurso NS El registro de recursos NS (Name Server) indica los servidores de nombres autorizados para la zona. Cada zona debe contener registros indicando tanto los servidores principales como los secundarios. Por tanto, cada zona debe contener, como mnimo, un registro NS. Por otra parte, estos registros tambin se utilizan para indicar quines son los servidores de nombres con autoridad en subdominios delegados, por lo que la zona contendr al menos un registro NS por cada subdominio que haya delegado. Ejemplos de registros NS seran los siguientes:
admon.com. valencia.admon.com. IN NS pc0100.admon.com. IN NS pc0102.valencia.admon.com.

SERVIDOR DE RESOLUCION DNS

INTRODUCCION A DNS - BIND

Registro de Recurso A El tipo de registro de recursos A (Address) asigna un nombre de dominio completamente cualificado (FQDN) a una direccin IP, para que los clientes puedan solicitar la direccin IP de un nombre de host dado. Un ejemplo de registro A que asignara la direccin IP 158.42.178.1 al nombre de dominio pc0101.valencia.admon.com., sera el siguiente:
pc0101.valencia.admon.com.

IN

158.42.178.1

Registro de Recurso PTR El registro de recursos PTR (PoinTeR) o puntero, realiza la accin contraria al registro de tipo A, es decir, asigna un nombre de dominio completamente cualificado a una direccin IP. Este tipo de recursos se utilizan en la denominada resolucin inversa, descrita en Servidores de nombres y zonas. Un ejemplo de registro PTR que asignara el nombre pc0101.valencia.admon.com. a la direccin IP 158.42.178.1 sera el

SERVIDOR DE RESOLUCION DNS

INTRODUCCION A DNS - BIND

Registro de Recurso CNAME El registro de nombre cannico (CNAME, Canonical NAME) crea un alias (un sinnimo) para el nombre de dominio especificado. Un ejemplo de registro CNAME que asignara el alias controlador al nombre de dominio pc0102.valencia.admon.com, sera el siguiente:
controlador.valencia.admon.com. IN CNAME pc0101.valencia.admon.com.

Registro de Recurso MX El registro de recurso de intercambio de correo (MX, Mail eXchange) especifica un servidor de intercambio de correo para un nombre de dominio. Puesto que un mismo dominio puede contener diferentes servidores de correo, el registro MX puede indicar un valor numrico que permite especificar el orden en que los clientes deben intentar contactar con dichos servidores de correo. Un ejemplo de registro de recurso MX que define al servidor pc0100 como el servidor de correo del dominio admon.com, sera el siguiente:

admon.com.

IN

MX 0

pc0100.admon.com.

SERVIDOR DE RESOLUCION DNS

INTRODUCCION A DNS - BIND

Registro de Recurso HINFO

Este registro da informacin sobre el hardware y el software de la mquina. Su sintaxis es: [domain] [ttl] [class] HINFO hardware software El campo hardware identifica el hardware usado en este nodo. Para indicarlo, se siguen ciertas convenciones, especificadas en el RFC 1700. Si el campo contiene blancos, debe encerrarse entre comillas dobles. El campo software indica el sistema operativo que ejecuta el nodo, que tambin est normalizado. Por ejemplo, un registro HINFO para describir un sistema Intel ejecutando Linux podra ser: tao 36500 IN HINFO IBM-PC LINUX2.2

y para el caso de que se tratara de un sistema basado en DELL: orion 36500 IN HINFO DELL POWEREDGE2500 LINUX CENTOS ENTERPRISE 4.3

SERVIDOR DE RESOLUCION DNS

INSTALACION DE BIND Software Requerido.

bind bind-chroot bind-utils caching-nameserver

La instalacin puede hacerse a travs de yum para satisfacer todas las dependencias necesarias. yum -y install bind bind-chroot bind-utils caching-nameserver

SERVIDOR DE RESOLUCION DNS

INSTALACION DE BIND
Preparativos.
Idealmente se deben definir primero los siguientes datos: Dominio a resolver. Servidor de nombres principal (SOA). ste debe ser un nombre que ya est plenamente resuelto. Lista de todos los servidores de nombres (NS) que se utilizarn para efectos de redundancia. stos deben ser nombres que ya estn plenamente resueltos. Cuenta de correo del administrador responsable de esta zona. Dicha cuenta debe existir y no debe pertenecer a la misma zona que se est tratando de resolver. Al menos un servidor de correo (MX), con un registro A, nunca CNAME. IP predeterminada del dominio. Sub-dominios dentro del dominio (www, mail, ftp, ns, etc.) y las direcciones IP que estarn asociadas a estos. Es importante tener bien en claro que los puntos 2, 3 y 4 involucran datos que deben existir previamente y estar plenamente resueltos por otro servidor DNS; Lo anterior quiere decir no pueden utilizar datos que sean parte o dependan del mismo dominio que se pretende resolver. De igual modo, el servidor donde se

SERVIDOR DE RESOLUCION DNS

INSTALACION DE BIND

Preparativos. Como regla general se generar una zona de reenvo por cada dominio sobre el cual se tenga autoridad plena y absoluta y se generar una zona de resolucin inversa por cada red sobre la cual se tenga plena y absoluta autoridad. es decir, si se es propietario del dominio cualquiercosa.com, se deber generar el fichero de zona correspondiente a fin de resolver dicho dominio. Por cada red con direcciones IP privadas sobre la cual se tenga control y plena y absoluta autoridad, se deber generar un fichero de zona de resolucin inversa a fin de resolver inversamente las direcciones IP de dicha zona. Regularmente la resolucin inversa de las direcciones IP pblicas es responsabilidad de los proveedores de servicio ya que son estos quienes tienen la autoridad plena y absoluta sobre dichas direcciones IP. Todos los ficheros de zona deben pertenecer al usuario named a fin de que el daemon named pueda acceder a estos o bien modificarlos en el caso de tratarse de zonas esclavas.

SERVIDOR DE RESOLUCION DNS

INSTALACION DE BIND

Creacin de los ficheros de zona. Los siguientes corresponderan a los contenidos para los ficheros de zona requeridos para la red local y por el NIC con el que se haya registrado el dominio. Note por favor que en las zonas de reenvo siempre se especifica al menos un Mail Exchanger (MX) y que se utilizan tabuladores (tecla TAB) en lugar de espacio. Solo necesitar sustituir nombres y direcciones IP, y quiz aadir nuevas entradas para complementar su red local.

SERVIDOR DE RESOLUCION DNS

INSTALACION DE BIND
Zona de reenvo red local /var/named/chroot/var/named/mi-red-local.edu.bo.zone
$TTL 86400 @ IN SOA mi-red-local.edu.bo. jperez.mi-red-local.edu.bo. ( 8 ; serial 28800 ; refresh 7200 ; retry 604800 ; expire 86400 ; ttl ) IN NS dns IN MX 10 mail IN A 192.168.1.1 IN A 192.168.1.1 IN A 192.168.1.2 IN A 192.168.1.3 IN A 192.168.1.4 IN CNAME intranet IN A 192.168.1.1 IN CNAME intranet IN CNAME intranet

@ @ @ intranet maquina2 maquina3 maquina4 www mail ftp dns

SERVIDOR DE RESOLUCION DNS

INSTALACION DE BIND

Zona de resolucin inversa red local /var/named/chroot/var/named/1.168.192.in-addr.arpa.zone

$TTL 86400 @ IN SOA mi-red-local.edu.bo. jperez.mi-red-local.edu.bo. ( 2005030401 ; serial 28800 ; refresh 7200 ; retry 604800 ; expire 86400 ; ttl ) IN NS dns.mi-red-local.edu.bo. PTR intranet.mi-red-local.edu.bo. PTR maquina2.mi-red-local.edu.bo. PTR maquina3.mi-red-local.edu.bo. PTR maquina4.mi-red-local.edu.bo.

@ 1 2 3 4

IN IN IN IN

SERVIDOR DE RESOLUCION DNS

INSTALACION DE BIND

Zona de reenvo del dominio /var/named/chroot/var/named/mi-dominio.edu.bo.zone

$TTL 86400
@ IN SOA nombre-plenamente-resuelto. jperez.cuenta.existente. ( 8 ; serial 28800 ; refresh 7200 ; retry 604800 ; expire 86400 ; ttl ) IN NS dns IN MX 10 mail IN A 148.243.59.1 IN A 148.243.59.1 IN CNAME servidor IN A 148.243.59.1 IN CNAME servidor IN CNAME servidor

@ @ @ servidor www mail ftp dns

SERVIDOR DE RESOLUCION DNS

INSTALACION DE BIND

Zona de resolucin inversa del dominio /var/named/chroot/var/named/1.243.148.in-addr.arpa.zone

$TTL 86400
@ IN SOA nombre-plenamente-resuelto. jperez.cuenta.existente. ( 2005030401 ; serial 28800 ; refresh 7200 ; retry 604800 ; expire 86400 ; ttl ) IN NS dns.mi-dominio.edu.bo. PTR servidor.mi-dominio.edu.bo. PTR maquina2.mi-dominio.edu.bo. PTR maquina3.mi-dominio.edu.bo. PTR maquina4.mi-dominio.edu.bo.

@ 1 2 3 4

IN IN IN IN

Recuerde que cada vez que haga algn cambio en algn fichero de zona, deber cambiar el nmero de serie (serial) a fin de que tomen efecto los cambios de inmediato cuando se reinicie el daemon named, ya que de otro modo tendra que reiniciar el equipo, algo poco conveniente.

SERVIDOR DE RESOLUCION DNS

INSTALACION DE BIND

Fichero de Configuracin de Zonas de resolucin /var/named/chroot/etc/named.conf

options { directory "/var/named/"; forwarders { 200.33.146.209; 200.33.146.217; }; forward first; }; zone "." { type hint; file "named.ca"; }; zone "0.0.127.in-addr.arpa" { type master; file "0.0.127.in-addr.arpa.zone"; allow-update { none; }; }; zone "localhost" { type master; file "localhost.zone"; allow-update { none; }; };

SERVIDOR DE RESOLUCION DNS

INSTALACION DE BIND

Fichero de Configuracin de Zonas de resolucin /var/named/chroot/etc/named.conf

zone "mi-dominio.edu.bo" { type master; file "mi-dominio.edu.bo.zone"; allow-update { none; }; }; zone "1.243.148.in-addr.arpa" { type master; file "1.243.148.in-addr.arpa.zone"; allow-update { none; }; }; zone "mi-red-local.edu.bo" { type master; file "mi-red-local.edu.bo.zone"; allow-update { none; }; }; zone "1.168.192.in-addr.arpa" { type master; file "1.168.192.in-addr.arpa.zone"; allow-update { none; }; };

SERVIDOR DE RESOLUCION DNS

INSTALACION DE BIND
Seguridad adicional en DNS para uso exclusivo en red local.
Si se va a tratar de un servidor de nombres de dominio para uso exclusivo en red local, y se quieren evitar problemas de seguridad de diferente ndole, puede utilizarse el parmetro allow-query, el cual servir para especificar que solo ciertas direcciones podrn realizar consultas al servidor de nombres de dominio. Se pueden especificar directamente direcciones IP, redes completas o listas de control de acceso que debern definirse antes de cualquier otra cosa en /var/named/chroot/etc/named.conf:
acl "redlocal" { 192.168.1.0/24; 192.168.2.0/24; 192.168.3.0/24; } options { directory "/var/named/"; forwarders { 200.33.146.209; 200.33.146.217; }; forward first; allow-query { redlocal; 192.168.1.15; 192.168.1.16; }; }; zone "mi-red-local.edu.bo" { type master; file "mi-red-local.edu.bo.zone"; allow-update { none; }; };

SERVIDOR DE RESOLUCION DNS

INSTALACION DE BIND
Seguridad adicional en DNS para uso exclusivo en red local.
zone "1.168.192.in-addr.arpa" { type master; file "1.168.192.in-addr.arpa.zone"; allow-update { none; }; };

SERVIDOR DE RESOLUCION DNS

SERVICIO NAMED

Reinicializacin y depuracin del servicio. Al terminar de editar todos los ficheros involucrados, solo bastar reiniciar el servidor de nombres de dominio.
/sbin/service named restart

Tambin se puede reiniciar el servicio llamando al binario named usando el usuario named.

named u named

Si queremos que el servidor de nombres de dominio quede aadido entre los servicios en el arranque del sistema, deberemos ejecutar lo siguiente a fin de habilitar named junto con el arranque del sistema:

/sbin/chkconfig named on

Realice prueba de depuracin y verifique que la zona haya cargado con nmero de serie:

tail -50 /var/log/messages |grep named

SERVIDOR DE RESOLUCION DNS

SERVICIO NAMED
Reinicializacin y depuracin del servicio.
Lo anterior, si est funcionando correctamente, debera devolver algo parecido a lo mostrado a continuacin:
Aug 17 17:15:15 linux named[30618]: starting BIND 9.2.2 -u named Aug 17 17:15:15 linux named[30618]: using 1 CPU Aug 17 17:15:15 linux named: Iniciacin de named succeeded Aug 17 17:15:15 linux named[30622]: loading configuration from '/etc/named.conf' Aug 17 17:15:15 linux named[30622]: no IPv6 interfaces found Aug 17 17:15:15 linux named[30622]: listening on IPv4 interface lo, 127.0.0.1#53 Aug 17 17:15:15 linux named[30622]: listening on IPv4 interface eth0, 192.168.1.1#53 Aug 17 17:15:15 linux named[30622]: command channel listening on 127.0.0.1#953 Aug 17 17:15:16 linux named[30622]: zone 0.0.127.in-addr.arpa/IN: loaded serial 3 Aug 17 17:15:16 linux named[30622]: zone 1.168.192.in-addr.arpa/IN: loaded serial 2004022602 Aug 17 17:15:16 linux named[30622]: zone localhost/IN: loaded serial 1 Aug 17 17:15:16 linux named[30622]: zone mi-dominio.com.mx/IN: loaded serial 2004022602 Aug 17 17:15:16 linux named[30622]: running Aug 17 17:15:16 linux named[30622]: zone 1.168.192.in-addr.arpa/IN: sending notifies (serial 2004022602) Aug 17 17:15:16 linux named[30622]: zone mi-dominio.com.mx/IN: sending notifies (serial 2004022602)

SERVIDOR DE RESOLUCION DNS

COMPROBACION DEL SERVICIO NAMED Dig: consultando la configuracin dns

Dig es una herramienta (linea de comandos) disponible en prcticamente cualquier distribucin linux (aunque tambin hay alguna versin para windows) que te permite hacer consultas a un servidor dns. Tras su instalacin, y antes de ejecutarlo, necesitars editar resolv.conf y aadir el servidor dns (nameserver que recibir las consultas. Crea o modifica resolv.conf para utilizar el nuevo servidor de nombres con los siguientes comandos: Sustituye yourdomain.com con el nombre vlido de tu propio dominio, y XX por el numero IP de tu servidor DNS local, de esta manera se registra el servidor DNS principal del equipo.
mc e /etc/resolv.conf search yourdomain.com nameserver XX.XX.XX.XX

SERVIDOR DE RESOLUCION DNS

COMPROBACION DEL SERVICIO NAMED Comprobacin de BIND

Comprueba la nueva instalacin de BIND. Primero consulta la direccin de la mquina local con dig (sustituyendo XX por el numero IP de la maquina):

dig -x 127.0.0.1 dig -x XX.XX.XX.XX

Ahora prueba la bsqueda de un nombre externo, tomando nota de la diferencia de velocidad en repetidas consultas debido al cach. Lanza el comando dig dos veces sobre la misma direccin:

dig servidor.midominio.edu.bo && dig servidor.midominio.edu.bo

Vers que el resultado es casi instantneo cuando named consulta las direcciones almacenadas. Para saber todas las opciones de configuracin consulta el Manual de Referencia del Administrador de BIND.

SERVIDOR DE RESOLUCION DNS

COMPROBACION DEL SERVICIO NAMED Opciones dig

dig tu_dominio.com +trace Similar al tracert TCP/IP, pero para dns dig tu_dominio.com. NS Te indica los servidores dns de tu_dominio: ;; ANSWER SECTION: ignside.net. 132119 IN ignside.net. 132119 IN

NS NS

ns2.nexen.net. ns1.nexen.net.

El primer nmero (132119) indica el TTL (tiempo de vida en cache) de la consulta dig tu_dominio.com. MX

Te indica los servidores de correo (Mail e[X]change) que gestionan los mails dirigidos a loquesea@tudominio.com. Por ejemplo: ;; ANSWER SECTION: ignside.net. 3600 IN MX 10 pouilly.nexen.net. ignside.net. 3600 IN MX 20 champagne.nexen.net.

Estn listados por orden de precedencia, los nmeros mas bajos (10, 20) primero.

SERVIDOR DE RESOLUCION DNS

COMPROBACION DEL SERVICIO NAMED Opciones dig

dig tu_dominio.com

devuelve la IP del dominio

dig midominio.com. @dns1.nrc.ca

consulta los datos dns en un servidor @especifico.

La mayora de los servidores DNS estn configurados para, si no conocen la respuesta al query, encargarse ellos mismos de reformular la pregunta a otro servidor distinto. Esto se llama configuracin recurrente o amistosa (friendly, recursive).
dig -x numero_ip

DNS inverso

SERVIDOR DE RESOLUCION DNS

COMPROBACION DEL SERVICIO NAMED Descifrando las respuestas

Una orden como dig www.ignside.net genera el siguiente resultado:

shell>dig www.ignside.net; <<>> DiG 9.4.0-(Hawk)-8.02 <<>> www.ignside.net ;; global options: printcmd ;; Got answer: ;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 1580 ;; flags: qr rd ra; QUERY: 1, ANSWER: 3, AUTHORITY: 0, ADDITIONAL: 0 ;; QUESTION SECTION: ;www.ignside.net. IN A ;; ANSWER SECTION: www.ignside.net. 2886 IN CNAME irvnet.nexenservices.com. irvnet.nexenservices.com. 6486 IN CNAME sauterne.nexen.net. sauterne.nexen.net. 486 IN A 217.174.203.10 ;; Query time: 15 msec ;; SERVER: 127.0.0.1#53(127.0.0.1) ;; WHEN: Thu Jul 28 22:33:36 2005 ;; MSG SIZE rcvd: 116

SERVIDOR DE RESOLUCION DNS

COMPROBACION DEL SERVICIO NAMED Descifrando las respuestas

Veamos la respuesta linea por linea, teniendo en cuenta que aquellas que comienzan con ; son comentarios introducidos por dig, no vienen del servidor dns: En las dos primeras lneas, dig se limita a informar de la versin del programa en ejecucin y del dominio objeto de consulta. La lnea ;; global options: printcmd se refiere a las opciones generales usadas en la consulta. Puedes evitar estas dos lineas utilizando la sintaxis de consulta dig +nocmd nombredominio.com

La siguiente seccin Got Answer nos ofrece detalles de la consulta recibida, entre ellos, el nmero de respuestas recibidas, y si nos la ha dado o no una "autoridad" en dns.
Las 'banderas' (flags) nos dan detalles de la consulta y respuesta: QR (Query/Response) sirve para diferenciar la consulta de la respuesta. RD (Recursion Desired), es una modalidad de la consulta, que es replicada en la respuesta con la bandera RA (Recursion Allowed), y significa que pedimos al server que si no puede resolver la respuesta por si mismo, consulte recursivamente a otro server.

SERVIDOR DE RESOLUCION DNS

COMPROBACION DEL SERVICIO NAMED Descifrando las respuestas

La aceptacin de la peticin por el server es opcional. AA significara que la respuesta es de un server autorizado. Otras flags son: TC (Truncated Response), que significa que la respuesta se ha fraccionado por ser de mayor tamao del permitido, AD (Authentic Data) y CD (Checking Disabled). La tercera seccin nos da detalles de la consulta; adems como es obvio del dominio consultado, nos informa que estamos consultando en los registros A. Como ya sabemos, si indicase MX en su lugar querria decir que estamos consultando una direccin de email. IN indica que la bsqueda se realiza en el mbito de internet.

SERVIDOR DE RESOLUCION DNS

COMPROBACION DEL SERVICIO NAMED Las consultas posibles que podemos hacer, comenzando por las ya conocidas son:
dig midominio.com NS para los servidores dns (nombre)

dig midominio.com MX para los servidores de correo

dig midominio.com A para la ip del servidor que aloja al dominio dig midominio.com ANY reune las anteriores dig midominio.com AAAA nos indica el numero IP en ipv6 (si es que lo tiene, claro):

dig www.ipv6.org AAAA +short shake.stacken.kth.se. 2001:6b0:1:ea:202:a5ff:fecd:13a6

En el ejemplo que hemos puesto mas arriba, la respuesta tiene varias lineas. La lnea www.ignside.net. 2886 IN CNAME irvnet.nexenservices.com. nos dice que el dominio por el que preguntamos es un alias (CNAME) de irvnet.nexenservices.com; La siguiente lnea nos indica que irvnet.nexenservices.com es un alias de sauterne.nexen.net, y la tercera lnea nos indica la IP de sauterne.nexen.net.

SERVIDOR DE RESOLUCION DNS

COMPROBACION DEL SERVICIO NAMED

El porque tres respuestas ? porque www no es mas que un subdominio de ignside.net y este subdominio es un alias de irvnet.nexenservices.com (apunta a la misma IP) que a su vez es un alias del dominio del ISP (nexen), obteniendo finalmente la Ip de este. El que ninguna de las respuestas que hemos obtenido sea AUTHORITY no dice nada sobre la fiabilidad de la respuesta, simplemente que el server que nos la ha dado no es responsable del dominio. Finalmente podemos encontrarnos con una seccin de respuestas adicionales, que tpicamente nos informara de las IPS de los nameserves devueltos en la seccin AUTHORITY, si los hubiera. La ltima seccin nos explica el tiempo que ha tardado en resolverse la consulta, el nmero en bytes de la respuesta, la fecha y el servidor dns consultado.

SERVIDOR DE RESOLUCION DNS

COMPROBACION DEL SERVICIO NAMED Acotando las respuestas:

dig admite varias opciones que modalizan la cantidad de informacin obtenida. Todas las secciones de la respuesta pueden ser eliminadas con las opciones +nocmd, +[no]comments, +[no]question, +[no]answer, +[no]authority, +[no]additional y +[no]stats. Existe una forma abreviada, que es la de excluir todo y indicar concretamente lo que quieres: dig midominio.com A +noall +answer. Otra opcin para limitar la informacin es short. Y si al contrario quieres mas detalles de los standard, prueba +multiline TTL La respuesta dns incluye un valor TTL expresado en segundos: por ejemplo, en esta linea, 2886 segundos: www.ignside.net. 2886 IN CNAME irvnet.nexenservices.com.

TTL, o Time To Live, es el tiempo mximo durante el cual un server almacenar en su cache una respuesta obtenida de un server con "autoridad". Mientras dure el TTL, el server en cuestin no volver a realizar consultas dns sobre ese dominio, respondiendo con los datos guardados. Expirado el TTL, consultar de nuevo a la autoridad en la materia ...

SERVIDOR DE RESOLUCION DNS

COMPROBACION DEL SERVICIO NAMED Acotando las respuestas:

Zonas DNS Hemos venido hablando de respuestas autorizadas o no. El servidor DNS, al contestar las consultas, busca en primer lugar en los registros dns de su zona local (aquellos de los que el server es responsable). Si encuentra alli la respuesta, ser una respuesta autorizada. Si no la encuentra, buscar en su cache de consultas anteriores. Si aqu se encuentra una coincidencia, el servidor responde con esta informacin. Esta respuesta ya no es autorizada. Finalmente si el servidor est configurado para la bsqueda recursiva, consultar -en nuestro nombre- a otro server dns. Por ello el concepto de autoridad, en dns, es similar al de administracin: la respuesta es autorizada si el dominio est en una zona administrada por ese server. La respuesta tambin es autorizada si nuestro server dns no tiene la respuesta en cache y hace una consulta recursiva. A partir de ese momento, y mientras conserve la respuesta en cache, no sera respuesta autorizada.

SERVIDOR DE RESOLUCION DNS

COMPROBACION DEL SERVICIO NAMED Acotando las respuestas:

PTR Pointer Record. Tambien llamado reverse record (registro inverso). Un registro PTR asocia una direccin IP con su nombre de dominio real, debiendo apuntar a un nombre de dominio que se resuelva a esa IP. La IP se indica invirtiendo sus cuatro grupos de nmeros y aadiendo INADDR.ARPA.

SOA record SOA son las iniciales de Start Of Authority. Un Registro SOA identifica la mejor fuente de informacin sobre un dominio dado, y solo puede haber un registro por dominio. La informacin que obtenemos con dig midominio.com SOA incluye: Hostname.Domain.Name, que es el nombre del servidor primario para este dominio (donde reside la respuesta autorizada): por ejemplo, en el caso de google.com, es ns1.google.com.. Mailbox.Domain.Name es (tericamente) el correo del responsable del DNS de este dominio; en el mismo ejemplo de google.com, dns-

SERVIDOR DE RESOLUCION DNS

COMPROBACION DEL SERVICIO NAMED Acotando las respuestas:

serno se refiere el numero de serie, que identifica cuando ha habido una actualizacin de la base de datos: por ejemplo numeros de serie vlidos serian 1, 2, 3 etc .... Tpicamente se usa como serial number la fecha inversa de la ultima actualizacin (ao-mes-dia). Por ejemplo, 2005072601 Refresh indica al servidor secundario cada cuanto tiempo debe consultar al primario sobre actualizaciones Retry indica el lapso que debe respetar el servidor secundario para tratar de reconectar con el primario, en el momento de Refresh Expire es el numero de segundos durante los cuales el servidor secundario mantiene los datos, si no puede conectar con el primario TTL es el tiempo de vida que los datos deben conservarse en cache al ser solicitados.

SERVIDOR DE RESOLUCION DNS

COMPROBACION DEL SERVICIO NAMED

Ejemplo de Dig en www.ucbcba.edu.bo [root@hades ~]# dig www.ucbcba.edu.bo; <<>> DiG 9.2.5 <<>> www.ucbcba.edu.bo ;; global options: printcmd ;; Got answer: ;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 15068 ;; flags: qr rd ra; QUERY: 1, ANSWER: 2, AUTHORITY: 2, ADDITIONAL: 0 ;; QUESTION SECTION: ;www.ucbcba.edu.bo. IN A ;; ANSWER SECTION: www.ucbcba.edu.bo. 86400 IN CNAME ucbsun2.ucbcba.edu.bo. ucbsun2.ucbcba.edu.bo. 79248 IN A 166.114.106.21 ;; AUTHORITY SECTION: ucbcba.edu.bo. 17600 IN NS ucbns2.ucbcba.edu.bo. ucbcba.edu.bo. 17600 IN NS ucbsun1.ucbcba.edu.bo. ;; Query time: 722 msec ;; SERVER: 192.168.3.100#53(192.168.3.100) ;; WHEN: Mon Mar 6 11:09:39 2006 ;; MSG SIZE rcvd: 116

SERVIDOR DE RESOLUCION DNS

COMPROBACION DEL SERVICIO NAMED

Usando NSLOOKUP Se puede usar "nslookup" para verificar el funcionamiento del DNS.
shell> nslookup Note: nslookup is deprecated and may be removed from future releases. Consider using the `dig&apos; or `host&apos; programs instead. Run nslookup with the `-sil[ent]&apos; option to prevent this message from appearing. > centauro.labos.ucbcba.edu.bo Server: 192.168.3.100 Address: 192.168.3.100#53 Non-authoritative answer: Name: inge36.labos.ucbcba.edu.bo Address: 192.168.3.136

Se puede consultar diferentes servidores DNS editando el archivo resolve.conf.

SERVIDOR DE RESOLUCION DNS

COMPROBACION DEL SERVICIO NAMED Usando NSLOOKUP

nslookup es una estupenda utilidad para comprobar el funcionamiento de un servidor de nombres. Se puede usar interactivamente o pasndole la pregunta por la lnea de rdenes. En este ltimo caso podemos invocar la orden as: shell> nslookup nombre-de-host

nslookup enva sus peticiones al servidor citado en resolv.conf. Si este fichero tiene ms de un servidor, nslookup eligir uno al azar. El modo interactivo es mucho ms interesante. No slo sirve para buscar la IP de un nodo, sino que tambin podemos interrogar acerca de cualquier tipo de registro DNS y transferirnos toda la informacin de una zona si queremos. Si se invoca sin argumentos, nslookup muestra el nombre del servidor elegido y entra en modo interactivo. En el prompt > podemos escribir cualquier nombre de dominio. Al principio preguntar slo por registros A, es decir, obtencin de la IP asociada. Podemos elegir un tipo de registro diferente con la orden: set type=tipo donde tipo es uno de los tipos de RR descritos antes, o ANY.

SERVIDOR DE RESOLUCION DNS

COMPROBACION DEL SERVICIO NAMED Usando NSLOOKUP

Veamos una posible sesin de nslookup:

shell> nslookup Default Server: tao.linux.org.au Address: 203.41.101.121 > metalab.unc.edu Server: tao.linux.org.au Address: 203.41.101.121 Name: metalab.unc.edu Address: 152.2.254.81 >

La salida muestra el servidor DNS interrogado y el resultado obtenido.

SERVIDOR DE RESOLUCION DNS

COMPROBACION DEL SERVICIO NAMED

Si preguntamos por algo que no tiene IP asociada pero s otros registros de otra clase, el programa nos devolver una advertencia del tipo No type A records found. Sin embargo, podemos usar el citado comando set type para buscar registros de otras clases. Por ejemplo, el registro SOA de un dominio puede ser pedido as: > unc.edu Server: tao.linux.org.au Address: 203.41.101.121 *** No address (A) records available for unc.edu > set type=SOA > unc.edu Server: tao.linux.org.au Address: 203.41.101.121 unc.edu origin = ns.unc.edu mail addr = host-reg.ns.unc.edu serial = 1998111011 refresh = 14400 (4H) retry = 3600 (1H) expire = 1209600 (2W) minimum ttl = 86400 (1D)

SERVIDOR DE RESOLUCION DNS

COMPROBACION DEL SERVICIO NAMED

unc.edu name server = ns2.unc.edu unc.edu name server = ncnoc.ncren.net unc.edu name server = ns.unc.edu ns2.unc.edu internet address = 152.2.253.100 ncnoc.ncren.net internet address = 192.101.21.1 ncnoc.ncren.net internet address = 128.109.193.1 ns.unc.edu internet address = 152.2.21.1

SERVIDOR DE RESOLUCION DNS

COMPROBACION DEL SERVICIO NAMED

para preguntar por registros MX haremos:

De manera parecida, > set type=MX > unc.edu Server: tao.linux.org.au Address: 203.41.101.121

unc.edu preference = 0, mail exchanger = conga.oit.unc.edu unc.edu preference = 10, mail exchanger = imsety.oit.unc.edu unc.edu name server = ns.unc.edu unc.edu name server = ns2.unc.edu unc.edu name server = ncnoc.ncren.net conga.oit.unc.edu internet address = 152.2.22.21 imsety.oit.unc.edu internet address = 152.2.21.99 ns.unc.edu internet address = 152.2.21.1 ns2.unc.edu internet address = 152.2.253.100 ncnoc.ncren.net internet address = 192.101.21.1 ncnoc.ncren.net internet address = 128.109.193.1

Con el tipo ANY obtendremos todos los registros existentes asociados al nombre dado. Para ver el conjunto completo de comandos, podemos usar help dentro de nslookup.