Tabla de Contenidos

Configuracin de DNS con Vistas mltiples

Introduccin Escenario del ejemplo Archivos de configuracin de ejemplo

Configuracin de DNS con Vistas mltiples

Introduccin
Multiple Views, o Vistas Mltiples, es una de las nuevas caractersticas de la versin 9 de BIND, y es una mejora a la opcin conocida como Split DNS, disponible en la versin 8 de BIND, y que permiten mantener DNS duales. Un DNS dual significa que la informacin de la zona interna y la zona externa para un determinado dominio se encuentra en el mismo servidor de nombres. Es decir, podemos mantener el DNS interno, con datos de zona direccionados a IP's privadas, y el DNS externo, con los datos de zona apuntando a direcciones IP pblicas, en una nica mquina fsica. Tpicamente el Split DNS opera en el gateway de la red privada hacia la Internet, levantando dos programas (daemons), llamados named. Un primer named configurado con la informacin de la zona externa y dicha zona enlazada a la tarjeta de red externa (eth0), con la opcin listen-on. Y el segundo named configurado con la informacin de la zona interna y dicha zona enlazada a la tarjeta de red interna (eth1). De manera que si la conulta entra por la interfaz de red externa, desde la Internet por ejemplo, el named escuchando en esa interfaz devolver informacin relativa a la zona externa (www.dominio.cl = IP pblica), mientras que si la consulta entra por la interfaz de red interna, desde la LAN, el named escuchando en esa interfaz devolver informacin relativa a la zona interna (www.dominio.cl = IP privada). Con el uso de la declaracin view en /etc/named.conf, BIND 9.x permite configurar un servidor de nombres para que conteste las consultas de algunos clientes de una manera diferente a como les contesta a otros, esto es sobre todo til si se quiere que los clientes externos a la red local no puedan realizar una consulta DNS en particular o ver un tipo determinado de informacin, mientras que al mismo tiempo permitir que los clientes internos si puedan hacerlo. La declaracin view utiliza la opcin match-clients para identificar direcciones IP o redes enteras y entregarles opciones y datos de zona especiales. Las ventajas en comparacin a Split DNS es que Multiple Views levanta un nico daemon, por lo que consume menos recursos, y la informacin de la zona no se amarra a una direccin IP del servidor sino que depender de la direccin IP del cliente. Con esto ya no necesitamos ejecutar el DNS en la mquina que hace de gateway, tpicamente un firewall GNU/Linux, hacia la Internet, ni tampoco necesitamos que la mquina DNS posea dos interfaces de red (fsica o virtual).

1/4

Escenario del ejemplo

En el ejemplo a continuacin se muestran los archivos de configuracin named que representan el siguiente escenario: Red Interna (clientes): 172.16.11.0/24 (segmento de direcciones privadas) Red Externa (Internet): 222.221.220.219/4 (segmento de direcciones pblicas) Todos los servidores en la red privada DMZ son accesados desde Internet gracias a NAT estticos configurados en el Firewall. Los servidores en la red DMZ son accesados desde la red Interna directamente a su direccin DMZ sin NAT, ruteados eso si por el FireWall. Nombre de Mquina ns.midominio.cl correo.midominio.cl mail.midominio.cl webmail.midominio.cl www.midominio.cl Direccin IP interna 172.16.11.85 172.16.11.85 172.16.11.85 172.16.11.85 172.16.11.85 Direccin IP publica 222.221.220.219 222.221.220.219 222.221.220.219 222.221.220.219 222.221.220.219

Archivos de configuracin de ejemplo

??????????????? /etc/named.conf ??????????????? options { directory "/var/named"; dump-file "/var/named/data/cache_dump.db"; statistics-file "/var/named/data/named_stats.txt"; memstatistics-file "/var/named/data/named_mem_stats.txt"; query-source port 53; }; logging { channel default_debug { file "data/named.run"; severity dynamic; }; }; acl internos { 172.16.10.0/24; 172.16.11.0/24; 172.16.12.0/24; localhost; }; view "internal" { match-clients { internos; }; allow-query { internos; }; allow-recursion { internos; }; include "/etc/named.rfc1912.zones"; zone "midominio.cl" IN { type master; file "int/midominio.zone"; allow-transfer { any; }; }; }; view external {

2/4

match-clients { any; }; allow-query { any; }; allow-recursion { none; }; include "/etc/named.rfc1912.zones"; zone "midominio.cl" IN { type master; file "ext/midominio.zone"; allow-transfer { none; }; }; }; En las zonas externas se ha dejado la lnea: allow-transfer { none; }; como una medida de seguridad para bloquear las transferencias de zonas desde Internet. En caso de necesitar que algn servidor de nombres externo sea nuestro DNS secundario (nic.cl por ejemplo), deberemos cambiar las lneas necesarias desde /etc/named.conf a: allow-transfer { ip.dns.externo.cl; }; adems de agregar las lneas: INNSdns.externo.cl. en los respectivos /var/named/int/midominio.zone y /var/named/ext/midominio.zone ??????????????????? /var/named/int/midominio.zone ??????????????????? $TTL 3600 midominio.cl.

ns.midominio.cl. root.midominio.cl. ( 2008031013 ; serial (d. adams) 3H ; refresh 15M ; retry 1W ; expiry 1D ) ; minimum IN NS ns.midominio.cl. IN A 172.16.11.85 IN MX 10 mail.midominio.cl. www IN A 172.16.11.85 correo IN A 172.16.11.85 mail IN A 172.16.11.85 webmail IN A 172.16.11.85 ns IN A 172.16.11.85 ??????????????????? /var/named/ext/mi-dominio.zone ??????????????????? $TTL 3600 midominio.cl.

IN SOA

IN SOA

ns.midominio.cl. root.midominio.cl. ( 2008031001 ; serial (d. adams) 3H ; refresh 15M ; retry 1W ; expiry 1D ) ; minimum IN NS ns.midominio.cl. IN NS secundario.nic.cl. IN A 222.221.220.219 IN MX 10 mail.midominio.cl.

3/4

www IN A 222.221.220.219 correo IN A 222.221.220.219 mail IN A 222.221.220.219 webmail IN A 222.221.220.219 ns IN A 222.221.220.219 Con esto debera ser suficiente para empezar a utilizar la caracterstica de ?Multiple Views? disponible en BIND 9.x. Notar que el orden en que son definidas las vistas en la configuracin del archivo /etc/named.conf es relevante. Por ejemplo, si la vista externa es definida antes que la interna todas las consultas caeran en ella debido a la opcin match-clients { any; }; que calza con todas las direcciones IP de clientes DNS, por lo que no alcanza a pasar a la siguiente vista. Otro comportamiento interesante es el hecho de cerrar nuestro DNS a clientes externos que consulten por dominios externos, es decir cerrar el relay de DNS en analoga al relay de SMTP. Por ejemplo, si eliminamos la definicin de la zona de tipo hint de la vista externa, en este caso la zona ?.?, nos aseguramos de que ningn cliente externo pueda usar nuestro servidor de nombres para resolver direcciones de otros dominios que no sean los explicitamente definidos en la vista externa, esto porque el conjunto inicial de servidores de nombres raz se especifica usando una zona indirecta o hint. Cuando el servidor DNS arranca, utiliza las zonas raices indirectas para encontrar un servidor de nombres raz y conseguir la lista ms reciente de los servidores de nombres raz. Sin los servidores raiz se quiebra desde el principio toda la jerarquia de rbol del servicio de nombres de dominio dejando dicho sistema inoperante.

4/4