Académique Documents
Professionnel Documents
Culture Documents
dit UPM
Ya hemos visto:
DHCP Acceso remoto: SSH Domain Name System: sistema de nombres de dominio Network Time Protocol iptables
Administracin de DNS
Cortafuegos
Nr. - 2010
dit UPM
ADMINISTRACIN DE DNS
Nr. - 2010
dit UPM
ndice
Configuracin de un servidor
Arquitecturas de servicios de nombres Administracin de dominios
Facilidades avanzadas
Aspectos de seguridad
Nr. - 2010
dit UPM
Tabla de mquinas
Nr. - 2010
dit UPM
/etc/hosts
Estableca una correspondencia entre nombres y direcciones IP. 127.0.0.1 localhost localhost.localdomain 10.0.1.1 servidor servidor.adminlibre.dit.upm.es 10.0.1.2 iquitos iquitos.adminlibre.dit.upm.es 10.0.2.2 nauta nauta.servicios.aminlibre.dit.upm.es 10.0.2.3 requena requena.servicios.adminlibre.dit.upm.es 10.0.2.4 yurimaguas yurimaguas.servicios.adminlibre.dit.upm.es 10.0.1.3 lima lima.adminlibre.dit.upm.es 10.0.3.2 cuzco cuzco.imasd.adminlibre.dit.upm.es 10.0.3.3 ica ica.imasd.adminlibre.dit.upm.es 10.0.3.4 huaraz huaraz.imasd.adminlibre.dit.upm.es 138.4.2.10 sanson dns sanson.dit.upm.es 138.4.2.32 dns2 dns2.dit.upm.es Contena informacin de cada equipo Demasiadas direcciones IP en uso hoy en da (>400M) Cmo sincronizar los nombres con las direcciones IP?
Nr. - 2010
dit UPM
Servicio de nombres
el esquema de distribucin es jerrquico fcil de usar en las aplicaciones (gethostbyname()) espacio de nombres es global Escalable
No hay tamao mximo de la base de datos (.com 60Millones) No hay lmite de preguntas (24.000 en HW normal)
Nr. - 2010
dit UPM
Servicio de nombres
Almacena
Direcciones IPv4 Direcciones IPv6 Nombres bsquedas inversas Se puede utilizar para otros fines Almacenamiento de caractersticas de mquinas Configuracin de servicios
Servidor de nombres Servidor de voip
Nr. - 2010
dit UPM
Modelo de informacin
mil
edu
gov nsf
int
com
net
org isoc
us ole
es
jp
uk
sanson jungla
dit UPM
in-addr.arpa.
20
185
143 20
59
27 10 31
201
3 80
26
138 88 2 10
dit UPM
Resolucin de nombres
Aplicacin Mquina cliente cliente 6 1 Mquina servidor
Servidor de nombres
3 4
DIB
Resolver
TCP/IP
2 5
TCP/IP
Otros servidores
Nr. - 2010
dit UPM
Configuracin y administracin
Configuracin de un dominio
Nr. - 2010
dit UPM
dit UPM
gethostbyname(), gethostbyaddr() Full Qualified Domain Name: nombre completo hasta la raiz . servidor.adminlibre.dit.upm.es. host.conf
order hosts,bind multi on
FQDN
nsswitch.conf
hosts files mdns4_minimal dns mdns4
hosts/files
Entradas locales con el formato: <IP nombre nombre FQDN>
Nr. - 2010
dit UPM
Nr. - 2010
dit UPM
Definicin de dominio
Control administrativo de cada subdominio puede variar Dominio raz o . Dominio .es Dominio upm.es Dominio dit.upm.es Completa el nombre dado en /etc/hostname
sanson.dit.upm.es.
En /etc/resolv.conf
Nr. - 2010
dit UPM
/etc/resolv.conf - search
lince lince.dit.upm.es.
Nr. - 2010
dit UPM
/etc/resolv.conf - nameserver
Como no es necesario tener un servidor de nombres en todas las mquinas se debe seleccionar al menos uno.
nameserver 138.4.2.10
Cuando falla el acceso al servidor no se vuelve a buscar en /etc/hosts El resolver siempre busca en el mismo orden segn lo indicado
Nr. - 2010
dit UPM
/etc/resolv.conf - sortlist
Nr. - 2010
dit UPM
dit UPM
se pueden utilizar dominios inventados hay que estar registrado en un dominio pblico Enganchado al rbol invertido del DNS conectado con el resto de la BD mundial desde . se puede operar con una parte pblica y otra privada
Acceso completo
Nr. - 2010
dit UPM
Servidores
Master: servidor primario Slave: servidores secundarios Pregunta a masters hasta hallar la respuesta Disponen de una cach para responder ms rpidamente
Entradas en la cach slo es temporal (TTL)
Servidor recursivo
Forwarders
Nr. - 2010
dit UPM
DIBUJO DE SERVIDORES
Nr. - 2010
dit UPM
UNIX
Instalar
$ apt-get install bind9
Nr. - 2010
dit UPM
Configuracin
Qu tipo de servidor es
Master Slave
Fichero de hints
Con el nombre de la zona Con el nombre inverso Contiene la informacin de cada recurso de la zona
Nr. - 2010
dit UPM
Configuracin Master
El master tiene un fichero por cada zona con al informacin El slave (esclavo) obtiene la informacin de la zona haciendo una transferencia del master Cada zona tiene su fichero de datos
Con el nombre de la zona Con el nombre inverso Contiene la informacin de cada recurso de la zona
Nr. - 2010
dit UPM
Registros de recursos
informacin asociada a cada nodo <Owner TTL Class Type Value> Owner nombre de dominio, propietario del RR TTL time to live, cunto tiempo un RR puede estar en la copia cach antes de ser descartado identifica a una familia de protocolos (IN en Internet)
Class
Nr. - 2010
dit UPM
Registros de recursos
<Owner TTL Class Type Type tipo de recurso
A MX NS CNAME HINFO PTR SOA A MX NS CNAME HINFO PTR SOA
Nr. - 2010
Value>
IPv4 address Mail eXchanger Name Server Canonical Name, alias Host description Pointer (alias de un dominio) Start of a zone of authority
dit UPM
Ficheros de registros
Lista de todos los registros conocidos de una zona Todas las lneas acaban en ; Comentarios
Nr. - 2010
dit UPM
Nmero de serie
Incrementado al realizar un cambio en la zona, indica la versin ms reciente Puede ser una fecha: AAAAMMDDXX
Intervalo de refresco
Cada cuanto tiempo comprueba un esclavo si el nmero de serie ha cambiado
Intervalo de reintento
Si el intento de comprobacin del nmero de serie ha fallado, cuanto tiempo debe esperar antes de volver a intentarlo
Intervalo de expiracin
Si en este intervalo no se ha podido contactar con el master, dejar de ser autoritario para esta zona
Cach negativo
Cuanto tiempo se guarda en la cach un resultado negativo
Nr. - 2010
dit UPM
Ejemplo de SOA
Servidor master
exmpl.com. IN SOA ns.exmpl.com. correo.exmpl.org. ( 2010040400 ; nmero de serie 10800 ; refresh 3h 3600 ; retry 1h 604800 ; expire 1w 10800 ) ; ncache 3h
Nr. - 2010
dit UPM
Ficheros de registros - NS
Se usa para delegar una zona a otro servidor Es conveniente tener ms de uno RR de esa zona estn en otro servidor
subdom.exmpl.com. IN NS subdom.exmpl.com. IN NS
servidor.otrodom.com. servidor2.otrodom.com.
Nr. - 2010
dit UPM
Ficheros de registros - A
equipo.exmpl.com. IN equipo2 IN
A A A
10.0.1.200 10.3.20.114
Nr. - 2010
dit UPM
CNAME
Indican a un resolver que la informacin del RR pedido se halla bajo otro nombre Es el nico RR que debe existir de un nombre
alias.exmpl.com.
IN
CNAME
A?
real.exmpl.com.
alias.exmpl.com
Nr. - 2010
dit UPM
Ficheros de registros - MX
MX
Nr. - 2010
dit UPM
PTR
Nr. - 2010
dit UPM
Abreviaturas
El nombre del servidor primario se aade a todos los nombres no completos (que no terminan en .)
lince.dit.upm.es. lince 171.3.4.138.in-addr.arpa. 171 IN A 138.4.3.171 IN A 138.4.3.171 IN PTR lince.dit.upm.es. IN PTR lince.dit.upm.es.
Nr. - 2010
dit UPM
Abreviaturas de nombres
Nr. - 2010
dit UPM
Es necesario tener al menos un servidor de nombres esclavo del primario Muchas veces hay mas de dos. Sirve adems para repartir carga Diferencias
el primario tiene la informacin local el esclavo la coge por la red (zone transfer)
Nr. - 2010
dit UPM
La Tabla de Mquinas solo sirve para dar nombres a las mquinas. DNS permite encaminar el correo electrnico. DNS ofrece la posibilidad de indicar servidores de correo alternativos El registro MX sirve para indicar el servidor para
Nr. - 2010
dit UPM
Servidores de correo
Se puede especificar mas de un servidor de correo Para evitar bucles se aade un parmetro que es la preferencia, que indica la prioridad de cada servidor.
dit.upm.es.
IN
MX
10 mail.dit.upm.es.
Cuando se dan varios se ordenan por prioridad y se evalan en ese mismo orden:
selva IN IN IN IN A MX MX MX
0 10 100
Se pueden dar valores de 0 a 65535 Es recomendable indicar un registro MX para cada mquina
Nr. - 2010
dit UPM
Tamao
para manejar todo el correo para encolarlo si es necesario en funcionamiento la mayor parte del tiempo
Disponible
Conectividad
Gestin y administracin
Nr. - 2010
dit UPM
Se busca el servidor adecuado con mas prioridad y se entrega el mensaje a ese. Si no est disponible se busca el siguiente en funcin del orden de prioridad. Se deben usar siempre nombres cannicos.
Nr. - 2010
dit UPM
Entrega de mensajes
se descartan los servidores con igual o mayor prioridad se intenta mandar el mensaje al de prioridad mas baja si falla se encola y se prueba mas tarde. da un error y devuelve el mensaje se puede configurar el sendmail para evitarlo
Nr. - 2010
dit UPM
dit UPM
Herramientas de diagnstico
dit UPM
dig
Nr. - 2010
dit UPM
dig
$ dig tuenty.com a ; <<>> DiG 9.6.0-APPLE-P2 <<>> tuenty.com a ;; global options: +cmd ;; Got answer: ;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 4018 ;; flags: qr rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 2, ADDITIONAL: 2 ;; QUESTION SECTION: ;tuenty.com.
Nr. - 2010 ;; ANSWER SECTION:
IN
dit UPM
dit UPM
si se actualiza el secundario se pierde el cambio con la siguiente actualizacin Actualizar el nmero de serie Aadir los registros: A, CNAME, MX
Fichero db.DOMINIO
Fichero db.DIRECCION
Nr. - 2010
dit UPM
Trazas de funcionamiento
Durante la operacin se generan trazas de funcionamiento Como mnimo se deben volcar los errores Se suele enviar la informacin al syslog Hay dos categoras de mensajes
Nr. - 2010
dit UPM
Trazas de funcionamiento
Nr. - 2010
dit UPM
Arquitecturas de DNS
Poner un secundario fuera de las redes del dominio conectividad versiones de software homogeneidad seguridad
Nr. - 2010
dit UPM
replicarlo en varios procesos (BIND 4) limitar la carga que admite (BIND 4.9)
Las transferencias de zonas suponen muchos mensajes de DNS sobre conexiones TCP.
Nr. - 2010
dit UPM
no traer todas las BD de golpe sino poco a poco transferencias por servidor * nmero de servidores
por defecto son 2 horas despus de ese tiempo se considera que el servidor ha muerto se pueden poner varios registros en un mensaje DNS
Nr. - 2010
dit UPM
Recursos limitados
Limitando el tamao de la pila Limitando el tamao del proceso Limitando el nmero de ficheros abiertos
Nr. - 2010
dit UPM
Aadiendo mas servidores primarios maestros Aumentando los intervalos de refresco para que los secundarios no tengan que sondear con mucha frecuencia. Cargar unos secundarios de otros Crear servidores cache Crear servidores secundarios parciales
Nr. - 2010
dit UPM
Cuando es necesario delegar o distribuir la gestin entre varios grupos (organizaciones) Cuando el tamao del dominio es muy grande
Cuando es necesario distinguir las mquinas dentro de una organizacin por grupos
Nr. - 2010
dit UPM
Elegir nombres que no sean susceptibles de cambios frecuentes Si los nombres de la organizacin no son estables usar nombres geogrficos No sacrificar la legibilidad Utilizar nombres obvios
Nr. - 2010
dit UPM
Mantenimiento
peridicamente se revisa la cache y se eliminan las entradas obsoletas BIND 8 consume menos disco que BIND 4 donde no se limpia para que el servidor atienda por todas las interfaces aunque estas se activen y desactiven. plazo para volcar estadsticas para no entorpecer el funcionamiento normal
Nr. - 2010
dit UPM
La mayora de los servicios mejoran si se accede a la interfaz correcta Si se accede al nombre (selva) se puede elegir la interfaz no deseada
red 20
red 30
Nr. - 2010
dit UPM
Ordenacin de respuestas
Si una mquina pregunta por otra de su misma red, se ordena la respuesta para que la direccin de esa red aparezca la primera. Si la mquina que pide la direccin es de otra red no conectada directamente a ninguna de las interfaces
Nr. - 2010
dit UPM
Forwarders
Cuando un sitio tiene una conexin de baja capacidad con Internet Interesa minimizar al mximo las peticiones fuera y mantener una cache local
Clientes
Nr. - 2010
dit UPM
Configuracin
Los clientes no tienen nada especial Los servidores locales deben saber que existe uno o mas forwarders
Nr. - 2010
dit UPM
Servidor en grupo
Nr. - 2010
dit UPM
/etc/hosts NIS DNS mv /etc/hosts /etc/hosts.tmp touch /etc/hosts (cd /var/yp; make) mv /etc/hosts.tmp /etc/hosts /etc/host.conf /etc/nsswitch.conf
Ignorar NIS
Nr. - 2010
dit UPM
DNS y Windows 95
Dial-up networking TCP/IP settings LMHOSTS WINS DNS el nombre de la mquina los servidores en los que buscar dominios en los que buscar
El orden de bsqueda es
Se puede indicar
Nr. - 2010
dit UPM
Notificaciones de cambio
Cuando se efecta un cambio en el primario no se percibe hasta que vence el plazo de actualizacin
DNS NOTIFY (RFC 1996)
el primario enva una peticin NOTIFY a los esclavos el esclavo asiente NOTIFY el esclavo hace como se el periodo de actualizacin hubiera vencido solo si el nmero de serie ha aumentado se transfiere la zona
Nr. - 2010
dit UPM
Configuracin
Est configurado por defecto El servidor DNS para NT dispone de esta facilidad No siempre se desea que este activada
Nr. - 2010
dit UPM
Configuracin explcita
zone acmebw.com { type master; file acmebd.com.db; notify yes; also-notify 15.255.152.4; };
Nr. - 2010
dit UPM
Movilidad
Se desea que la misma mquina se pueda conectar a varias redes Se puede utilizar DHCP para asignar nmero de IP al cliente Pero hay que actualizar la BD de DNS Actualizacin dinmica (RFC 2136)
Nr. - 2010
dit UPM
Actualizacin dinmica
Por lnea de comandos (nsupdate) o por programa Establecer prerequisitos antes de actualizar
update delete domain name [type][name] update add domain name ttl [class] type rdata
Nr. - 2010
dit UPM
Ejemplos
nsupdate prereg yxrrset yeti.dit.upm.es. in mx update delete yeti.dit.upm.es. In mx update add yeti.dit.upm.es. In mx 10 yeti.dit.upm.es. Update add yeti.dit.upm.es. In mx 50 selva.dit.upm.es.
Nr. - 2010
dit UPM
Aspectos de seguridad
A quien contestar
A quien ofrecer la notificacin de cambios A quien permitir que se actualice dinmicamente
Nr. - 2010
dit UPM
Seguridad
Nr. - 2010
dit UPM
Nr. - 2010
dit UPM
limita las transferencias de zona adems de las peticiones secure_zone IN TXT 138.4.23.0:255.255.255.0 secure_zone IN TXT 138.4.2.0:255.255.255.192 secure_zone IN TXT 127.0.0.1:H
Nr. - 2010
dit UPM
Configuracin
Configuracin
Configuracin
Nr. - 2010
dit UPM
Ejemplo (BIND 8)
primario
zone acmebw.com { type master; file db.acmebw; allow-transfer {192.168.0.1; 192.168.1.1; }; };
esclavo
zone acmebw.com { type slave; masters { 192.168.0.4; }; allow-transfer { none; }; };
Nr. - 2010
dit UPM
Reglas de seguridad
Nr. - 2010
dit UPM