Servidor DNS en Fedora9

8/6/2019 Servidor DNS en Fedora9

1/21

PRIMERA PARTE

Servidor DNS en Fedora

[BIND 9.5 EN FEDORA 9]

Ing. Agustn Ros Reyes

18/02/2009

Este documenta trata la configuracin bsica de un servidor DNS en Linux fedora 9, con el paquete BIND9.5.esta configuracin representa un ejemplo en una LAN, y solo trata la configuracin del servidor DNS,

posterior mente se tratara la configuracin de otros servicios como correo electrnico y un servidor web,

pero esto ser en la segunda entrega.

9


2/21

Servidor DNS en Fedora. 2009

2 Ing. Agustn Ros Reyes

BIND 9.5

[email protected]

9

ndice

ndice ...2Introduccin 3

1.Conceptos previos 41.1.Qu significa DNS? 41.2.Porque usar un servidor DNS? ...41.3.Cmo funciona el DNS? .41.3.1.El Espacio de Nombres de Dominio ..41.3.2.El Espacio de Nombres de Dominio en Internet51.3.3.Delegacin ..62. Componentes de un DNS 62.1. Clientes DNS 62.2. Servidores DNS 6

2.3. Zonas de Autoridad ..72.3.1. Zonas de Reenvo ..82.3.2. Zonas de Resolucin Inversa 83. Instalacin de los paquetes..83.1. Paquetes necesarios para la configuracin...83.2. Comprobando que los paquetes estn instalados. ...93.3. Instalar los paquetes necesarios. .94. Configuracin del servidor..94.1. Archivos de configuracin. ...104.1.1. El archivo named.conf ...104.1.2. El archivo named.rfc1912.zones 104.1.3. Archivos de zonas. .104.1.3.1. Archivo de zona de reenvi (nitsugario.com.zone) .114.1.3.2. Archivo de zona de resolucin inversa (192.168.1 )114.2. Configuracin de los archivos y creacin del los archivos de zonas.114.2.1. Creacin de archivos de zonas. ..114.2.1.1. Zona de reenvi nitsugario.com...114.2.1.1.1. Descripcin del archivo nitsugario.com.zone..124.2.1.2. Zona de resolucin inversa 1.168.192.in-addr.arpa144.2.1.2.1. Descripcin del archivo 192.168.1 ...154.2.2. Configuracin del archivo named.rfc1912.zones...15

4.2.2.1. Descripcin del archivo named.rfc1912.zones164.2.3. Configuracin del archivo named.conf...174.2.3.1 Descripcin del contenido del archivo named.conf.175. Comprobando que funcione la configuracin...185.1. Iniciando el servidor ...185.2. Parando el servidor 195.3. Reiniciando el servidor: 195.4. Aadir el servidor al arranque del sistema.195.5. Depuracin de la configuracin .195.6. Pruebas con ping20

Bibliografa 21


3/21



BIND 9.5

[email protected]

9

Introduccin

En la actualidad ay millones de computadoras conectadas a internet, las cuales brindan servicios web y otrasque son de usa privado de empresas. Todas estas computadoras estn identificadas con una direccin IP, perocomo hacer para identificar y mantener la pista de todas estas computadoras cuando pertenecen a tantospases, redes y grupos administrativos distinto? Para esta tarea titnica ay dos elementos que mantienen todoesto junto y en orden:

El sistema de nombres de dominio DNS (Domain Name System), cuya funcin es saber quin es cada hostcon respecto a una direccin IP y un Nombre nico en la red.

El otro elemento es el sistema de enrutamiento de internet, que se encarga de conocer cmo estn conectadasentre s todas estas computadoras y equipos.

Este documento solo abarcaremos la parte concerniente al Sistema de nombres de dominio. Estudiaremos susdefiniciones, elementos caractersticas, y el modo de configurar uno en nuestra casa.

Utilizaremos el sistema operativo Linux Fedora 9 y el paquete por excelencia para hacer esta tarea BIND ensu versin 9.5.

BIND (acrnimo de Berkeley Internet Name Domain) es una implementacin del protocolo DNS y proveeuna implementacin libre de los principales componentes del Sistema de Nombres de Dominio, los cualesincluyen:

Un servidor de sistema de nombres de dominio (named). Una biblioteca resolutoria de sistema de nombres de dominio. Herramientas para verificar la operacin adecuada del servidor DNS (bind-utils).

El Servidor DNS BIND es ampliamente utilizado en la Internet (99% de los servidores DNS)proporcionando una robusta y estable solucin.

Alguna duda o comentario sobre este documento enviar un mensaje a mi correo:

[email protected]

Recuerda que si te equivocas o cometes un erro en algo, recuerda has aprendido una forma de

cmo no hacerlo (Agustn Ros).

Este documento y su contenido pueden ser copiados o distribuido

siempre que se mantenga el nombre del autor.


4/21



BIND 9.5

[email protected]

9

1. Conceptos previos1.1. Qu significa DNS?DNS acrnimo de Domain Name System que interpretado en espaol es Sistema de Nombres de Dominio.

1.2. Porque usar un servidor DNS?Al comienzo de TCP/IP, puesto que las redes no eran muy extensas, o en otras palabras que el nmero deequipos conectados a la misma red era bajo, los administradores de red crearon archivos llamados tablas deconversin manual. Estas tablas de conversin manual eran archivos secuenciales, por lo general llamadoshosts o hosts.txt, y asociaban en cada lnea la direccin IP del equipo con el nombre literal relacionado,denominado nombre del ordenador.

Sin embargo, el anterior sistema de tablas de conversin exiga una actualizacin manual de las tablas para latotalidad de los equipos en caso de incluir o modificar el nombre de una mquina. Por lo tanto, con el

aumento en tamao de las redes y sus interconexiones, fue necesario implementar un sistema de gestin paralos nombres que fuese jerrquico y fcil de administrar. El sistema llamado Sistema de Nombres de Dominio(DNS) fue desarrollado en noviembre de 1983 por Paul Mockapetris (RFC 882 y RFC 883) y luego revisadoen 1987 en las RFC 1034 y 1035. El DNS ha sido sometido a varias RFC.

Este sistema ofrece:

un espacio de nombre jerrquico que permite garantizar la singularidad de un nombre en unaestructura arbrea, como por ejemplo sistemas de archivo Unix.

un sistema de servidores de distribucin que permite que el espacio de nombre est disponible.

un sistema de cliente que permite "resolver" nombres de dominio, es decir, interrogar a losservidores para encontrar la direccin IP que corresponde a un nombre.

1.3. Cmo funciona el DNS?El Sistema de Nombres de Dominio permite a los usuarios de una red TCP/IP utilizar nombres jerrquicos ydescriptivos para localizar fcilmente ordenadores (hosts) y otros recursos en dicha red, evitando de estamanera tener que recordar la direccin IP de cada ordenador al que se desea acceder. En esencia, DNS es unabase de datos distribuida que contiene asociaciones de nombres simblicos (de hosts) a direcciones IP. Elhecho de que sea distribuida permite delegar el control sobre diferentes segmentos de la base de datos adistintas organizaciones, pero siempre de forma que los datos de cada segmento estn disponibles en toda lared, a travs de un esquema cliente-servidor.

Los programas denominados servidores de nombres (name servers) constituyen la parte servidora delesquema cliente-servidor. Los servidores de nombres contienen informacin sobre algunos segmentos de labase de datos y los ponen a disposicin de los clientes, llamados solucionadores o resolvers.

1.3.1. El Espacio de Nombres de DominioLa base de datos distribuida de DNS est indexada por nombres de dominio. Cada nombre de dominio esesencialmente una trayectoria en un rbol invertido denominado espacio de nombres de dominio. Laestructura jerrquica del rbol es similar a la estructura del sistema de ficheros UNIX. El rbol tiene unanica raz en l nivel superior llamada raz (root). Cada nodo del rbol puede ramificarse en cualquier nmero

de nodos de nivel inferior. La profundidad del rbol est limitada a 127 niveles.


5/21



BIND 9.5

[email protected]

9

Cada nodo en el rbol se identifica mediante una etiqueta no nula que puede contener hasta 63 caracteres,excepto el nodo raz, identificado mediante una etiqueta nula. El nombre de dominio completo de cualquiernodo est formado por la secuencia de etiquetas que forman la trayectoria desde dicho nodo hasta la raz,separando cada etiqueta de la siguiente mediante un punto. De esta forma, el nombre del nodo especifica deforma unvoca su localizacin en la jerarqua. A este nombre de dominio completo o absoluto se le conoce

como nombre de dominio completamente cualificado o Fully Qualified Domain Name (FQDN). Al ser nulala etiqueta que identifica el nodo raz, el FQDN de cualquier nodo del rbol siempre acaba con un punto. Lanica restriccin que se impone en el rbol de nombres es que los nodos hijos del mismo padre tenganetiquetas diferentes.

Como ejemplo: suponiendo que se tiene un dispositivo cuyo nombre de anfitrin es maquina1 y undominio dominio.com, el FQDN sera maquina1.dominio.com., de modo define de modo nico aldispositivo mientras que pudieran existir muchos anfitriones llamados maquina1, solo puede haber unollamado maquina1.dominio.com.. La ausencia del punto al final definira que se pudiera tratar tan solo deun prefijo, es decir maquina1.dominio.com pudiera ser de un dominio ms largo comomaquina1.dominio.com.mx.

La longitud mxima de un FQDN es de 255 bytes, con una restriccin adicional de 63 bytes para cadaetiqueta dentro del nombre del dominio. Solo se permiten los caracteres A-Z de ASCII, dgitos y el carcter-. No se distinguen maysculas y minsculas.

En el esquema jerrquico de nombres DNS, se denomina dominio a cualquier subrbol del espacio denombres de dominio. De esta forma, cada dominio puede contener, a su vez, otros dominios. Generalmente,los hosts estn representados por las hojas del rbol, aunque es posible nombrar a un host con una etiquetacorrespondiente a un nodo intermedio del rbol (en este caso, tendramos un dominio y un nodo que sellaman igual).

La informacin sobre los nombres de dominio DNS se guarda mediante los denominados registros de

recursos en los servidores DNS de la red. Concretamente, cada servidor DNS contiene los registros derecursos necesarios para responder a las consultas sobre la parte del espacio de nombres en la que tieneautoridad.

1.3.2. El Espacio de Nombres de Dominio en InternetEl estndar DNS no impone muchas reglas sobre las etiquetas de los nombres de dominio, ni tampoco asociaun significado determinado a las etiquetas de un determinado nivel del espacio de nombres.Cuando manejamos una parte de este espacio, podemos decidir el significado y la sintaxis de nuestrosnombres de dominio. Sin embargo, en el espacio de nombres Internet existente, se ha impuesto unaestructura de nombres bien definida, especialmente en los dominios de primer nivel.

Los dominios originales de primer nivel dividan originalmente el espacio de nombres de Internet en sietedominios: com, edu, gov, mil, net, org, e int. Posteriormente, para acomodar el crecimiento y lainternacionalizacin de Internet, se reservaron nuevos dominios de primer nivel que hacan referencia apases individuales.

Actualmente, los dominios originales se denominan dominios de primer nivel genricos y han surgidonuevos nombres que se ajustan a los tiempos que corren.


6/21



BIND 9.5

[email protected]

9

1.3.3. Delegacin

Es importante resaltar que el objetivo principal del diseo del sistema de nombres de dominio fue suadministracin descentralizada. Este objetivo se consigue a travs de la delegacin. La delegacin dedominios funciona de forma parecida a la delegacin de tareas en una organizacin. Un responsable de

proyecto divide el proyecto en pequeas tareas y asigna (delega) la responsabilidad de las mismas adiferentes empleados.

De la misma forma, una organizacin que administra un dominio puede dividirla en subdominios. Cadasubdominio puede ser delegado a diferentes organizaciones, lo cual implica que esa organizacin serresponsable de mantener los datos (registros de recursos) de ese subdominio. Esa organizacin puedelibremente cambiar los datos e incluso volver a dividir el dominio delegado en subdominios y delegarlos. Eldominio padre solamente contiene enlaces a los responsables del subdominio delegado, de forma que puedahacer referencia a ellos cuando se le planteen consultas sobre nombres en dicho subdominio delegado.

Realmente, la subdivisin de un dominio en subdominios y la delegacin de dichos subdominios son cosasdistintas. En primer lugar, un dominio que tenga capacidad de autogestin (autoridad), siempre puede decidirsubdividirse en diferentes subdominios, manteniendo l en principio la autoridad sobre todos ellos.Posteriormente, la organizacin que gestiona el dominio puede decidir adems delegar la autoridad dealgunos (o todos) sus subdominios en otras organizaciones. La delegacin es una accin que siempre decideel dominio padre, y ste puede revocarla cuando desee, volviendo a retomar la autoridad sobre el subdominioque haba delegado.

2. Componentes de un DNSLos DNS operan a travs de tres componentes: Clientes DNS, Servidores DNS y Zonas de Autoridad.

2.1. Clientes DNSSon programas que ejecuta un usuario y que generan peticiones de consulta para resolver nombres.Bsicamente preguntan por la direccin IP que corresponde a un nombre determinado.

2.2. Servidores DNSSon servicios que contestan las consultas realizadas por los Clientes DNS. Hay dos tipos de servidores denombres:

Servidor Maestro(o primario)Obtiene los datos del dominio a partir de un fichero hospedado en el mismo servidor.

Servidor Esclavo(o secundario)Al iniciar obtiene los datos del dominio a travs de un servidor un Servidor Maestro, realizando un procesodenominado transferencia de zona.

Un gran nmero de problemas de operacin de servidores DNS se atribuyen a las pobres opciones deservidores secundarios para las zonas de DNS. De acuerdo al RFC 2182, el DNS requiere que al menos tresservidores existan para todos los dominios delegados (o zonas).

Una de las principales razones para tener al menos tres servidores para cada zona es permitir que lainformacin de la zona misma est disponible siempre y forma confiable hacia los Clientes DNS a travs deInternet cuando un servidor DNS de dicha zona falle, no est disponible y/o est inalcanzable.

Contar con mltiples servidores tambin facilita la propagacin de la zona y mejoran la eficiencia del

sistema en general la brindar opciones a los Clientes DNS si acaso encontraran dificultades para realizar unaconsulta en un Servidor DNS. En otras palabras: tener mltiples servidores para una zona permite contar conredundancia y respaldo del servicio.


7/21



BIND 9.5

[email protected]

9

Con mltiples servidores, por lo general uno acta como Servidor Maestro o Primario y los dems comoServidores Esclavos o Secundarios. Correctamente configurados y una vez creados los datos para una zona,no ser necesario copiarlos a cada Servidor Esclavo o Secundario, pues ste se encargar de transferir losdatos de manera automtica cuando sea necesario.Los Servidores DNS responden dos tipos de consultas:

Consultas Iterativas (no recursivas)El cliente hace una consulta al Servidor DNS y este le responde con la mejor respuesta que pueda darsebasada sobre su cach o en las zonas locales. Si no es posible dar una respuesta, la consulta se reenva haciaotro Servidor DNS repitindose este proceso hasta encontrar al Servidor DNS que tiene la Zona de Autoridadcapaz de resolver la consulta.

Consultas RecursivasEl Servidor DNS asume toda la carga de proporcionar la una respuesta completa para la consulta realizadapor el Cliente DNS. El Servidor DNS desarrolla entonces Consultas Iterativas separadas hacia otrosServidores DNS (en lugar de hacerlo el Cliente DNS) para lograr la respuesta.

2.3. Zonas de AutoridadPermiten al Servidor Maestro o Primario cargar la informacin de una zona. Cada Zona de Autoridad abarcaal menos un dominio y posiblemente sus sub-dominios, si estos ltimos no son delegados a otras zonas deautoridad.

La informacin de cada Zona de Autoridad es almacenada de forma local en un fichero en el Servidor DNS.Este fichero puede incluir varios tipos de registros:

TIPO DE REGISTRO DESCRIPCINA (Address) Registro de direccin que resuelve un nombre de un anfitrin hacia una direccin

IPv4 de 32 bits.AAAA Registro de direccin que resuelve un nombre de un anfitrin hacia una direccinIPv6 de 128 bits.

CNAME(Canonical Name)

Registro de nombre cannico que hace que un nombre sea alias de otro. Losdominios con alias obtienen los sub-dominios y registros DNS del dominiooriginal.

MX (Mail Exchange) Registro de servidor de correo que sirve para definir una lista de servidores decorreo para un dominio, as como la prioridad entre stos.

PTR (Pointer) Registro de apuntador que resuelve direcciones IPv4 hacia el nombre anfitriones.Es decir, hace lo contrario al registro A. Se utiliza en zonas de Resolucin Inversa.

NS (Name Server) Registro de servidor de nombres que sirve para definir una lista de servidores denombres con autoridad para un dominio.

SOA(Start of Authority)

Registro de inicio de autoridad que especifica el Servidor DNS Maestro (oPrimario) que proporcionar la informacin con autoridad acerca de un dominio deInternet, direccin de correo electrnico del administrador, nmero de serie deldominio y parmetros de tiempo para la zona.

SRV (Service) Registro de servicios que especifica informacin acerca de servicios disponibles atravs del dominio. Protocolos como SIP (Session Initiation Protocol) y XMPP(Extensible Messaging and Presence Protocol) suelen requerir registros SRV en lazona para proporcionar informacin a los clientes.

TXT (Text) Registro de texto que permite al administrador insertar texto arbitrariamente en unregistro DNS. Este tipo de registro es muy utilizado por los servidores de listasnegras DNSBL (DNS-based Blackhole List) para la filtracin de Spam. Otro

ejemplo de uso son las VPN, donde suele requerirse un registro TXT para definiruna llave que ser utilizada por los clientes.


8/21



BIND 9.5

[email protected]

9

Las zonas que se pueden resolver son:

2.3.1. Zonas de ReenvoDevuelven direcciones IP para las bsquedas hechas para nombres FQDN (Fully Qualified Domain Name).

En el caso de dominios pblicos, la responsabilidad de que exista una Zona de Autoridad para cada Zona deReenvo corresponde a la autoridad misma del dominio, es decir, y por lo general, quien est registrado comoautoridad del dominio tras consultar una base de datos WHOIS. Quienes compran dominios a travs de unNIC (por ejemplo: www.nic.mx) son quienes se hacen cargo de las Zonas de Reenvo, ya sea a travs de supropio Servidor DNS o bien a travs de los Servidores DNS de su ISP.

Salvo que se trate de un dominio para uso en una red local, todo dominio debe ser primero tramitado con unNIC como requisito para tener derecho legal a utilizarlo y poder propagarlo a travs de Internet.

2.3.2. Zonas de Resolucin InversaDevuelven nombres FQDN (Fully Qualified Domain Name) para las bsquedas hechas para direcciones IP.

En el caso de segmentos de red pblicos, la responsabilidad de que exista de que exista una Zona deAutoridad para cada Zona de Resolucin Inversa corresponde a la autoridad misma del segmento, es decir, ypor lo general, quien est registrado como autoridad del segmento tras consultar una base de datos WHOIS.

Los grandes ISP, y en algunos casos algunas empresas, son quienes se hacen cargo de lasZonas de Resolucin Inversa.

3. Instalacin de los paquetes3.1. Paquetes necesarios para la configuracinPrimero que nada se requiere tener instalado los siguientes paquetes.

bind:Este paquete incluye el Servidor DNS (named) y herramientas para verificar su funcionamiento.

bind-libs:Este paquete contiene Bibliotecas compartida que consiste en rutinas para aplicaciones para utilizarse cuandose interacte con Servidores DNS.

bind-chroot:Contiene un rbol de ficheros que puede ser utilizado como una jaula chroot para named aadiendoseguridad adicional al servicio.

bind-utils:Este paquete contiene una Coleccin de herramientas para consultar Servidores DNS.

Caching-nameserver:Ficheros de configuracin que harn que el Servidor DNS acte como un cach para el servidor de nombres.


9/21



BIND 9.5

[email protected]

9

3.2. Comprobando que los paquetes estn instalados.Para comprobar que los paquetes estn instalados utilizremos el comando rpm -q nombrepaquete en unaterminal. Este se hace para todos los paquetes que se quieran verificar, si el paquete est instalado nosdevolver el nombre del paquete y su nmero de versin. Esto sera algo as:

[root@nitsugario ~]# rpm -q bindbind-9.5.0-29.b2.fc9.x86_64

[root@nitsugario ~]# rpm -q bind-libsbind-libs-9.5.0-29.b2.fc9.x86_64

[root@nitsugario ~]# rpm -q bind-chrootbind-chroot-9.5.0-29.b2.fc9.x86_64

[root@nitsugario ~]# rpm -q bind-utilsbind-utils-9.5.0-29.b2.fc9.x86_64

[root@nitsugario ~]# rpm -q cachinh-nameserverEl paquete caching-nameserver no est instalado

3.3. Instalar los paquetes necesarios.si la respuesta es coma la que mostro el paquete aching-nameserver , tendremos que instalar los paquetes,una forma fcil para instalar todos los paquetes es utilizando el comando yum, de la siguiente forma:

[root@nitsugario ~]# yum -y inatall bind bind-libs bind-chroot bind-utils caching-nameserver

Si se utiliza de Red HatTM Enterprise Linux 4, o versiones posteriores, se puede instalar utilizando losiguiente:

[root@nitsugario ~]# up2date -i bind bind-chroot bind-utils caching-nameserver

Nota:para la utilizacin del comando yum y up2date, se requiere tener acceso a internet.Nota: recuerda que para poder instalar paquetes, debes tener privilegios de sper usuario.

Una vez instalado todo lo necesario, podemos empezar a configurar nuestro servidor.

4. Configuracin del servidorPrimero voy explicar cmo se conformara el ejemplo que vamos a utilizar. Se esta utilizando Fedora 9, elservidor est conectado a una red privada (LAN),el cual tiene una direccin IP que es la 192.168.1.2 y en lared estn otras dos maquinas que son las PCs de mi hermano Cesar (IP 192.168.1.1, SO. Windows XP) y laPC de mi hermana Luz Elena (IP 192.168.1.3, SO Windows XP). Para esta red he escogido el dominionitsugario.com, el cual tendr los servicios y www, pop3, smtp, ftp, estor servicios sern configuradosposterior mente.


10/21



BIND 9.5

[email protected]

9

4.1. Archivos de configuracin.4.1.1. El archivo named.conf:este archivo es el principal para la configuracin de named y es el que nos indica porque puerto escuchara elservidor, porque direccin IP, es donde se agregan las zonas de los domins, indica quienes tienen permisos

de realizar bsquedas y otros parmetros mas que se explicaran ms adelante.

Se encuentra en el directorio /etc. Para acceder a l, usamos el comando cd de la siguiente forma.

[root@nitsugario ~]# cd /etcpara ver el contenido del directorio usamos el comando ls.[root@nitsugario etc]# ls

4.1.2. El archivo named.rfc1912.zones:En este archivo se declaran las zonas existentes en el servidor, zona de reenvi y zona de resolucin inversa,as como llamada a los archivos en los que se encuentra la configuracin de dichas zonas.

Se encuentra en el directorio /etc. Para acceder a el, usamos el comando cd de la s iguiente forma.[root@nitsugario ~]# cd /etc

4.1.3. Archivos de zonas.Estos archivos los tenemos que crear nosotros (archivo de zona de reenvi y archivo de zona de resolucin

inversa) y guardarlos con un nombre que sea representativo a la funcin que realiza o a la informacin quecontienen. Estos documentos se tienen que guardar en el directorio var/named/chroot/var/named.


11/21



BIND 9.5

[email protected]

9

4.1.3.1.Archivo de zona de reenvi (nitsugario.com.zone):En este archivo se especifica la direccin IP asociada a un nombre de un dominio, servicio o subdominio. lnombre elegido para este archivo fue nitsugario.com.zone

4.1.3.2.Archivo de zona de resolucin inversa (192.168.1 ):En este archivo se especifica un nombre asociado a una direccin IP de un dominio, servicio o subdominio.l nombre elegido para este archivo fue 192.168.1. Que representa la direccin de red con la que setrabajara, este nombre puede ser cualquier otro.

4.2. Configuracin de los archivos y creacin del los archivos de zonas.4.2.1. Creacin de archivos de zonas.Los siguientes corresponderan a los contenidos para los ficheros de zona requeridos para la red local(dominio nitsugario.com) y por el NIC con el que se haya registrado el dominio. Note por favor que en laszonas de reenvo siempre se especifica al menos un Mail Exchanger (MX) y que se utilizan tabuladores

(tecla TAB) en lugar de espacio. Solo necesitar sustituir nombres y direcciones IP, y quiz aadir nuevosregistros para complementar su red local o lo que quiera hacer.

4.2.1.1. Zona de reenvi nitsugario.comNombre del archivo: nitsugario.com.zoneSe guarda en: /var/named/chroot/var/named/Contenido del archivo:

$TTL 86400@ IN SOA nitsugario.com. [email protected]. (

2009021701; nmero de serie28800 ; tiempo de refresco

7200 ; tiempo entre reintentos de consulta604800 ; tiempo tras el cual expira la zona86400 ; tiempo total de vida)

nitsugario.com. IN NS ns1.nitsugario.com.nitsugario.com. IN MX 10 ns1.nitsugario.com.localhost IN A 127.0.0.1nitsugario.com. IN A 192.168.1.2ns1 IN A 192.168.1.2cesar IN A 192.168.1.1luz IN A 192.168.1.3www IN A 192.168.1.2pop3 IN A 192.168.1.2smtp IN A 192.168.1.2ftp IN A 192.168.1.2

Nota: Cada vez que haga algn cambio en algn fichero de zona, deber cambiar el nmero de serie(serial) a fin de que tomen efecto los cambios de inmediato cuando se reinicie el servicio named, ya que de

otro modo tendra que reiniciar el equipo, algo poco conveniente.

Nota: un punto y coma, ";", en el archivo indica que todo lo que hay a su derecha es un comentario.


12/21



BIND 9.5

[email protected]

9

4.2.1.1.1. Descripcin del archivo nitsugario.com.zoneA continuacin desmenuzaremos el contenido del archivo nitsugario.com.zone, indicando para que sirvecada lnea escrita en el.

Lnea 1. $TTL 86400 :

Directiva obligatoria a partir de la versin 9 de Bind (RFC1035 y RFC2308), indica el tiempo de vida (TTL,del ingls, Time To Live) de la informacin contenida en el fichero. Es decir, el tiempomximo de validez, tras el cual deber refrescarse o actualizarse (para comprobar que no haya cambiado).

Es lo que se conoce como cach positiva/negativa (del ingls, positive/negative caching), como se especificaen el RFC2308. Por defecto se usan segundos (604800 segundos equivale a siete das exactos), pero puedenusarse tambin semanas ($TTL 1w), das ($TTL 7d), horas ($TTL 168h) y minutos ($TTL 10080m). Estasabreviaturas se usan asimismo en el registro SOA, que se explica a continuacin.

Lnea 2, @ IN SOA nitsugario.com. [email protected]. :El registro SOA (del ingls, Start Of Authority) se encuentra siempre tras las directivas y proclamainformacin relevante sobre la autoridad de un dominio al servidor de nombres. Es siempre el primerrecurso en un fichero de zona. El smbolo "@" (arroba) equivale a la directiva $ORIGIN (o el nombre de lazona si dicha directiva no se ha usado caso ms frecuente) como espacio de nombres de dominio definidopor este registro. Este sera el esqueleto de este registro:

@ IN SOA ( )

El servidor de nombres primario que es el autorizado de este dominio se usa en y

el correo electrnico de la persona a contactar acerca de este espacio de nombres (del ingls, namespace) sesustituye en (fjese el lector que no tiene porqu corresponder con una direccin delpropio dominio, como es el caso de la zona nitsugario.com).

El campo es un nmero que se incrementa cada vez que se modifica un fichero de unazona, de forma que Bind se d cuenta de que tiene que recargar esta zona. Se recomienda usar la fecha demodificacin en formato AAAAMMDD, donde AAAA es el ao en formato de cuatro cifras, MM es el mesen dos cifras, y DD es el da de mes en dos cifras, seguido de un nmero de dos cifras, empezando por el 01.De este modo se podrn realizar hasta cien cambios por da.

El campo le dice a los servidores secundarios (esclavos) cunto tiempo deben esperarantes de preguntar a su servidor principal (maestro) si se ha hecho algn cambio en la zona.

El valor del campo es usado por los esclavos para determinar si se est usando informacinanticuada que deba actualizarse.

El campo especifica a los servidores esclavos el intervalo de tiempo a esperar antes desolicitar una actualizacin en el caso de que el servidor de nombres principal no est respondiendo. Si elservidor maestro no ha respondido a la peticin de actualizacin antes de que expire el tiempo del campo, el esclavo dejar de actuar como servidor el autorizado de ese espacio de nombres (zona).

El campo solicita a otros servidores de dominio que almacenen en su cach lainformacin de esta zona durante al menos la cantidad de tiempo en l especificada.


13/21



BIND 9.5

[email protected]

9

Nota: El campo termina en un punto, que es obligatorio poner, y querepresenta, segn lo explicado en el apartado introductorio del artculo, el servidor de nombres raz.

Asimismo, este punto aparecer en todas las referencias explcitas al dominio a lo largo del fichero. Cuando

se configura un host o subdominio, por ejemplo ftp, se hace una referencia implcita y Bind aadeautomticamente el dominio, que saca de la "@" del registro SOA. En cualquier caso, es posible usar

referencias implcitas o explcitas indistintamente.

Lnea 3, nitsugario.com. IN NS ns1.nitsugario.com. :indican los servidores de nombre que tienen autoridad sobre el dominio. Ntese que, a partir de aqu, en lazona nitsugario.com se explicita, como se ha comentado en el punto anterior, el nombre del dominiocompleto as como el prefijo.

Lnea 4, nitsugario.com. IN MX 10 ns1.nitsugario.com. :se trata de un registro MX (del ingls, Mail eXchanger) e indica dnde mandar el correo destinado a un

espacio de nombres controlado por esta zona. El dgito que sigue a la palabra MX representa la prioridadrespecto a otros registros MX para la zona, que se especificaran en posteriores lneas, siguiendo el mismoformato pero variando dicho dgito (incrementndolo a medida que pierdan prioridad frente a anterioresregistros). Es decir, cuanto ms bajo es el valor de preferencia, mayor prioridad adquiere.

Lnea 5, localhost IN A 127.0.0.1 :Registro que relaciona el host local con su IP de loopback.

Lnea 6, nitsugario.com. IN A 192.168.1.2 :Registro que relaciona el nombre de dominio de segundo nivel (el "principal" de la zona) con la IP dondeest hospedado. Este es el registro ms usado, pues cualquier peticin a nitsugario.com ser resueltamediante este registro, se use el protocolo de comunicaciones que se use (por ejemplo,

http://nitsugario.com).

Lnea 7, ns1 IN A 192.168.1.2:A partir de aqu empieza la traduccin de subdominios del dominio para el cual somos el autorizado: losdominios de tercer nivel y sucesivos. Fjese en que debe crearse un registro para cada uno, sin posibilidad de"agrupar" de ningn modo. Asimismo, ntese que, al ser subdominios de la zona, se ha omitido el sufijonitsugario.com., que se encuentra implcito debido a que no termina en "." (punto).Es simplemente unacuestin de claridad y ahorro de espacio,pues las representaciones en ambas zonas son repetimos de nuevo igualmente correctas. Otros registros similares se citan, agrupados, a continuacin:

cesar IN A 192.168.1.1luz IN A 192.168.1.3

www IN A 192.168.1.2pop3 IN A 192.168.1.2smtp IN A 192.168.1.2ftp IN A 192.168.1.2

A propsito del concepto de alias (www, pop3, smtp y ftp son de hecho el mismo host) existe unacontrovertida discusin sobre si es mejor usar el tipo de registro CNAME (del ingls, Canonical NAME) oIN A. Muchos gurs de Bind recomiendan no usar registros CNAME en absoluto, si bien esa discusin seescapa de los objetivos de este artculo. En cualquier caso, es muy recomendable seguir la regla de que losregistros MX, CNAME y SOA nunca deben referenciar un registro CNAME, sino exclusivamente algo conun registro tipo "A".

Por lo tanto, no es aconsejable usar:web CNAME www


14/21



BIND 9.5

[email protected]

9

Pero s sera correcto:web CNAME ns1

Tambin es seguro asumir que un CNAME no es un host adecuado para una direccin de correo electrnico:[email protected], sera incorrecta dada la configuracin de arriba. La manera de evitar estoes usar registros "A" (y quizs algunos otros tambin, como el registro MX) en su lugar. El autor de este

artculo se decanta por el uso de IN A y recomienda dicha prctica.

4.2.1.2. Zona de resolucin inversa 1.168.192.in-addr.arpaEn estos momentos, los programas son ya capaces de convertir los nombres en nitsugario.com a direccionesa las cuales pueden conectarse. Pero tambin se requiere una zona inversa, capaz de permitir al DNSconvertir una direccin en un nombre. Este nombre es usado por muchos servidores de diferentes clases (ftp,irc, www y otros) para decidir si quieren "hablar" con el cliente o no y, si es el caso, quizs incluso cuntaprioridad se le debe asignar. Para poder tener acceso completo a todos estos servicios en Internet es necesariauna zona inversa.

Nombre del archivo: 192.168.1Se guarda en: /var/named/chroot/var/named/Contenido del archivo:

$TTL 86400@ IN SOA nitsugario.com. [email protected]. (

2009021701 ; nmero de serie28800 ; tiempo de refresco7200 ; tiempo entre reintentos de consulta604800 ; tiempo tras el cual expira la zona86400 ; tiempo total de vida)

@ IN NS ns1.nitsugario.com.2 IN PTR ns1.nitsugario.com.1 IN PTR cesar.nitsugario.com.3 IN PTR luz.nitsugario.com.2 IN PTR www.nitsugario.com.2 IN PTR pop3.nitsugario.com.2 IN PTR smtp.nitsugario.com.2 IN PTR ftp.nitsugario.com.

Nota: Cada vez que haga algn cambio en algn fichero de zona, deber cambiar el nmero de serie(serial) a fin de que tomen efecto los cambios de inmediato cuando se reinicie el servicio named, ya que deotro modo tendra que reiniciar el equipo, algo poco conveniente.

Nota: un punto y coma, ";", en el archivo indica que todo lo que hay a su derecha es un comentario.


15/21



BIND 9.5

[email protected]

9

4.2.1.2.1. Descripcin del archivo 192.168.1A continuacin desmenuzaremos el contenido del archivo 192.168.1, indicando para que sirbe cada lneaescrita en el.

De nuevo, los conceptos son los mismos (la "@" arroba indica el dominio de la zona nitsugario.com., el"." punto del final hace referencia al servidor de nombres raz y el registro "SOA" tiene exactamente lamisma estructura y funcionalidad), excepto las dos ltimas lneas:

Lnea @ IN NS ns1.nitsugario.com. :Indican a qu servidores de nombres debe preguntarse por la traduccin inversa de una direccin IP de esta

zona.

Lnea 2 IN PTR ns1.nitsugario.com. :Este es el registro que se usar para devolver el nombre que queremos que corresponda con la direccin IPque nos pertenece (cuidado al crear estos registros, pues debe hacerse referencia exclusivamente adirecciones IP que sean de nuestra propiedad o provocaramos un conflicto). En este caso se indica que ladireccin 2 (implcitamente se le aade el sufijo.1.168.192.inaddr.arpa, lo que indica que se trata de

"nuestra" direccin IP 192.168.1.2) equivale al hostns1.nitsugario.com.

Es obvio que aqu "falta informacin", pues la direccin IP 192.168.1.2 equivale, en realidad, a ms hosts, taly como hemos especificado en el fichero 192.168.1. Esto es cierto los cuales son:

2 IN PTR www.nitsugario.com.2 IN PTR pop3.nitsugario.com.2 IN PTR smtp.nitsugario.com.2 IN PTR ftp.nitsugario.com.

Tambin falta mencionar las dems IP de las otras dos maquinas que estn en la red. Y para estas cambia elnmero inicial que es el que corresponde a su IP.

1 IN PTR cesar.nitsugario.com.3 IN PTR luz.nitsugario.com.

Estos dos son diferentes por sus IPs que serian, para cesar la direccin 192.168.1.1 y para Luz 192.168.1.2.

4.2.2. Configuracin del archivo named.rfc1912.zonesEl contenido del archivo ser:

zone "nitsugario.com" {type master;file "nitsugario.com.zone";allow-update { none; };

};zone "1.168.192.in-addr.arpa" {

type master;file "192.168.1";allow-update { none; };

};


16/21



BIND 9.5

[email protected]

9

4.2.2.1. Descripcin del archivo named.rfc1912.zonesLnea zone "nitsugario.com" { :Indica que se est creando la zona nitsugario.com.

Lnea type master; :Significa que el servidor de dominios es primario o maestro de la zona.

Lnea file "nitsugario.com.zone"; :Es el fichero donde especificaremos la configuracin de esa zona, el cual guardamos en el directorio

/var/named/chroot/var/named/. Y que ya explicamos.

Lnea allow-update { none; }; :Significa que no admite actualizaciones automticas.

En este archivo puede a ver ms para metro, los cuales son usados para aumentar la seguridad del servidor.Los cuales pueden ser.

allowquery { any; }; :Significa que se permiten consultas (del ingls, queries) externas a la zona.Esto es algo til y necesario, a menos que se quiera ser muy paranoico con la seguridad. Simplemente se

ofrece de forma tcnicamente ordenada la informacin que es pblicamente accesible.

allowtransfer { slaves; }; :Posibilita la transferencia automtica de esta configuracin a los servidores secundarios de las zonas bajonuestro control que se especifiquen en la lista slaves. Se profundizar ms en el punto de transferencia dezonas.

Se han usado dos palabras especiales, any y slaves, que requieren una mencin especial. Efectivamente,adems de hacer notar la sintaxis similar a la del lenguaje de programacin C, con la que se debe serextremamente cuidadoso, hay dos comentarios extras que hacer:

1. any es una palabra reservada de la sintaxis de bind que significa "cualquier direccin IP", como eralgico. Su uso es muy comn y necesario. Otras palabras reservadas importantes son none, quesignifica "ningn host", localhost, que significa el host local desde cualquiera de las interfaces delsistema, y localnets, que representa a todos los hosts de las redes para las cuales el sistema tiene unainterfaz.

2. slaves, en cambio, no es ninguna palabra reservada de bind, sino que corresponde al concepto de listade control de acceso (ACL, del ingls, Access Control List). Estas listas de direcciones IP nos ahorran trabajopues, de este modo, tan slo tenemos que especificarlas una vez y, dado que les asginamos un identificadorde grupo, podemos referenciarlas de forma ms simple y rpida. Este es el cdigo de la ACL usada en elejemplo que, por supuesto, debe especificarse en algn lugar del documento antes de ser usada:

acl "slaves" {213.96.79.79;

};El lector se habr dado cuenta en seguida de las grandes ventajas de usar estas listas, an cuando, como eneste caso, no gane materialmente excepto en previsin de un tercer servidor de nombres secundario. Ntese

que en los identificadores de las ACL se diferencian maysculas y minsculas (en ingls, case sensitive).


17/21



BIND 9.5

[email protected]

9

4.2.3. Configuracin del archivo named.conf

El contenido del archivo es:

options {

listen-on port 53 { 192.168.1.2; };listen-on-v6 port 53 { ::1; };directory "/var/named";dump-file "/var/named/data/cache_dump.db";

statistics-file "/var/named/data/named_stats.txt";memstatistics-file "/var/named/data/named_mem_stats.txt";

allow-query { any;};};logging {

channel default_debug {file "data/named.run";severity dynamic;

};};zone "." IN {

type hint;file "named.ca";

};include "/etc/named.rfc1912.zones";

4.2.3.1 Descripcin del contenido del archivo named.conf

La clausula options:

Agrupa declaraciones que controlan el comportamiento general o global y tiene alcance en todas las zonas,vistas y en otras clausulas. Esta clausula puede tomar una gran cantidad de declaraciones.

Sintaxis:options {

// Declaraciones de opciones};

Descripcin de los parmetros de la clusula options:

Lnea: listen-on port 53 { 192.168.1.2; };Define el puerto y la direccin IPv4 sobre el que BIND escuchar las peticiones entrantes. El puerto pordefecto para el servidor DNS es el puerto 53. Se pueden hacer mltiples declaraciones de listen-on.

Lnea: listen-on-v6 port 53 { ::1; };Define el puerto y la direccin IPv6 sobre el que BIND escuchar las peticiones entrantes. El puerto pordefecto para el servidor DNS es el puerto 53. Se pueden hacer mltiples declaraciones de listen-on.

Lnea: directory "/var/named";Define una ruta que define el directorio de base usado para zona y Otros archivos que usa BIND.

Lnea: dump-file "/var/named/data/cache_dump.db";Espesifica una ruta total donde BIND vuelca el cach en respuesta a un comando de dumpdb de rndc. Si

no especificado, el incumplimiento es named_dump.db en la ubicacin especificado por una declaracin dedirectorio.


18/21



BIND 9.5

[email protected]

9

Lnea: statistics-file "/var/named/data/named_stats.txt";El nombre del archivo al que el servidor aade estadstica cuando se ordena se usa estadsticas de rndc. Si noes especificado, el archivo por defecto es named.stats.

Lnea: memstatistics-file "/var/named/data/named_mem_stats.txt";

El nombre del archivo al que el servidor escribe estadstica de uso de memoria. Si no especificado, el archivopor defecto es named.memstats.

Lnea: allow-query { any;};Un address_match_list definir qu anfitriones ser permitido emitir consultas al servidor. Si no especificado,todos anfitriones son permitidos hacer las preguntas.

La clausula logging:Define las caractersticas comportamiento y formato de BINDs extensive logging.

La clausula zone:

Contiene declaraciones que definen el comportamiento para una zona en especfico. El alcance deLa Declaracin es limitada a esa zona solamente.

La clausula include:La declaracin de inclusin es nica y puede estar en cualquier lugar del archivo de named.conf, no puedeestar declarada dentro o fuera de una clusula. Lo que hace esta clausula es leer el contenido del archivoespecificad para procesar lo que este escrito. Su declaracin tiene la siguiente forma:

include "Nombre de archivo";

El nombre de archivo es una cadena dada y puede ser una ruta total, por ejemplo, /var/named/file.name,O respectivo, por ejemplo, file.name, en este caso donde no se declar un directorio, se da por hecho que es

el directorio donde esta named.conf que es normalmente /etc.

La declaracin de inclusin es usada para tres propsitos tpicamente:

1. Simplificar o distribuir la administracin de named.conf presente el mantenimiento: por ejemplo,Las zonas pueden ser administradas por separado por divisiones de una compaa.

2. Para aislar y dividir los cambios y las actualizaciones: por ejemplo, si las clusulas de acl cambianfrecuentemente, Puede ser deseable separarlos en archivos que pueden estar incluidos, a saberMinimizar la necesidad de editar el archivo de named.conf principal.3. Controlar los permisos: puede ser deseable limitar el acceso usando permisos restringidos.

5. Comprobando que funcione la configuracinAl terminar de editar todos los ficheros involucrados, solo bastar iniciar el servidor de nombres de dominio.

5.1. Iniciando el servidor:Para iniciar el servidor usaremos el comando service named start. Y si todo est bien tendremos un resultadocomo el siguiente.

[root@nitsugario ~]# service named startIniciando named: [ OK ]


19/21



BIND 9.5

[email protected]

9

5.2. Parando el servidor:Para parar el servidor usaremos el comando service named stop. Y si todo est bien, tendremos un resultadocomo el siguiente.

[root@nitsugario ~]# service named stop

Deteniendo named: [ OK ]

5.3. Reiniciando el servidor:Para reiniciar el servidor usaremos el comando service named restart. Y si todo est bien tendremos unresultado como el siguiente.

[root@nitsugario ~]# service named restartDeteniendo named: [ OK ]Iniciando named: [ OK ]

5.4.Aadir el servidor al arranque del sistema: Si queremos que el servidor de nombres de dominio quede aadido entre los servicios en el arranque delsistema, deberemos ejecutar lo siguiente a fin de habilitar named junto con el arranque del sistema:

[root@nitsugario ~]#chkconfig named on

5.5. Depuracin de la configuracin:Realice prueba de depuracin y verifique que la zona haya cargado con nmero de serie:

[root@nitsugario ~]#tail -80 /var/log/messages |grep named

Lo anterior, si est funcionando correctamente, debera devolver algo parecido a lo mostrado a continuacin:

Feb 18 04:13:24 nitsugario named[6898]: starting BIND 9.5.0b2 -u named -t /var/named/chrootFeb 18 04:13:24 nitsugario named[6898]: found 2 CPUs, using 2 worker threadsFeb 18 04:13:24 nitsugario named[6898]: loading configuration from '/etc/named.conf'Feb 18 04:13:24 nitsugario named[6898]: the working directory is not writableFeb 18 04:13:24 nitsugario named[6898]: listening on IPv6 interface lo, ::1#53Feb 18 04:13:24 nitsugario named[6898]: default max-cache-size (33554432) appliesFeb 18 04:13:24 nitsugario named[6898]: zone nitsugario.com/IN: sending notifies (serial 2009021602)Feb 18 04:13:24 nitsugario named[6898]: zone 1.168.192.in-addr.arpa/IN: sending notifies (serial 2009021602)Feb 18 04:13:24 nitsugario named[6898]: running


20/21



BIND 9.5

[email protected]

9

5.6. Pruebas con ping:Primera prueba: se dio ping al subdominio ns1.nitsugario.com.

Segunda prueba se dio ping a la PC de Cesar, cesar.nitsugario.com.

Como se puede ver en las imgenes se el servidor ya est funcionando correctamente. Y ya con esto tenemosun servidor DNS bsico para un pequea LAN.


21/21



BIND 9.5

[email protected]

9

Bibliografa

Libro en ingles. pro DNS and BIND, Ronald G.F. Aitchison, Apress, ISBN (pbk): 1-59059-494-0.

El Sistema de nombres de dominio: Bind 9.2.1,por Jaume Sabater, modificado el 06/03/2003,

http://bulma.net

Implementacin de servidores con GNU/Linux, joel Barrios Dueas, Edicion Agosto 2008,

http://www.alcancelibre.org/staticpages/index.php

DNS (Sistema de nombre de dominio)http://es.kioskea.net/contents/internet/dns.php3

The DNS Resources Directory, http://www.intac.com/~cdp/cptd-faq/

DNS HowTo,http://www.tldp.org/HOWTO/DNS-HOWTO.html

Securing DNS with Transaction Signatures,http://www.linux.ie/articles/tutorials/dns-tsig.php

All About DNS,http://www.linux.ie/articles/dns.phpDNS Cmo,http://cauchy.bdat.net/dns/bind-9/DNS-HOWTO-9-es/

Los RFC que definen el sistema de DNS estn disponibles en http://www.rfceditor.org
http://bulma.net/http://bulma.net/http://www.alcancelibre.org/staticpages/index.phphttp://www.alcancelibre.org/staticpages/index.phphttp://es.kioskea.net/contents/internet/dns.php3http://es.kioskea.net/contents/internet/dns.php3http://es.kioskea.net/contents/internet/dns.php3http://cauchy.bdat.net/dns/bind-9/DNS-HOWTO-9-es/http://cauchy.bdat.net/dns/bind-9/DNS-HOWTO-9-es/http://cauchy.bdat.net/dns/bind-9/DNS-HOWTO-9-es/http://www.tldp.org/HOWTO/DNS-HOWTO.htmlhttp://www.tldp.org/HOWTO/DNS-HOWTO.htmlhttp://www.tldp.org/HOWTO/DNS-HOWTO.htmlhttp://www.linux.ie/articles/tutorials/dns-tsig.phphttp://www.linux.ie/articles/tutorials/dns-tsig.phphttp://www.linux.ie/articles/tutorials/dns-tsig.phphttp://www.linux.ie/articles/dns.phphttp://www.linux.ie/articles/dns.phphttp://www.linux.ie/articles/dns.phphttp://cauchy.bdat.net/dns/bind-9/DNS-HOWTO-9-es/http://cauchy.bdat.net/dns/bind-9/DNS-HOWTO-9-es/http://cauchy.bdat.net/dns/bind-9/DNS-HOWTO-9-es/http://www.rfc/http://www.rfc/http://cauchy.bdat.net/dns/bind-9/DNS-HOWTO-9-es/http://www.linux.ie/articles/dns.phphttp://www.linux.ie/articles/tutorials/dns-tsig.phphttp://www.tldp.org/HOWTO/DNS-HOWTO.htmlhttp://cauchy.bdat.net/dns/bind-9/DNS-HOWTO-9-es/http://es.kioskea.net/contents/internet/dns.php3http://www.alcancelibre.org/staticpages/index.phphttp://bulma.net/

Servidor DNS en Fedora9

Documents

Transcript of Servidor DNS en Fedora9