INSTALAO E CONFIGURAO DO SERVIDOR DNS (Bind9)

EMERSON BAREA INSTALAO E CONFIGURAO DO SERVIDOR DNS (Bind9) FATEC OURINHOS

1 SERVIOS 1.1 - DNS 1.1.1 Conceitos - Nomes e Endereos em IP Traduz nomes de mquinas e domnios para IP, informao utilizada para real comunicao entre as mquinas conectadas em rede. - Traduo Nmeros IP e Nomes Traduz IPs para nomes de mquinas, servio conhecido como DNS Reverso. Utilizado, por exemplo, pelos servidores de e-mail para evitar Spam. O servidor de e-mail ao receber uma mensagem enviada por um IP, tenta encontrar o nome do domnio que aquele IP pertence. Este nome de domnio deve ser o mesmo encontrado na remetente da mensagem, desta forma, o servidor de e-mail o julga vlido. 1.1.1.1 - DNS - Domain Name System Servio responsvel por estas tradues de nome para IP e IP para nome. Caractersticas: - Sistema hierrquico distribudo - Traduo de nomes para nmeros IP - No existe um repositrio nico de informaes - Informao distribuda entre milhares de computadores - Estrutura em rvore, semelhante estrutura de diretrios de sistemas Unix.

- BIND (Berkeley Internet Name Domain) Programa utilizado como servidor DNS. O mais utilizado. - Domnios Nome que representa uma ou um conjunto de mquinas que seguem a mesma nomenclatura na sua identificao. Composto principalmente pela informao da localizao (ex: br), tipo de servio (ex: comercial com, educacional edu, governamental gov etc) e o nome que, a princpio, representa a motivao daquele domnio (ex: fatecou Faculdade de Tecnologia de Ourinhos). Tambm so encontrados os nomes de mquinas dentro de um domnio, j que um domnio pode ser composto por apenas uma mquina ou vrias delas. Estes nomes tambm, a prncipio, deveriam representar a funo da mquina, mas por diversos motivos, incluindo questes de segurana de um servidor na Internet, geralmente estas mquinas possuem nomes que em nada representam suas reais funes (ex: hulk, spyderman, tor etc). - NIC - Network Information Center - No Brasil - FAPESP (Fundao de Amparo Pesquisa de So Paulo) - Pagamento de R$ 30,00 por domnio e taxa anual de manuteno - Domnios para pessoas fsicas (.nom, etc.) - Verificao de registros - http://registro.br - Domnios: necessidade de registro - Subdomnios: gerenciados pelo administrador de redes - Zonas Toda informao correspondente a um domnio. Por exemplo, so informaes de um domnio o prprio domnio, suas mquinas, seu reverso, seu MX etc. Domnio = faeso.edu.br Mquinas = www.faeso.edu.br 200.192.240.24 Reverso = 200.192.240.24 maquina.faeso.edu.br 1.1.1.2 DNS reverso (rDNS) Traduz IP em nome. caractersticas peculiares: - conhecido no jargo dos administradores de servidores como "PTR"; - obrigatrio de acordo com a RFC 1912, seo 2.1; - deve haver uma entrada de rDNS para todas as mquinas com nome na rede, no s para algumas; - muitssimo importante para servidores de email, pois, confrontando o reverso do IP traduzido do domnio do remetente da mensagem podemos ver se realmente aquela mensagem saiu da origem informada. para configurar precisamos: - que sua operadora responda o reverso de seu domnio para voc.

ou - que sua operadora direcione as requisies de reverso de seu domnio para voc responder. 1.1.2 Configurao do Servidor - Caching-Only No resolve nomes em sua prpria base, apenas passa requisies a outros servidores DNS e repassa a resposta ao cliente solicitante. - Primrios Responsvel por resolver os nomes. - Informaes obtidas de arquivos locais; Possuem em sua base de dados de domnios as configuraes necessrias para responder por um determinado domnio; - Fonte oficial de informao a respeito de um domnio. O domnio deve estar devidamente registrado na FAPESP, com servidor DNS apontando para o servidor em questo. Desta forma, ele se torna a fonte de dados oficial para resoluo dos nomes para este domnio. - Secundrios Responsvel por resolver nomes em caso de problemas com o DNS primrio. Sua existncia obrigatria para que um domnio seja reconhecido como vlido pela FAPESP. - Transferncia de Zonas; No so realizadas configuraes nos servidores DNS Secundrios para resoluo de nomes de domnios. Sua base de dados importada do seu DNS Primrio. - Fonte oficial de informao a respeito de um domnio. 1.1.3 Processo no *nix Processo: named SEQUENCIA DE CONSULTA NA RESOLUO DE NOMES /etc/host.conf order hosts,bind Neste arquivo configurado a ordem de consulta que o servidor seguir em suas consultas. Neste exemplo, primeiramente consultado a tabela hosts do servidor e caso a entrada no exista nesta tabela ento consultado o bind do servidor. http://www.faqs.org/docs/securing/chap5sec39.html 1.1.3.1 Instalando Servidor DNS no Linux (BIND9) MASTER

apt-get install bind9 aps a instalao podemos verificar se o servio est rodando com o comando: ps ax | grep named (verificar se o named est rodando) Criar a zona vi /etc/bind/named.conf.local incluir as seguintes linhas: // DNS zone "segfatecou.edu.br" IN { type master; file "/etc/bind/domains/segfatecou/db.segfatecou.edu.br"; }; // DNS Reverso zone "0.168.192.in-addr.arpa" IN { type master; file "/etc/bind/domains/segfatecou/db.0.168.192"; }; criar os diretrios onde os arquivos de configurao do domnio sero criados e acertar os direitos de acesso para segurana do servio e servidor, bem como para o funcionamento correto. mkdir -p /etc/bind/domains/segfatecou chown root.bind /etc/bind/domains/segfatecou dentro destes diretrios, criar os seguintes arquivos: para resoluo de nome: vi /etc/bind/domains/segfatecou/db.segfatecou.edu.br
@ IN SOA ns1.segfatecou.edu.br. hostmaster.segfatecou.edu.br. ( 2009032002 3H 15M 2W 1D ) NS ns1.segfatecou.edu.br. NS ns2.segfatecou.edu.br. IN MX 10 smtp.segfatecou.edu.br. IN MX 20 smtp2.segfatecou.edu.br. IN MX 10 pop3.segfatecou.edu.br. segfatecou.edu.br. A 192.168.0.X ns1 ns2 www smtp smtp2 pop3 A A A A A A 192.168.0.X 192.168.0.254 192.168.0.X 192.168.0.X 192.168.0.X 192.168.0.X

alunoonline

192.168.0.X

Entendendo as regras utilizadas: http://www.guiadohardware.net/tutoriais/instalando-servidor-dns/ para resoluo reversa de nomes: vi /etc/bind/domains/segfatecou/db.0.168.192 colocar o seguinte contedo:
@ IN SOA ns1.segfatecou.edu.br. hostmaster.segfatecou.edu.br. ( 2009032001 3H 15M 2W 1D ) NS ns1.segfatecou.edu.br. NS ns2.segfatecou.edu.br. PTR PTR PTR PTR PTR PTR ns1.segfatecou.edu.br. ns2.segfatecou.edu.br. www.segfatecou.edu.br. smtp.segfatecou.edu.br. pop3.segfatecou.edu.br. alunoonline.segfatecou.edu.br.

X 254 X X X X

Onde PTR aponta o ltimo octeto do endereo IP para o nome do reverso. Aps a criao da zona e configurao dos arquivos db dos domnios configurados neste servidor, devemos informar prpria mquina que ela responsvel por este domnio. Para isso faa: vi /etc/resolv.conf colocar o seguinte contedo: search segfatecou.edu.br nameserver 127.0.0.1 Bom, com estas configuraes possvel utilizarmos este servidor DNS para responder perguntas sobre o domnio configurado, no nosso exemplo o domnio o segfatecou.edu.br. Caso houver mquinas que utilizem este servidor para navegao na Internet, por exemplo, onde h necessidade de resoluo de nomes de outros domnios, devemos informar ao servidor para quem ele deve perguntar sobre domnios no cadastrados nele mesmo, em caso da necessidade de alguma consulta de cliente, por exemplo. Esta configurao conhecida como forwarders, e deve ser realizada da seguinte forma: Para testar o funcionamento correto do servidor DNS podemos utilizar dois comandos: nslookup e host. O comando host mais atual e mais simples de ser trabalhado. Para instal-lo basta executar: apt-get install host Para utiliz-lo basta digitar:

host -a segfatecou.edu.br o resultado deve ser a apresentao detalhada das informaes do domnio pesquisado. host 192.168.0.10 o resultado deve ser a apresentao das informaes de reverso do IP pesquisado. Continuando... vi /etc/bind/named.conf.options descomentar as linhas do forwarders e acrescentar os IPs do servidor DNS do provedor do seu link, por exemplo: options { forwarders { 172.16.0.1; }; } OBS: uma configurao importante que devemos considerar o fato de apenas permitirmos que mquinas da nossa rede interna, por exemplo, utilizem nosso servidor DNS para fazer consultas na Internet. Desta forma evitamos que qualquer outro usurio da Internet utilize dos nossos recursos de link e mquina para navegar. A configurao a seguinte: vi /etc/bind/named.conf.options // lista para permitir consultas recursivas acl clientes { localhost; 172.16.0.0/16; }; options { forwarders { 200.192.240.40; 200.192.240.5; }; allow-recursion { clientes; }; }; SLAVE Os pacotes instalados so os mesmos do DNS Master. Para configurarmos o DNS Slave devemos inicialmente criar os diretrios onde os arquivos de configurao do domnio sero copiados e acertar os direitos de acesso para segurana do servio e servidor, bem como para seu funcionamento correto. mkdir -p /etc/bind/domains/segfatecou chown bind.bind /etc/bind/domains/segfatecou OBS: Utilizamos chown root.bind no master e chown bind.bind nas permisses do

diretrio dos arquivos do domnio por motivos de segurana no master e para permitir que o deamon bind possa escrever no slave. Aps estas configuraes devemos informar ao DNS que ele ser responsvel por responder pelo novo domnio da seguinte forma: vi /etc/bind/named.conf.local incluir as seguintes linhas: // DNS zone "segfatecou.edu.br" IN { type slave; file "/etc/bind/domains/segfatecou/db.segfatecou.edu.br"; masters { 192.168.0.X; }; allow-transfer { 192.168.2.X; }; }; // DNS Reverso zone "1-2.0.168.192.in-addr.arpa" IN { type slave; file "/etc/bind/domains/segfatecou/db.2.168.192"; masters { 192.168.0.X; }; allow-transfer { 192.168.2.X; }; }; OBS: Como no restante deste tutorial, trocar o X pelo IP do servidor correspondente. No arquivo /etc/bind/named.conf.local do Master tambm incluir as linhas allowtransfer { 192.168.0.11 }; na configurao da zona normal e reversa. Desta forma estaremos informando aos servidores que somente aceitem atualizaes e informaes destes servidores para este domnio. Aps realizar as configuraes acima, basta reiniciar o servio do servidor e verificar se o arquivo db.segfatecou.edu.br foi criado corretamente no diretrio informado. Para testar o funcionamento correto do servio basta acrescentar este domnio no /etc/resolv.conf e utilizar os comandos nslookup ou host.