Servicio DNS

Gua de Instalacin y Configuracin del Servicio de DNS en Fedora Core 7

Objetivos: Al finalizar la gua el estudiante estar en capacidad de: Instalar el servicio de dns Configurar el servicio dns y crear los registros bsicos para su funcionamiento Configurar reglas de control de acceso sobre el servicio y conocer su utilidad. Realizar pruebas de resolucin de dns.

Requerimientos Windows 2K3 (REAL) Acrobat Reader Mquina virtual de Linux (Fedora Core 7) Vmware console Openoffice en linux

Convenciones Consejo Informacin Advertencia Tarea Extrema precaucin Ejecucin en una Terminal de Linux o Windows Metodologa Durante el desarrollo de la gua primero se indicar lo que se necesita hacer y despus como se har, de esta manera el estudiante est en la libertad de hacer la gua basado en el que, siempre y cuando conozca como lo va a hacer. Todos los conceptos sern desarrollados en el transcurso de la gua. Durante la gua encontrar preguntas que deben ser resueltas en un trabajo escrito y presentado en la siguiente clase, adicionalmente el trabajo debe ser subido a la pgina del curso1.
Tenga en cuenta que est prohibido copiar y pegar de cualquier otro documento (Incluido Internet), ests acciones son conocidas como fraude y sern tratadas como tal.
1

Carlos Andrey Montoya

Pgina 1

Servicio DNS

Pasos Previos I. II. Inicie la mquina virtual de Linux Fedora Core 7 Inicie sesin como el usuario root Username: root Password: Password1 III. Configure la tarjeta de red de la mquina virtual como bridge

Si

tiene

problemas

para

realizar

esta

configuracin,

refirase

al

anexo

Configuracin de tarjeta de red virtual

Si usted va a seguir la gua desde un equipo diferente a uno del laboratorio de redes de la Universidad Icesi, configure la tarjeta de red virtual como NAT IV. Configure la tarjeta de red del equipo Linux Fedora Core 7 (mquina virtual) el cual va a ser el servidor DNS.

Si

tiene

problemas

para

realizar

esta

configuracin,

refirase

al

anexo

Configuracin de tarjeta en Linux Fedora Core 7 Nombre del equipo: linuxserverX Dir IP: 192.168.130.1X1/24 Gateway: 192.168.130.1 DNS Primario: 192.168.100.23 DNS2 Secundario 192.168.100.24 Sufijo DNS: laboratorioX.net Si usted va a seguir la gua desde un equipo diferente a uno del laboratorio de redes de la Universidad Icesi, utilice una direccin IP de la red de la tarjeta de red VMnet8 de su mquina real y asegrese de configurar la tarjeta de red de vmware de su la mquina virtual de Fedora como NAT.

Si usted va a seguir la gua desde un equipo diferente a uno del laboratorio de redes de la Universidad Icesi, tenga en cuenta, cuando la gua haga referencia a la direccin 192.168.130.1X1 usted deber poner la direccin que acaba de configurar.

Carlos Andrey Montoya

Pgina 2

Servicio DNS

/24 se refiere al nmero de bits que se deben de poner en 1 en la mscara. De esta manera 255.255.255.0 al trasladarlo en nmero binario queda: 11111111. 11111111. 11111111.0 teniendo as 24 bits en 1. .

La X se refiere a su nmero de disco.

V.

Agregue el registro: 192.168.130.1X1 linuxserverX linuxserverX.laboratorioX.net en el archivo /etc/hosts

Si

tiene

problemas

para

realizar

esta

configuracin,

refirase

al

anexo

Configuracin de tarjeta en Linux Fedora Core 7

VI.

Configure la tarjeta de red del equipo Windows 2003 (Real) el cual va a ser cliente DNS.

Si

tiene

problemas

para

realizar

esta

configuracin,

refirase

al

anexo

Configuracin de tarjeta de red en Windows Nombre del equipo: EquipoX Dir IP: 192.168.130.1X2/24 Gateway: 192.168.130.1 DNS Primario: 192.168.100.23 DNS2 Secundario 192.168.100.24 Si usted va a seguir la gua desde un equipo diferente a uno del laboratorio de redes de la Universidad Icesi, apunte la direccin IP de la tarjeta de red VMnet8 de su mquina real. Tenga en cuenta, cuando la gua haga referencia a la direccin 192.168.130.1X2 usted deber poner la direccin que acaba de apuntar.

El nombre del equipo de la mquina real de Windows 2003 Server (Equipo del laboratorio de redes), no puede ser cambiado debido a que su usuario no posee los privilegios para hacerlo.

Carlos Andrey Montoya

Pgina 3

Servicio DNS

Desarrollo de la Gua

Durante el desarrollo de esta gua instalaremos el servicio de dns, as como las herramientas que permitan configurarlo. Despus crearemos la zona laboratorioX.net con los registros:

A: linuxserverX A: Windows CNAME: Linux CNAME: www

192.168.130.1X1 192.168.130.1X2 linuxserverX.laboratorioX.net linuxserverX.laboratorioX.net linuxserverX.laboratorioX.net (10)

MX: laboratorioX.net

La zona reversa 192.168.130.0 los registros PTR asociados a los registros tipo A Windows). (linuxserverX y

Finalmente permitiremos la resolucin de nombres desde el equipo Windows a travs de las ACLs.

Instalacin de paquetes

La instalacin del paquete la realizaremos con la aplicacin yum de Fedora, para esto es necesario abrir una terminal y ejecutar:

yum install bind caching-nameserver system-config-bind

El paquete de bind es el servicio que permitir la resolucin de nombres y el paquete de caching-nameserver contiene los archivos bsicos de configuracin y la actualizacin de los root hints. Estos ltimos son los servidores raz de la estructura jerrquica de DNS. Finalmente system-config-bind es la aplicacin que permitir configurar el servicio de dns, las zonas y sus registros.

Carlos Andrey Montoya

Pgina 4

Servicio DNS

yum necesita tener acceso a internet para proceder a descargar los paquetes necesarios para esta instalacin, si usted no tiene acceso a Internet o no configur adecuadamente su tarjeta, obtendr un error.

El sistema realizar el chequeo de dependencias y listar:

Dependencies Resolved ============================================================================== Package Arch Version Repository Size

============================================================================== Installing: bind caching-nameserver system-config-bind Updating for dependencies: bind-libs bind-utils i386 i386 31:9.4.2-3.fc7 31:9.4.2-3.fc7 updates updates 910k 174k i386 i386 noarch 31:9.4.2-3.fc7 31:9.4.2-3.fc7 4.0.2-6.fc7 updates updates fedora 1.6M 60 k 5.2M

Transaction Summary ============================================================================== Install 3 Package(s) Update 2 Package(s) Remove 0 Package(s)

Total download size: 7.8 M Is this ok [y/N]:

Acepte la instalacin de los paquetes y la importacin de las claves

Ahora corroboraremos los archivos que hacen parte del servicio de DNS, En el archivo /etc/named.conf se encuentra la configuracin del servicio y la ruta de la base de datos de cada zona configurada.

less /etc/named.conf En el directorio /var/named, se encuentran las bases de datos de las zonas configuradas ls -l /var/named

Carlos Andrey Montoya

Pgina 5

Servicio DNS

Las bases de datos de las zonas se almacenan como archivos en texto plano, por ende se puede editar la informacin de las zonas con editores de texto como vi o gedit. Inicie la aplicacin de gestin del servicio de bind En el directorio /var/named tambin se encuentran los root hints en el archivo named.ca cat /var/named/named.ca Ahora iniciaremos la aplicacin grfica de configuracin del servicio system-config-bind &

Con esta aplicacin se crean las zonas y se agregan los registros de los equipos que se quieren resolver. A continuacin crearemos una zona forward. Haga clic en el botn New Zone

Carlos Andrey Montoya

Pgina 6

Servicio DNS

Configure:

Class: IN Internet Origin Type: Forward Zone Type: Master laboratorioX.net.

La clase de la zona IN se utiliza para las resoluciones de nombres de internet. El tipo de origen forward, especifica que es para las resoluciones de nombres a direcciones IPv4

El tipo de la zona

master, es para que la zona se pueda modificar desde este

servidor y dependa de la administracin del servicio local.

Configure el SOA (start of Authority) para la zona:

Carlos Andrey Montoya

Pgina 7

Servicio DNS

Parmetro Name

Descripcin Nombre de la zona o dominio a configurar.

Contenido laboratorioX.net.

Filename

Nombre guardar

de la

archivo

donde de

se la

laboratorioX.net.db

informacin

zona. No se debe modificar la aplicacin asigna el nombre

automticamente. Contact Direccin electrnica del root@laboratorioX.net.

administrador del DNS. Primary Name Nombre del DNS que principal, en este caso el que se esta linuxserverX.laboratorioX. net.

Server (SOA)

configurando.

Carlos Andrey Montoya

Pgina 8

Servicio DNS

Guarde la informacin para que se creen los archivos

La aplicacin system-config-bind guarda un historial de los cambios que se realizan sobre los archivos de configuracin, por esta razn en la medida que haga cambios en las zonas o en sus registros podr ver como se aumentan los archivos relacionados con la fecha de modificacin. En el registro SOA tambin se configura: Cache Time To Live Refresh Interval Refresh Retry Interval Expiration Interval Default Minimum Cache TTL Explique qu significan cada uno de los valores establecidos en el registro SOA y cul es su utilidad en el servicio DNS Hasta el momento, creamos la zona forward laboratorioX.net, configuramos su registro SOA y como podr observar en la siguiente grfica, se gener un registro NS que apunta al servidor configurado en el SOA en este caso

linuxserverX.laboratorioX.net.

Carlos Andrey Montoya

Pgina 9

Servicio DNS

Las zonas forward permiten realizar resoluciones de nombres a direcciones IP, por ende hasta el momento solo podramos resolver nombres de equipos, aunque todava no hemos creado ningn registro que resuelva nombres.

Note que el registro NS apunta hacia un nombre FQDN esto quiere decir que el primer registro que se debera crear es el registro tipo A en la zona laboratorioX.net. llamado linuxserverX que apunte hacia la direccin IP que tiene su equipo Linux

Antes de crear el registro Tipo A o tambin conocido como Tipo HOST, verificaremos las modificaciones en el archivo named.conf y los archivos que se crearon en /var/named

less /etc/named.conf

Note que ahora aparecen las lneas:

zone "laboratorioX.net." IN { type master; file "laboratorioX.net.db"; };

Estas

lneas

especifican

que

se

est

configurada

la

zona

forward

laboratorioX.net, el archivo donde se guarda la informacin de esa zona es laboratorioX.net.db y es de tipo master

Ahora

verificaremos

que

archivo

archivos

se

crearon

en

el

directorio

/var/named

ls /var/named

Note que ahora existe el archivo laboratorioX.net.db, en este archivo se encuentra la informacin del registro SOA y el registro NS creado hasta el momento

Carlos Andrey Montoya

Pgina 10

Servicio DNS

cat /var/named/laboratorioX.net.db
$TTL 1H @ SOA linuxserverX root.linuxserverX.laboratorioX.net. ( 2 3H 1H 1W 1H ) NS linuxserverX

Verifique que indica cada una de las lneas del archivo anterior Por qu aparece en el registro NS el nombre linuxserverX si lo que se configur fue linuxserverX.laboratorioX.net

Ahora

si

crearemos

el

registro

Tipo

asociado

al

nombre

linuxserverX.laboratorioX.net. Ubquese (haga clic) en el system-config-bind en la zona que cre (laboratorioX.net.) A IPv4 Address haga clic derecho en la zona Add

Carlos Andrey Montoya

Pgina 11

Servicio DNS

Configure el registro: Domain Name: linuxserverX.laboratorioX.net. IPv4 Address: 192.168.130.1X1 Create Reverse Mapping Record

En el espacio Domain Name asegurese de terminar con punto o poner solo el nombre del registro (linuxserverX), cuando se pone el nombre del registro sin terminar en . La aplicacin autocompleta con el nombre del dominio en este caso laboratorioX.net. si usted crea el registro linuxserverX.laboratorioX.net y no lo termina en punto. la aplicacin autocompletar el dominio as

linuxserverX.laboratorioX.net.laboratorioX.net. esto se debe a que en dns todos los nombres deben terminar en . Indicando que la finalizacin del nombre

Al seleccionar Create Reverse Mapping Record le est indicando a la aplicacin que cree el registro PTR asociado a ese registro Tipo A. Si no existe la zona reversa asociada a esa subred, en este caso 192.168.130.0/24, la crea automticamente

Cuando la zona reversa ya existe, y desea actualizar el registro PTR asociado al registro Tipo A, usted puede seleccionar del combo Select IPv4 Prefix la zona reversa que desea y solo tendr que especificar el ltimo octeto, si la direccin es clase C o los ltimos dos si es clase B y as sucesivamente.

Averige que especifica Cache Time To Live de este registro y para que se utiliza

Carlos Andrey Montoya

Pgina 12

Servicio DNS

Note que despus de crear el registro y actualizar el PTR se cre la zona reversa 192.168.130 con el registro PTR

Si lo desea puede modificar el registro SOA de la nueva zona reversa creada, para ello debe hacer clic derecho en el registro SOA de la zona reversa, en este caso 192.168.130 Edit y aparecer la ventana de configuracin del registro SOA

Ahora cree los el registro Tipo A pasos anteriores.

Windows

192.168.130.1X2, realizando los

No olvide guardar la informacin los cambios no tendrn efecto sobre el servicio hasta que usted guarde.

Carlos Andrey Montoya

Pgina 13

Servicio DNS

Ahora probaremos la resolucin de los registros creados hasta el momento

A: A:

linuxserverX.laboratorioX.net. Windows.laboratorioX.net.

192.168.130.1X1 192.168.130.1X2 linuxserverX.laboratorioX.net. windows.laboratorioX.net.

PTR: 192.168.130.1X1 PTR: 192.168.130.1X2

Para probar la resolucin de nombres utilizaremos la aplicacin nslookup. Esta aplicacin nos permite hacer consultas a servidores de nombres. Existen dos maneras de utilizarlo:

Antes de tratar de resolver los nombres, asegrese de iniciar el servicio named, este servicio es el nombre del demonio de bind, el cual configuramos con servidor dns

service named start o /etc/init.d/named/start Asegrese que aparece un OK al iniciar el servicio, esto especifica que el servicio inici correctamente, de lo contrario verifique la configuracin del servicio y las zonas

nslookup linuxserverX.laboratorioX.net 192.168.130.1X1

Con este comando usted est preguntando por la direccin IP del nombre linuxserverX.laboratorioX.net esta consulta se le har al servidor DNS 192.168.130.1X1 Tenga en cuenta que si no especifica el parmetro del servidor dns

(192.168.130.1X1) usted le estar haciendo las preguntas al servidor dns que tenga configurado en su interfaz de red, en nuestro caso sera 192.168.100.23 como este servidor dns no tiene configuradas la zona laboratorioX.net le responder:
** server can't find linuxserverx.laboratoriox.net: NXDOMAIN

Ya que ese nombre de dominio no existe en Internet

Carlos Andrey Montoya

Pgina 14

Servicio DNS

En este momento obtuvo un error, a pesar que el servicio inici correctamente, esto se debe a la configuracin de seguridad que tiene el archivo named.conf. Para verificar esta configuracin de seguridad ejecute:

nslookup linuxserverX.laboratorioX.net 127.0.01 Note que esta vez s le dej realizar la consulta dns

Esta y todas las configuraciones de seguridad se pueden cambiar a travs de la interfaz grfica o directamente desde el archivo de configuracin

/etc/named.conf

less /etc/named.conf Busque una lnea que contiene la palabra port. En esta lnea se especifica que el servicio solo estar activo desde la interfaz de loopback (127.0.0.1). Ahora salga de less

Para cambiar esa opcin desde la interfaz grfica, active el system-config-bind y haga clic derecho en DNS Server Edit

Carlos Andrey Montoya

Pgina 15

Servicio DNS

Haga clic en listen-on

Edite la ACL haciendo clic en

ACL (Acess Control List) o Lista de Control de Acceso, especifica una lista de quienes tienen acceso a un recurso especifico. Este trmino es muy utilizado en el mundo de las redes en cuestiones de seguridad desde dispositivos de

conectividad (switches, routers, APs) hasta firewalls Note que al editar la ACL aparece solamente 127.0.0.1

Cancele la edicin de la ACL y elimine la opcin listen-on haciendo clic en OK SAVE

La interfaz grfica tiene algunos problemas con la modificacin de listas de acceso, si usted desea modificar alguna ACL de bind se recomienda que lo haga directamente desde el archivo de configuracin nslookup linuxserverX.laboratorioX.net 192.168.130.1X1 Note que esta vez s lo dej resolver el nombre utilizando la direccin IP de su servidor Linux La segunda manera de resolver los registros es: nslookup server 192.168.130.1X1 linuxserverX.laboratorioX.net windows.laboratorioX.net 192.168.130.1X1 192.168.130.1X2 Ahora crearemos los tres registros que faltan. Para crear el registro Tipo CNAME o Alias haga clic derecho en la zona que Add CNAME Alias

desea crear el registro, en este caso laboratorioX.net.

Carlos Andrey Montoya

Pgina 16

Servicio DNS

Configure los registros CNAME: www Domain Name: www.laboratorioX.net. Canonical Name: linuxserverX.laboratorioX.net. linux Domain Name: linux.laboratorioX.net. Canonical Name: linuxserverX

En Canonical Name usted debe poner el FQDN del registro al que le quiere crear el alias, si el registro alias (Canonical Name) pertenece al mismo nombre de dominio usted puede poner solo el nombre del registro tipo, como se hace al crear el CNAME de linux.laboratorioX.net.

Carlos Andrey Montoya

Pgina 17

Servicio DNS

Recuerde que al especificar el Domain Name y el FQDN los nombres deben terminar en . De lo contrario el sistema se lo autocompletar con el nombre de dominio de la zona a la que le est creando el registro.

Para crear el registro Tipo MX

haga clic derecho en la zona que desea crear el Add MX Mail Exchange

registro, en este caso laboratorioX.net.

Carlos Andrey Montoya

Pgina 18

Servicio DNS

Configure el registro MX:

Domain Name: laboratorioX.net. Priority: 10 Mail Server Name: linuxserverX.laboratorioX.net.

En Mail Server Name usted debe poner el FQDN del registro al que le quiere crear el alias, si el registro MX pertenece al mismo nombre de dominio usted puede poner solo el nombre del registro tipo

Tenga en cuenta que el nombre que establece en Mail Server Name debe tener un registro Tipo A asociado, de lo contrario no se podr resolver bien con ese registro. Para nuestro caso, ya est creado el registro Tipo A de

linuxserverX.laboratorioX.net.

Ahora trataremos de resolver los nombres a que acabamos de configurar (CNAME y MX) desde el equipo con Windows

Inicie la consola de Windows y ejecute:

nslookup server 192.168.130.1X1 www.laboratorioX.net

Note que rechaz la consulta, esto se debe a que esa direccin IP no tiene autorizacin para consultar nombres en el DNS. Para cambiar esta opcin editaremos el archivo /etc/named.conf en Linux, ya sea con vi o con gedit. Pero antes cierre la aplicacin system-config-bind

vi /etc/named.conf o gedit /etc/named.conf &

Carlos Andrey Montoya

Pgina 19

Servicio DNS

busque la lnea:
allow-query { localhost; };

y reemplcela por:
allow-query { localhost; 192.168.130.0/24; };

Reinicie el servicio

Recuerde que siempre que haga cambios sobre archivos de configuracin, se debe reiniciar el servicio, esto aplica para casi todos los servicios que se prestan sobre Linux service named restart

Ahora pruebe, de nuevo, la resolucin del nombre www.laboratorioX.net desde Windows.

Cuando es necesario restringir las redes a las que se les puede permitir realizar consultas al dns?

nslookup server 192.168.130.1X1 www.laboratorioX.net linuxserverX.laboratorioX.net laboratorioX.net

Note que cuando trata de resolver el nombre del registro MX laboratorioX.net. no lo resuelve segn lo configurado, esto se debe a que predeterminadamente nslookup resuelve los tipos de registro A, CNAME y PTR.

Si desea resolver otro

tipo de registro lo debe especificar.

set type=MX laboratorioX.net

Para qu se utilizan los registros MX? por qu se necesita un registro diferente al A y CNAME para esto? Qu utilidad tiene la prioridad en los registros MX?

Carlos Andrey Montoya

Pgina 20