Implementación del Servidor DNS BIND

Transcripción

1 Implementación del Servidor DNS BIND Versión: Autor: Alfredo Barrainkua Zallo Fecha: 31 de Marzo del 2006 Lizentzia: CreativeCommons - ShareAlike Resumen de Licencia: English Castellano

2 Contenido 1. Configuración del cortafuegos Instalación del software Configuración de BIND Ficheros de zona DNS Respuestas Ordenadas Vistas DNS (views) Servidor DNS Esclavo (slave) Unir DHCP y BIND para las actualizaciones dinámicas BIND y Active Directory Diferencias entre distribuciones de Linux Por hacer Referencias Autor...27

3 Introducción Elkarnet BIND DNS zerbitzariaren inplementazioa En este informe intentaremos instalar y configurar un servidor DNS. Para ello usaremos el servidor BIND. Este servidor se ejecutará en el sistema operativo Linux. Para llevarlo a cabo se trabajará sobre el ejemplo de una escuela con 4 subredes. Primero, pondremos en marcha el servidor. Después veremos una implementación sencilla para aprender los formatos de ficheros. A continuación, veremos las respuestas ordenadas, y después, haremos un ejemplo que incluye vistas. Enlazaremos con un servidor DHCP para hacer actualizaciones automáticas. Después, intentaremos poner otro servidor como réplica (esclavo). Por último, lo habilitaremos para dar servicio a las máquinas que están en un dominio Windows Como se puede ver en el dibujo, nuestra escuela tiene varios servidores. Entre otros, un servidor web en Internet, servidores ftp y web en la red interna, "kaioa" y un servidor de correo en la DMZ, un cortafuegos y servidores de ficheros en la red interna. Más abajo tenemos el ejemplo con las características de la red de nuestra escuela. No se expresará con precisión la labor de cada servidor. Solo saber que ahí están y que mediante sus nombres, debemos conseguir conectividad con los mismos. En las prueba de instalación se han usado SUSE 9.0 y 9.3 Professional, pero creemos que, aparte de la instalación del software, la configuración y el funcionamiento son muy parecidos en cualquier distribución Linux. Los servidores DNS serán BIND y BIND Animaos a ponerlo en marcha y recordad: cualquier consejo para mejorar este sistema será bienvenido! 27tik, 3. Orrialdea / Página 3 de 27

4 BIND DNS zerbitzariaren inplementazioa Características y servicios de la escuela Nombre de dominio nire-eskola.net Servicio nombre DNS Servidor web de Internet Servidor web de notas y faltas notak.nire-eskola.net Servidor web interno www2.nire-eskola.net Servidor de correo posta.nire-eskola.net Servidor de mensajería instantánea jabber.nire-eskola.net Plataforma colaborativa kaioa.nire-eskola.net Cortafuegos suebakia.nire-eskola.net Diccionario Elhuyar hiztegia.nire-eskola.net Expedientes de alumnos elkartuz.nire-eskola.net Servidor para distribuir antivirus antibirusa.nire-eskola.net Servidor FTP ftp.nire-eskola.net Subredes de la escuela Subredes Direcciones IP Profesores /24 Alumnos /24 Dirección /24 Servidores /24 DMZ /24 Máquina Nombres de las máquinas Direcciones IP ZIR696969A , , ZIR696969B , , Nerbioi , , , , Urumea , , , Ibaizabal , , , Oka , , , Arga , Zadorra , Se ven muchas máquinas, servicios e IPs. Para qué es todo esto? Las máquinas son, físicamente, ordenadores.los servicios, por su parte, son procesos que están en esas máquinas. Para qué? En principio, una máquina puede ofrecer muchos servicios. Con el tiempo, cuando se extiendan los usos, una máquina no puede hacer todo. Por otro lado, 27tik, 4. Orrialdea / Página 4 de 27

5 BIND DNS zerbitzariaren inplementazioa según el rendimiento o la seguridad, varios servicios se tienen que poner en diferentes edificios. Entonces, conviene pasar esos servicios a otra máquina. El problema es el siguiente: si los nombres de esos servicios están enlazados con el nombre de la máquina, al cambiar de máquina, tenemos que cambiar también los nombres de los servicios. Los usuarios no quieren hacer tal cosa. Si usamos un apodo los usuarios no se darán cuenta. No saben en qué máquina está cada servicio. La resolución de DNS la haremos según el nombre del servicio. Hay excepciones. Una es la del correo. El correo no quiere funcionar con apodos. No hay problema. En este caso, trataremos el nombre del servicio como si fuera una máquina. Por otro lado, una máquina puede tener diferentes IPs para estar en más de una red. Como consecuencia, los datagramas IP no deben pasar por un intermediario (en nuestro caso, el cortafuegos), y por tanto el rendimiento de la red es mejor. En otros casos, en el futuro, si repartimos los servicios en diferentes máquinas, no cambiaremos la configuración en la red sino solo las IP. 1. Configuración del cortafuegos El cortafuegos tiene que abrir el paso para el servicio del DNS. Desde el servidor interno de DNS a Internet. Del entorno DMZ a la red interna. Desde las subredes internas a los servidores de DNS internos. Estos son los mínimos. Pero podemos abrirles más pasos. Los puertos que hay que abrir son TCP/53 y UDP/53. Los clientes usan UDP para hacer consultas. Los servidores, por su parte, usan TCP para realizar transferencias de zonas. 27tik, 5. Orrialdea / Página 5 de 27

6 2. Instalación del software El paquete a instalar es el bind. Para instalar Bind (en SUSE): #yast --install bind Intentaremos ponerlo en marcha (en SUSE). #rcnamed start En cualquier sistema: #/etc/init.d/named start Funciona bien y lo detendremos hasta configurarlo. #/etc/init.d/named stop Como se ve, el nombre del programa es BIND, pero el del proceso es named. Al arrancar el sistema para dirigir el proceso automáticamente, crearemos enlaces. Los pondremos en Runlevel 3 y 5. Un servidor conviene usarlo sólo en el runlevel 3. Por qué? El propio sistema gráfico consume la mayor parte de los recursos. #ln -s../named /etc/init.d/rc3.d/s14named #ln -s../named /etc/init.d/rc3.d/k07named #ln -s../named /etc/init.d/rc5.d/s14named #ln -s../named /etc/init.d/rc5.d/k07named Podemos obtebner el mismo resultado con el siguiente comando: #chkconfig named on 3. Configuración de BIND Cuando estemos configurando BIND, debemos tener siempre en cuenta una cosa: CUIDADO CON EL PUNTO FINAL DE LOS NOMBRES. Los nombres pueden ser absolutos o relativos (por decirlo de alguna forma). Los nombres absolutos acaban en punto. Si no ponemos punto, se tomarán en relación con el nombre de la zona y, por tanto, siempre se les añadirá el nombre del dominio. Si escribimos makina.nire-eskola.net., ese será nuestro ordenador con el nombre makina. Sin embargo, si escribimos makina.nire-eskola.net, el nombre del ordenador será makina-nire-eskola.net.nireeskola.net. Este comportamiento se puede cambiar, pero no entraremos en esasprofundidades. Cuidado! El fichero principal de configuración es /etc/named.conf. Aquí veremos nuestro fichero de configuración, comentado. El servidor se ejecutará enjaulado / encarcelado. Esto nos dará una mayor seguridad. El servidor DNS lo tenemos en el servidor urumea. Por otra parte, la extensión DNS necesita dos archivos (de forma simple). Uno para hacer la resolución correcta. Es decir, cuando pedimos la dirección IP de un nombre. El otro para el caso contrario. Para cuando queramos saber el nombre de la máquina a partir de una dirección IP. Este segundo fichero debemos crearlo para cada red IP. En el caso de la DMZ también es una red de nuestra zona, pero con una dirección IP diferente. 27tik, 6. Orrialdea / Página 6 de 27

7 Nuestro servidor DNS no está en Internet y sólo responderá a las máquinas de nuestra redes. # /etc/named.conf fitxategia # Aukera atala options { # Zerbitzariaren lan direktorioag directory directory "/var/lib/named"; # Erregistro eta estatistikak idazteko fitxategiak. # Kaioalaren (chrooted jail) barnean. dump-file "/var/log/named_dump.db"; statistics-file "/var/log/named.stats"; # Gure (ISP)-aren DNS zerbitzariak. # Guk ez baditugu ezagutzen galdetutako makinen IP-ak, # + zerbitzari hauei geldetuko diegu forwarders { ; ; # Lehenengoak du lehentasuna forward first; # Zein portutan egon galderen edo konexioen zain listen-on port 53 { ; ; ; ; ; # Zein sareetako ordenaghailuen galderak onartu allow-query { ; /24; /24; /24; /24; /24; # Ez bidali notifikaziorik beste zerbitzariei # + (oraindik ez daukagu zerbitzari morroirik) notify no; # Erregistro atala logging { # Bidali Bilaketak/Galderak sistemaren erregistro nagusira. channel syslog_queries { syslog user; severity info; category queries { syslog_queries; # Bidali Erroreak sistemaren erregistro nagusira. channel syslog_errors { syslog user; severity error; # DNS guneen definizioa # Gune nagusia. DNS erroa zone "." in { type hint; file "root.hint"; # Gure makina bera (localhost) zone "localhost" in { file "localhost.zone"; 27tik, 7. Orrialdea / Página 7 de 27

8 # Gure makina bera (gune inbersoa) zone " in-addr.arpa" in { file " zone"; # Gure domeinuaren gune zuzena zone "nire-eskola.net" in { file "nire-eskola.net.hosts"; # Gure domeinuaren alderantzizko guneak # Irakasleena zone " in-addr.arpa" in { file " rev"; # Ikasleena zone " in-addr.arpa" in { file " rev"; # Zuzendaritzarena zone " in-addr.arpa" in { file " rev"; # Zerbitzariena zone " in-addr.arpa" in { file " rev"; # Gure DMZ-ren gune inbersoa zone " in-addr.arpa" in { file " rev"; # Hemen bukatzen da Esta última parte es muy complicada pero no difícil de entender. Cada zona (zone) tiene su fichero, en el cual aparecen los nombres de las maquinas y las direcciones IP. Las zonas de resolución directa son 3. Raíz DNS (de nivel superior), localhost (el cual expresa la propia máquina) y la zona de nuestra escuela (nire-eskola.net). Las zonas inversas en cambio son 5. Cada zona tiene su clase. Si aparece la palabra master, entonces, es el DNS principal para esa zona. Si aparece slave, es servidor DNS de esa esa zona, pero no es la principal. La palabra hint quiere decir que es la raíz. La palabra file indica en qué fichero se encuentran los datos para esea zona. Los ficheros están en la raíz de la jaula del servidor DNS (/var/lib/named, en SUSE). Las zonas inversas se escriben al revés, siendo la raíz in-addr.arpa (hay que tener en cuenta que Internet nació como un proyecto de DARPA y que el sistema de direcciones estaba a sus órdenes). 4. Ficheros de zona DNS Veremos los ficheros de las zonas de nuestra escuela. Hay que decir que el fichero de los servidores de 27tik, 8. Orrialdea / Página 8 de 27

9 la zona raíz y el fichero directo e inverso de la red de nuestra máquina vienen configurados en cualquier distribución Linux, y que no se deben cambiar. No los veremos aquí porque son similares a los ficheros de nuestras áreas. Tener en cuenta también que suelen tener nombres distintos en diferentes distribuciones Linux. He aquí el fichero de configuración directo de nuestro zona. El nombre del fichero es nireeskola.net.hosts. $TTL 2D nire-eskola.net. IN sare-admin.nire-eskola.net. ( ; serial 2H ; refresh 1200 ; retry 2W ; expiry 3600 ; minimum ) ; gure posta zerbitzaria IN MX 5 posta ; gurea ezbadabil, euskaltelena erabili IN MX 10 entrante.empresa.euskalnet.net. ; gure DNS zerbitzaria IN NS urumea ; gure domeinuko zerbitzariak ZIR696969A IN A IN A IN A ZIR696969B IN A IN A IN A nerbioi IN A IN A IN A IN A IN A urumea IN A IN A IN A IN A ibaizabal IN A IN A IN A IN A oka IN A IN A IN A IN A arga IN A IN A zadorra IN A IN A posta IN A ; Interneteko web zerbitzaria (Euskaltelen makina bat) www IN A ; gure makinen aliasak ftp IN CNAME urumea www2 IN CNAME urumea 27tik, 9. Orrialdea / Página 9 de 27

10 kaioa IN CNAME urumea suebakia IN CNAME nerbioi jabber IN CNAME zadorra elkartuz IN CNAME arga notak IN CNAME arga hiztegia IN CNAME arga antibirusa IN CNAME arga En la primera línea tenemos $TTL 2D. Esto quiere decir los servidores de otros dominios pueden tener este zona en su memoria caché durante 2 días (2 Days). La segunda línea empieza con el nombre de nuestro dominio (nire-eskola.net.). Hay que fijarse que hay un punto al final. A continuación viene la clase (IN, Internet). Después como registro de esta clase (SOA, Start Of Authority). Luego viene el nombre del servidor (@). Tanbién puede ponerse directamente el nombre del servidor directamente, como veremos más adelante. Y por último, la dirección de correo del responsable de este área (sareadmin.nire-eskola.net.). Hay que tener en cuenta que el tiene un significado especial, y, por tanto, se señala con un punto en la dirección de correo. Tener en cuenta también que el nombre del host acaba en punto. A continuación aparecen entre paréntesis las características de este registro de zona. Serial puede tener cualquier número. Lo habitual es poner la fecha y al final añadir un número a modo de versión. De esta forma, podría ser el primer cambio realizado el 12 de mayo del Es MUY IMPORTANTE actualizar este número cuando se realizan cambios, y poner un número mayor. El servidor esclavo suele tener en cuenta este número para saber si tiene que actualizar o no las tablas que posee. Refresh indica cada cuánto tiempo ha de refrescar el esclavo la información de este zona. En el ejemplo, dos horas (2 Hours). Retry: Si el esclavo no puede refrescar la información de zona, intentarlo tras pasar este tiempo. En el ejemplo 1200 segundos (20 minutos). Expiry: Después de pasar cuánto tiempo, no tienen valor para este área, los datos que están en los servidores esclavos. En el ejemplo, 2 semanas (2 weeks). Minimum, el tiempo que se necesita cachear una respuesta negativa. En el ejemplo, una hora (3600 seconds). En la parte siguiente tenemos nuestro(s) servidor(es) de correo. Tenemos un servidor de correo en la escuela pero, como lo tenemos dado de alta en los DNS en Euskaltel (y tenemos que hacerlo así para recoger el correo externo), Euskaltel recoge los correos que nos envían, si el servidor no está en funcionamiento. Luego, este servidor de correo envía los mensajes al nuestro, cuando se pone en marcha de nuevo (backup server). El registro para indicar los servidores de correo es MX (Mail Exchanger). El número que hay detrás del nombre del registro es la prioridad. Cuanto más pequeño es el número, mayor es la prioridad. Por tanto, los servidores de correo exterior enviarán al servidor posta.nire-eskola.net los mensajes enviados a nuestro dominio posta.nire-eskola.net y, si no pueden conectarse con éste, se los darán a la máquina de Euskaltel entrante.empresa.euskalnet.net. El siguiente registro es de tipo NS (Name Server). Es decir, el servidor DNS. Een nuestro caso es urumea. Como al final no tiene punto será urumea.nire-eskola.net. A continuación, aparecen los servidores. Como no tienen puntos, se les añade el nombre del dominio. El tipo de registro es A (address). Tenemos que poner todas las direcciones IP. Si no ponemos nada a la izquierda de la clase IN, coge la de arriba; por tanto, no tenemos porqué repetir los nombres de las máquinas. El siguiente grupo es el de los apodos. A la izquierda ponemos el apodo (alias), luego será IN (clase) y el registro CNAME (Canonical Name). A la derecha pondremos a qué máquina hace referencia. Ahora veremos los ficheros de las zonas inversas. Como sólo tenemos un único dominio (y no tenemos sub-dominios), sólo hemos creado una zona directa. Sin embargo, se necesitan tantas zonas inversas 27tik, 10. Orrialdea / Página 10 de 27

11 como número de sebredes. En nuestro caso, cinco. He aquí el fichero de área de la red /24. El nombre del fichero es rev. $TTL 2D in-addr.arpa. IN SOA urumea sare-admin.nire-eskola.net. ( ; serial 2H ; refresh 1200 ; retry 2W ; expiry 3600 ; minimum ) IN NS urumea.nire-eskola.net. 1 IN PTR nerbioi.nire-eskola.net. 4 IN PTR ZIR696969B.nire-eskola.net. 7 IN PTR ZIR696969A.nire-eskola.net. 8 IN PTR urumea.nire-eskola.net. 9 IN PTR ibaizabal.nire-eskola.net. 10 IN PTR oka.nire-eskola.net. Hemos comentado el registro SOA al ver la zona directa. Luego tenemos el registro de nuestro servidor DNS. Finalmente, la parte del host de las direcciones IP de las máquinas, la clase IN, el registro tipo PTR (Pointer) y el nombre completo del host (acaba con un punto). Ahora crearemos el fichero de la zona inversa de la red /24. El nombre del fichero es rev. $TTL 2D in-addr.arpa. IN SOA urumea sare-admin.nire-eskola.net. ( ; serial 2H ; refresh 1200 ; retry 2W ; expiry 3600 ; minimum ) IN NS urumea.nire-eskola.net. 1 IN PTR nerbioi.nire-eskola.net. 8 IN PTR urumea.nire-eskola.net. 9 IN PTR ibaizabal.nire-eskola.net. 10 IN PTR oka.nire-eskola.net. Aquí no están los servidores ZIR696969A y B, puesto que son sólo para profesores, y no queremos que se vean desde la subred de los alumnos (al menos a nivel de DNS). Ahora pondremos los otros dos seguidos. Primero, la subred de dirección. El nombre del fichero es rev. $TTL 2D in-addr.arpa. IN SOA urumea sare-admin.nire-eskola.net. ( ; serial 2H ; refresh 1200 ; retry 2W ; expiry 3600 ; minimum ) IN NS urumea.nire-eskola.net. 1 IN PTR nerbioi.nire-eskola.net. 4 IN PTR ZIR696969B.nire-eskola.net. 27tik, 11. Orrialdea / Página 11 de 27

12 7 IN PTR ZIR696969A.nire-eskola.net. 8 IN PTR urumea.nire-eskola.net. 9 IN PTR ibaizabal.nire-eskola.net. 10 IN PTR oka.nire-eskola.net. Subred de servidores. El nombre del fichero es rev. $TTL 2D in-addr.arpa. IN SOA urumea sare-admin.nire-eskola.net. ( ; serial 2H ; refresh 1200 ; retry 2W ; expiry 3600 ; minimum ) IN NS urumea.nire-eskola.net. 1 IN PTR nerbioi.nire-eskola.net. 4 IN PTR ZIR696969B.nire-eskola.net. 7 IN PTR ZIR696969A.nire-eskola.net. 8 IN PTR urumea.nire-eskola.net. 9 IN PTR ibaizabal.nire-eskola.net. 10 IN PTR oka.nire-eskola.net. 11 IN PTR arga.nire-eskola.net. 12 IN PTR arga.nire-eskola.net. En esta última red, añadiremos el servidor arga, además con dos direcciones IP. Por último, pondremos el área inversa de la red DMZ. El nombre del fichero es rev. $TTL 2D in-addr.arpa. IN SOA urumea sare-admin.nire-eskola.net. ( ; serial 2H ; refresh 1200 ; retry 2W ; expiry 3600 ; minimum ) IN NS urumea.nire-eskola.net. 254 IN PTR nerbioi.nire-eskola.net. 1 IN PTR zadorra.nire-eskola.net. 1 IN PTR posta.nire-eskola.net. 2 IN PTR zadorra.nire-eskola.net. Aquí pondremos el servidor de correo con su alias, ya que a los servidores de correo les gusta buscar su nombre en resolución contraria (para labores de protección). 5. Respuestas Ordenadas Cuando preguntamos a un servidor DNS, sobre la dirección de un host, si posee más de una dirección nos las proporciona todas. El servidor BIND, nos las proporcionará además, en un orden desconocido, y a cada pregunta le responderá con las direcciones en orden diferente. Este comportamiento es adecuado para realizar balanceos de carga entre distintos servidores. El orden se modifica de una forma circular (round robin), por defecto. Los sistemas Windows, ordenan esas respuestas, por lo que no tiene capacidad de participar en el balanceo de carga. Los sistemas Unix / Linux en cambio, utilizan la primera dirección proporcionada, y si no obtienen respuesta, la siguiente, y así sucesivamente. En nuestro caso, nos conviene que los host tengan distintas direcciones, para que los datagramas no pasen por el cortafuegos. Cómo solucionarlo? De dos maneras: Ordenando las respuestas, y proporcionando 27tik, 12. Orrialdea / Página 12 de 27

13 diferentes vistas. Veamos ahora la primera manera. Le podemos indicar al servidor BIND que nos ordene las respuestas, en función de la dirección IP del solicitante. A eso se le llama ordenamiento de direcciones. Para ello, en el fichero de configuración, y en la sección de opciones, le indicamos las listas de ordenamiento. sortlist { { /24; { /24; /24; /24; /24; { /24; { /24; /24; /24; /24; { /24; { /24; /24; /24; /24; { /24; { /24; /24; /24; /24; Como se puede ver en el ejemplo, las solicitudes realizadas desde la red , serán respondidas con direcciones de las redes , , y , y en ese orden. Con las otras redes, se hace lo mismo. 6. Vistas DNS (views) Ahora veremos las vistas. El servidor DNS, nos proporcionará respuestas diferentes, dependiendo la red desde la cual se han realizado las peticiones. De esta manera, las máquinas Linux se conectarán más rápido y a los sistemas Windows les es indiferente. Veámos cómo implementarlo. Primero, cambiaremos el fichero /etc/named.conf. Entre la definición del registro y las áreas crearemos las siguientes listas de acceso ACL (Access Control Lists). # Ikuspen ezberdinak emateko ACLak acl irakasleak { /24; acl ikasleak { /24; acl zuzendaritza { /24; acl zerbitzariak { /24; Luego, diremos al servidor qué vista mostrar a cada petición. La definición de las zonas DNS quedaría así. # Irakasleei emateko guneak view irakasleak { match-clients {irakasleak; zone "." in { type hint; file "root.hint"; zone "localhost" in { file "localhost.zone"; zone " in-addr.arpa" in { file " zone"; # Irakasleen alderantzizko gunea zone " in-addr.arpa" in { file " rev"; 27tik, 13. Orrialdea / Página 13 de 27

14 # DMZ alderantzizko gunea zone " in-addr.arpa" in { file " rev"; zone "nire-eskola.net" { file "nire-eskola.net.hosts.ir"; # Ikasleei emateko guneak view ikasleak { match-clients {ikasleak; zone "." in { type hint; file "root.hint"; zone "localhost" in { file "localhost.zone"; zone " in-addr.arpa" in { file " zone"; # Ikasleen alderantzizko gunea zone " in-addr.arpa" in { file " rev"; # DMZ alderantzizko gunea zone " in-addr.arpa" in { file " rev"; zone "nire-eskola.net" { file "nire-eskola.net.hosts.ik"; # Zuzendaritzakoei emateko guneak view zuzendaritza { match-clients {zuzendaritza; zone "." in { type hint; file "root.hint"; zone "localhost" in { file "localhost.zone"; zone " in-addr.arpa" in { 27tik, 14. Orrialdea / Página 14 de 27

15 file " zone"; # Zuzendaritzaren alderantzizko gunea zone " in-addr.arpa" in { file " rev"; # DMZ alderantzizko gunea zone " in-addr.arpa" in { file " rev"; zone "nire-eskola.net" { file "nire-eskola.net.hosts.zu"; # Zerbitzariei emateko guneak view zerbitzariak { match-clients {zerbitzariak; zone "." in { type hint; file "root.hint"; zone "localhost" in { file "localhost.zone"; zone " in-addr.arpa" in { file " zone"; # Zerbitzarien alderantzizko gunea zone " in-addr.arpa" in { file " rev"; # DMZ alderantzizko gunea zone " in-addr.arpa" in { file " rev"; zone "nire-eskola.net" { file "nire-eskola.net.hosts.ze"; # Beste guztiei emateko ikuspegia (DMZ...) view besteak { match-clients {any; zone "." in { type hint; file "root.hint"; 27tik, 15. Orrialdea / Página 15 de 27

16 zone "localhost" in { file "localhost.zone"; zone " in-addr.arpa" in { file " zone"; # Zerbitzarien alderantzizko gunea zone " in-addr.arpa" in { file " rev"; # DMZ alderantzizko gunea zone " in-addr.arpa" in { file " rev"; zone "nire-eskola.net" { file "nire-eskola.net.hosts.besteak"; Los archivos de zona inversa permanecen igual pero ahora tenemos 5 archivos de zona directa. Veamos en primer lugar el de la red de los profesores. El nombre del fichero es nireeskola.net.hosts.ir $TTL 2D nire-eskola.net. IN sare-admin.nire-eskola.net. ( ; serial 2H ; refresh 1200 ; retry 2W ; expiry 3600 ; minimum ) ; gure posta zerbitzaria IN MX 5 posta ; gurea ezbadabil, euskaltelena erabili IN MX 10 entrante.empresa.euskalnet.net. ; gure DNS zerbitzaria IN NS urumea ; gure domeinuko zerbitzariak ZIR696969A IN A ZIR696969B IN A nerbioi IN A urumea IN A ibaizabal IN A oka IN A arga IN A IN A zadorra IN A IN A tik, 16. Orrialdea / Página 16 de 27

17 posta IN A ; Interneteko web zerbitzaria (Euskaltelen makina bat) www IN A ; gure makinen aliasak ftp IN CNAME urumea www2 IN CNAME urumea kaioa IN CNAME urumea suebakia IN CNAME nerbioi jabber IN CNAME zadorra elkartuz IN CNAME arga notak IN CNAME arga hiztegia IN CNAME arga antibirusa IN CNAME arga Y ahora la de la subred de los alumnos ( /24). El nombre del archivo es nireeskola.net.hosts.ik. $TTL 2D nire-eskola.net. IN sare-admin.nire-eskola.net. ( ; serial 2H ; refresh 1200 ; retry 2W ; expiry 3600 ; minimum ) ; gure posta zerbitzaria IN MX 5 posta ; gurea ezbadabil, euskaltelena erabili IN MX 10 entrante.empresa.euskalnet.net. ; gure DNS zerbitzaria IN NS urumea ; gure domeinuko zerbitzariak nerbioi IN A urumea IN A ibaizabal IN A oka IN A arga IN A zadorra IN A IN A posta IN A ; Interneteko web zerbitzaria (Euskaltelen makina bat) www IN A ; gure makinen aliasak ftp IN CNAME urumea www2 IN CNAME urumea suebakia IN CNAME nerbioi hiztegia IN CNAME arga antibirusa IN CNAME arga Los alumnos solo deberán ver los servidores disponibles para ellos y no referenciar el servidor arga 27tik, 17. Orrialdea / Página 17 de 27

18 con el apodo notak y elkartuz. Además no pueden referenciar jabber porque no disponen de mensajeria instantánea y tampoco pueden acceder a la plataforma kaioa. Con las otras dos areas se hace lo mismo. Solo se permite acceso a los registros propios de la red y DMZ y a los servidores de servicios que están en la red de servidores. Veamos la subred de dirección ( /14). El nombre del archivo es nire-eskola.net.hosts.zu da. $TTL 2D nire-eskola.net. IN sare-admin.nire-eskola.net. ( ; serial 2H ; refresh 1200 ; retry 2W ; expiry 3600 ; minimum ) ; gure posta zerbitzaria IN MX 5 posta ; gurea ezbadabil, euskaltelena erabili IN MX 10 entrante.empresa.euskalnet.net. ; gure DNS zerbitzaria IN NS urumea ; gure domeinuko zerbitzariak ZIR696969A IN A ZIR696969B IN A nerbioi IN A urumea IN A ibaizabal IN A oka IN A arga IN A IN A zadorra IN A IN A posta IN A ; Interneteko web zerbitzaria (Euskaltelen makina bat) www IN A ; gure makinen aliasak ftp IN CNAME urumea www2 IN CNAME urumea kaioa IN CNAME urumea suebakia IN CNAME nerbioi jabber IN CNAME zadorra elkartuz IN CNAME arga notak IN CNAME arga hiztegia IN CNAME arga antibirusa IN CNAME arga Ahora la subred de los servidores ( /24). El nombre del archivo es nire-eskola.net.hosts.ze. $TTL 2D nire-eskola.net. IN sare-admin.nire-eskola.net. ( 27tik, 18. Orrialdea / Página 18 de 27

19 ) IN MX IN MX IN NS ; serial 2H ; refresh 1200 ; retry 2W ; expiry 3600 ; minimum ; gure posta zerbitzaria 5 posta ; gurea ezbadabil, euskaltelena erabili 10 entrante.empresa.euskalnet.net. ; gure DNS zerbitzaria urumea ; gure domeinuko zerbitzariak ZIR696969A IN A ZIR696969B IN A nerbioi IN A urumea IN A ibaizabal IN A oka IN A arga IN A IN A zadorra IN A IN A posta IN A ; Interneteko web zerbitzaria (Euskaltelen makina bat) www IN A ; gure makinen aliasak ftp IN CNAME urumea www2 IN CNAME urumea kaioa IN CNAME urumea suebakia IN CNAME nerbioi jabber IN CNAME zadorra elkartuz IN CNAME arga notak IN CNAME arga hiztegia IN CNAME arga antibirusa IN CNAME arga Por ultimo, para todos los demas el archivo de vista( /24,...). Aqui daremos muy poca informacion ya que la gente de fuera puede venir con portatiles y el servicio que necesitan principalmente es Internet. Para buscar el proxy automáticamente, deberan buscar también nuestro servidor de web interno. Los servidores de DMZ deben buscarse a sí mismos (servidores de correo). El nombre del archivo es nire-eskola.net.hosts.besteak. $TTL 2D nire-eskola.net. IN sare-admin.nire-eskola.net. ( ; serial 2H ; refresh 1200 ; retry 2W ; expiry 3600 ; minimum ) 27tik, 19. Orrialdea / Página 19 de 27

20 IN MX ; gure posta zerbitzaria 5 posta ; gure domeinuko zerbitzariak nerbioi IN A urumea IN A oka IN A zadorra IN A IN A posta IN A ; Interneteko web zerbitzaria (Euskaltelen makina bat) www IN A ; gure makinen aliasak ftp IN CNAME urumea www2 IN CNAME urumea kaioa IN CNAME urumea suebakia IN CNAME nerbioi Este sistema es un poco complicado al principio pero una vez que nos acostumbramos no tiene ningun misterio. Ademas, no tenemos muchos servidores. 7. Servidor DNS Esclavo (slave) Nuestra red tiene un problema. Tenemos un servidor DNS. Cuatro redes internas. Tenemos una DMZ, una serie de servidores y un monton de clientes. Todo esto repartido en varios edificios. Qué ocurre si en uno de estos edificios hay un corte de electricidad o si el servidor DNS se estropea? Todos quietos? (menos el administrador de la red,claro). Necesitaremos por lo tanto uno o dos servidores DNS mas. En este capitulo veremos cómo poner en marcha un servidor esclavo (slave). En nuestra escuela, el servidor esclavo se llamará oka. Se le llama servidor esclavo, pero eso no quiere decir que tenga menos autoridad que el maestro (master) en el dominio (o en las areas que le corresponden). Quiere decir símplemente, que los cambios se hacen en el maestro, y luego se propagan al esclavo. Además, un servidor puede ser maestro de unas zonas, y esclavo de otras. Haremos la instalacion del software igual que al principio. Los script de inicio seran los mismos. El archivo /etc/named.conf deberá ser modificado un poco. Pondremos las areas DNS igual pero donde pone master pondremos slave. Pondremos los archivos de zona en el directorio /var/lib/named/morroia/. Debemos de tener en cuenta que el proceso named debe escribir en este directorio. Por lo tanto, el dueño del directorio será named. También deberemos decirle desde dónde deberá actualizarse, y si el master puede actualizarlo o no. Por ultimo, autentificaremos al esclavo por medio de claves TSIG Configuración del esclavo En primer lugar comprobaremos la configuracion del esclavo. Copiaremos del maestro el archivo /etc/named.conf. Como nuestro esclavo es oka y como el sevidor oka tiene cuatro direcciones IP, deberemos colocar esas direcciones en el archivo /etc/named.conf, en la seccion options. # Zein portutan egon galderen edo konexioen zain 27tik, 20. Orrialdea / Página 20 de 27