Servidor DNS- BIND

748 visualizações

Publicada em

Publicada em: Internet
0 comentários
1 gostou
Estatísticas
Notas
  • Seja o primeiro a comentar

Sem downloads
Visualizações
Visualizações totais
748
No SlideShare
0
A partir de incorporações
0
Número de incorporações
3
Ações
Compartilhamentos
0
Downloads
28
Comentários
0
Gostaram
1
Incorporações 0
Nenhuma incorporação

Nenhuma nota no slide

Servidor DNS- BIND

  1. 1. SERVIDOR DNS 1
  2. 2. etc resolv.conf host.conf bind named.conf named.conf.options named.conf.local named.conf.default-zones db.root (root servers) db.local (zona localhost) db.127 (zona localhost reverso) db.0 (reverso da rede) db.255 (reverso do broadcast) rndc.key (chave para acesso local) rndc.conf (chave para acesso remoto) db.iftm.net (nossa zona) db.iftm.net.reverse (nossa zona reversa) var cache bind named_dump.db Log syslog Instalação/desinstalação •Servidor: bind9 (instala ambos) •Cliente: bind9utils Comandos •host ip_ou_hostServidor •nslookup –type=ns br. a.root-servers.net •nslookup –type=ns com.br. c.dns.br •nslookup –type=ns uol.com.br. c.dns.br •nslookup –type=a uol.com.br. eliot.uol.com.br •rndc –s ip_servidor dumpdb •rndc –s ip_servidor flush •rndc •rndc-confgen –a •rndc-confgen •dig [opcoes]@servidor nome tipo •opcoes: -x; +[no]short; +[no]trace 2
  3. 3. DNS – Domain Name System  Sistema de Nomes de Domínios ◦ Traduzir nomes em endereços IP’s (e vice-versa). ◦ Exemplos  www.uol.com.br  200.147.67.142  200.147.67.142  www.uol.com.br  Este último conhecido como reverso. 3
  4. 4. Exemplo prático DNS  Comandos linux: ◦ host www.uol.com.br ◦ host 200.147.67.142 4
  5. 5. BIND  BIND (Berkeley Internet Name Domain) ◦ Implementação de código fonte aberto do protocolo DNS ◦ Em uso em cerca de 75% dos servidores de nomes na Internet. 5
  6. 6. Instalação / Desintalação  Servidor ◦ apt-get install bind9 ◦ apt-get purge bind9 6
  7. 7. Instalação / Desintalação  Cliente (administrador) ◦ apt-get install bind9utils  Consulta especializada ao DNS para uso do administrador.  Cliente (usuário) ◦ Não precisa instalar ◦ Já vem instalado pelo sistema operacional ◦ Basta configurar o DNS primário e secundário. 7
  8. 8. DNS - HIERARQUIA DE CONSULTA 8
  9. 9. Hierarquia de consulta DNS  DNS - sistema hierárquico em árvore invertida.  FQDN - Full Qualified Domain Name (Nome de Domínio Totalmente Qualificado) ◦ Exemplo:  eliot.uol.com.br.  Origem o ponto (“.”), depois domínios e subdomínios. ◦ .  br  com  uol  eliot 9
  10. 10. Hierarquia de consulta DNS TLD (Top Level Domains) 10
  11. 11. Hierarquia DNS 11
  12. 12. Busca do domínio pela árvore invertida 12
  13. 13. Busca do domínio pela árvore invertida 13
  14. 14. Busca do domínio pela árvore invertida 14
  15. 15. Busca do domínio pela árvore invertida 15
  16. 16. Busca DNS – esquema de busca real Forma de busca real Esquema de busca simplificado para demonstração da hierarquia (como nos slides anteriores) 16
  17. 17. Registro de recursos Registro Tipo Função Servidor de Nomes (Name Server) NS Identifica um servidor de nomes autorizado Endereço (Address) A – IPv4 AAAA – IPv6 Converte nome de hospedeiro – host – para endereço IP Primeiro contato com alguns tipos de registros. 17
  18. 18. Root servers  /etc/bind ◦ named.conf.default-zones  db.root 18
  19. 19. Exemplificando busca real do DNS  Comando: dig +trace www.uol.com.br  Comando: nslookup ◦ nslookup -type=ns uol.com.br. a.root-servers.net ◦ nslookup -type=ns uol.com.br. c.dns.br ◦ nslookup -type=ns uol.com.br. c.dns.br ◦ nslookup -type=a uol.com.br. eliot.uol.com.br 19
  20. 20. dig +trace www.uol.com.br aluno@iftm:~$ dig +trace www.uol.com.br ; <<>> DiG 9.8.1-P1 <<>> +trace www.uol.com.br ;; global options: +cmd . 513538 IN NS j.root-servers.net. . 513538 IN NS a.root-servers.net. . ... . 513538 IN NS c.root-servers.net. ;; Received 228 bytes from 127.0.0.1#53(127.0.0.1) in 3049 ms br. 172800 IN NS b.dns.br. br. ... br. 172800 IN NS e.dns.br. ;; Received 312 bytes from 192.58.128.30#53(192.58.128.30) in 229 ms uol.com.br. 86400 IN NS borges.uol.com.br. uol.com.br. 86400 IN NS eliot.uol.com.br. uol.com.br. 86400 IN NS charles.uol.com.br. ;; Received 143 bytes from 200.192.233.10#53(200.192.233.10) in 253 ms www.uol.com.br. 300 IN CNAME homeuol.ipv6uol.com.br. ;; Received 62 bytes from 200.147.255.105#53(200.147.255.105) in 55 ms aluno@iftm:~$ 20
  21. 21. nslookup  Modo interativo ◦ Help ou ? não implementado ◦ man nslookup  Modo não interativo ◦ man nslookup 21
  22. 22. DNS – CACHE DE CONSULTA 22
  23. 23. Cache de consulta  Armazena as consultas realizadas pelo período estipulado pelo fornecedor  TTL (Time-To-Live)  Evita sobrecarregar servidores superiores diminuindo o tráfego até eles. 23
  24. 24. Sistema cache de consulta 24
  25. 25. Cache de consulta Resposta de algum servidor sem autoridade sobre o domínio, logo de algum cache. Forçamos a busca no servidor com autoridade sobre o domínio. 25
  26. 26. registro.br 26
  27. 27. CLIENTE DNS 27
  28. 28. Métodos de resolução de nomes  Métodos: ◦ /etc/hosts ◦ DNS  Definição da ordem de consulta ◦ /etc/host.conf  order hosts, bind 28
  29. 29. Biblioteca resolver 29
  30. 30. Resolv  /etc/resolv.conf ◦ Configuração:  nameserver 192.168.0.10  nameserver 192.168.0.11 ◦ Permite até 3 endereços DNS ◦ O segundo somente será utilizado se o primeiro falhar e assim sucessivamente 30
  31. 31. ZONA E DOMÍNIO 31
  32. 32. Zona e Domínio  Domínio ◦ Um nome de domínio se refere a um único ponto no espaço de nomes.  Zonas ◦ Uma zona de autoridade refere-se ao local no qual estão armazenados os dados sobre as máquinas do domínio. 32
  33. 33. Domínio x zona Analogia com diretórios 33
  34. 34. Domínio x zona  Domínios e zonas de autoridade não são sempre sinônimos. 34
  35. 35. TIPOS DE SERVIDORES DNS 35
  36. 36. Tipos de servidores DNS Somente cache • Sem encaminhamento • Com encaminhamento Servidor primário (master) Servidor secundário (slave) 36
  37. 37. Tipos de Servidores DNS - Diferenças básicas • Não tem autoridade sobre domínio (zona) Somente cache • É autoridade sobre um domínio (zona) Servidor primário • Somente utilizado quando servidor primário falhar (espelho do primário) Servidor secundário 37
  38. 38. Tipos de servidores DNS em relação à zona 38
  39. 39. Servidores primário e secundário 39
  40. 40. Servidores somente cache  Somente cache sem encaminhamento ◦ Não tem autoridade sobre domínio ◦ Possui cache ◦ Não repassa consulta para outro servidor, busca no root servers  Somente cache com encaminhamento ◦ Não tem autoridade sobre domínio ◦ Possui cache ◦ Repassa consulta para outro servidor (provedor) ◦ Caso provedor estiver indisponível, busca no root servers 40
  41. 41. SERVIDOR SOMENTE CACHE SEM ENCAMINHAMENTO 41
  42. 42. Servidor somente cache sem encaminhamento  Funcionamento: ◦ Busca endereço somente no root servers ◦ Armazena endereços no cache  rndc dumpdb  descarrega cache no arquivo  rndc flush  limpa cache da memória  Diretiva de permissão de acesso ◦ /etc/bind/named.conf.options  allow-query { 127.0.0.1; 192.168.0.0/24; }; 42
  43. 43. RNDC 43
  44. 44. Rndc  Utilitário de controle remoto para servidor de nomes (controla certos aspectos – zonas).  Tipos de acessos por chaves simétricas: ◦ Somente local  Rndc-confgen -a -u bind  -a  gera a chave automaticamente  -u  especifica usuário dono como bind  /etc/bind/rndc.key ◦ Local e remoto  Rndc-confgen seguir instruções  /etc/bind/named.conf  /etc/bind/rndc.conf 44
  45. 45. /etc/bind/rndc.conf # Start of rndc.conf key "rndc-key" { algorithm hmac-md5; secret "irHJgBhENea1UBD9dLhvUw=="; }; options { default-key "rndc-key"; default-server 192.168.0.141; default-port 953; }; # End of rndc.conf 45
  46. 46. /etc/bind/named.conf include "/etc/bind/named.conf.options"; include "/etc/bind/named.conf.local"; include "/etc/bind/named.conf.default-zones"; # Use with the following in named.conf, adjusting the allow list as needed: key "rndc-key" { algorithm hmac-md5; secret "irHJgBhENea1UBD9dLhvUw=="; }; controls { inet 192.168.0.141 port 953 allow { 127.0.0.1; 192.168.0.141; } keys { "rndc-key"; }; }; # End of named.conf 46
  47. 47. SERVIDOR SOMENTE CACHE COM ENCAMINHAMENTO 47
  48. 48. Servidor somente cache com encaminhamento  Funcionamento: ◦ Servidor local  armazena cache das consultas ◦ Sem cache  busca no DNS do provedor indicado ◦ Provedor sem cache  provedor busca no root servers ◦ Provedor indisponível  servidor local busca no root servers. 48
  49. 49. /etc/bind/named.conf.options options { directory "/var/cache/bind"; // cache com encaminhamento forward first; forwarders { 200.225.197.34; 200.225.197.37; }; auth-nxdomain no; # conform to RFC1035 listen-on-v6 { any; }; }; 49
  50. 50. ARQUIVO DE LOG 50
  51. 51. Arquivo de log  /var/log/syslog 51
  52. 52. SERVIDOR PRIMÁRIO 52
  53. 53. Servidor primário  Funcionamento: ◦ Servidor local  armazena cache das consultas ◦ Encaminhamento ao DNS do provedor  opcional ◦ Tem autoridade sobre um domínio (Criação de zonas) 53
  54. 54. Configurações de zonas • Master – dados originais, respostas autorizadas • Slave – cópia dos dados originais • Hint – informa os servidores raízes Tipos de zonas 54
  55. 55. ZONA MASTER /etc/bind/named.conf.local // Do any local configuration here // Consider adding the 1918 zones here, if they are not used in your // organization //include "/etc/bind/zones.rfc1918"; zone "iftm.net.br" { type master; file "/etc/bind/db.iftm.net.br"; }; Falta criar o arquivo da zona primária. 55
  56. 56. Arquivo zona primária - estrutura $TTL 86400 @ IN SOA gustavo.iftm.net.br. root.iftm.net.br. ( 1 10800 3600 604800 86400 ) ; servidores de nomes @ IN NS gustavo.iftm.net.br. ; servidores de e-mail @ IN MX 10 mail.iftm.net.br. ;enderecos dos servidores mail IN A 192.168.0.100 gustavo IN A 192.168.0.177 ;estacoes de trabalho computador01 IN A 192.168.0.201 computador02 IN A 192.168.0.202 ;apelidos www IN CNAME gustavo 1. Diretivas ($) 2. Registro de recurso SOA 3. Outros registros 56
  57. 57. Registro de recursos Registro Tipo Função Início de Autoridade (Start Of Authority) SOA Marca o começo dos dados de zona e define parâmetros globais Servidor de Nomes (Name Server) NS Identifica um servidor de nomes autorizado Endereço (Address) A Converte nome de hospedeiro – host – para endereço IP Ponteiro (Pointer) PTR Converte endereço IP para um nome de hospedeiro – host (DNS reverso) Servidor de e-mail (Mail Exchanger) MX Identifica o servidor de e-mail para este domínio Nome canônico CNAME Define apelido para um nome 57
  58. 58. Estrutura do SOA (Start Of Authority) @ IN SOA gustavo.iftm.net.br. root.iftm.net.br. ( 1 ; Número serial 10800 ; Atualiza em 3 horas 3600 ; Em caso de falha, nova ; tentativa em 1 hora 604800; Caso não consiga atualização, ; expira em 7 dias 86400) ; Tempo de vida para cache ; negativo para outros ; servidores = 1 dia 58
  59. 59. /etc/bind/db.iftm.net.br $TTL 86400 @ IN SOA gustavo.iftm.net.br. root.iftm.net.br. ( 1 ; Número serial 10800 ; Atualiza em 3 horas 3600 ; Em caso de falha, nova tentativa em 1 hora 604800 ; Caso não consiga atualização, expira em 7 dias 86400 ) ; Tempo de vida para cache negativo outros servidores = 1 dia ; servidores de nomes @ IN NS gustavo.iftm.net.br. ; servidores de e-mail @ IN MX 10 mail.iftm.net.br. ;enderecos dos servidores mail IN A 192.168.0.100 gustavo IN A 192.168.0.177 ;estacoes de trabalho computador01 IN A 192.168.0.201 computador02 IN A 192.168.0.202 ;apelidos www IN CNAME gustavo 59
  60. 60. Testando as configurações # dig +short @192.168.0.141 iftm.net.br soa gustavo.iftm.net.br. root.iftm.net.br. 1 10800 3600 604800 86400 # dig +short @192.168.0.141 iftm.net.br ns gustavo.iftm.net.br. # dig +short @192.168.0.141 iftm.net.br mx 10 mail.iftm.net.br. # dig +short @192.168.0.141 mail.iftm.net.br a 192.168.0.100 60
  61. 61. Testando as configurações # dig +short @192.168.0.141 gustavo.iftm.net.br a 192.168.0.177 # dig +short @192.168.0.141 computador01.iftm.net.br a 192.168.0.201 # dig +short @192.168.0.141 computador02.iftm.net.br a 192.168.0.202 # dig +short @192.168.0.141 www.iftm.net.br a gustavo.iftm.net.br. 192.168.0.177 61
  62. 62. Zona reversa www.brasil.gov.br. 192.168.200.50 50.200.168.192.in-addr.arpa 62
  63. 63. ZONA REVERSA /etc/bind/named.conf.local // Incluir a partir do servidor primario zone "iftm.net.br" { type master; file "/etc/bind/db.iftm.net.br"; }; // Incluir a partir do servidor primario zone "0.168.192.in-addr.arpa" { type master; file "/etc/bind/db.iftm.net.br.reverse"; }; Falta criar o arquivo da zona reversa. 63
  64. 64. /etc/bind/db.iftm.net.br.reverse $TTL 86400 @ IN SOA gustavo.iftm.net.br. root.iftm.net.br. ( 1 ; Número serial 10800 ; Atualiza em 3 horas 3600 ; Em caso de falha, nova tentativa em 1 hora 604800 ; Caso não consiga atualização, expira em 7 dias 86400 ) ; Tempo vida para cache negativo outros servidores = 1 dia ; ; servidores de nomes @ IN NS gustavo.iftm.net.br. ;reverso dos servidores 100 IN PTR mail.iftm.net.br. 177 IN PTR gustavo.iftm.net.br. ;reverso das estacoes de trabalho 201 IN PTR computador01.iftm.net.br. 202 IN PTR computador02.iftm.net.br. 64
  65. 65. Testando as configurações # dig +short @192.168.0.141 -x 192.168.0.100 mail.iftm.net.br. # dig +short @192.168.0.141 -x 192.168.0.177 gustavo.iftm.net.br. # dig +short @192.168.0.141 -x 192.168.0.201 computador01.iftm.net.br. # dig +short @192.168.0.141 -x 192.168.0.202 computador02.iftm.net.br. 65
  66. 66. Exercício prático  Simule com o comando nslookup o acesso passo a passo do servidor raiz ao servidor dns do ig.com.br.  Com o comado nslookup faça uma resolução de nomes com autoridade e sem autoridade do endereço www.ig.com.br. 66
  67. 67. Exercício prático  Crie um servidor DNS somente cache sem encaminhamento (basta instalar o Bind e configurar o endereço DNS).  Permita somente a rede local acessar o servidor DNS.  Acrescente ao servidor DNS somente cache o encaminhamento aos servidores DNS da CTBC (200.225.197.34 e 200.225.197.37) 67
  68. 68. Exercício prático  Configure um servidor primário para a zona de autoridade “iftm.net.br”. ◦ Siga o modelo dos slides para criar as zonas direta e reversa. ◦ Adapte os endereços para os endereços do laboratório ◦ Após configurado:  Faça os teste com o comando dig  Tente pingar numa máquina de um colega indicando o nome em vez do IP. 68
  69. 69. Exercício complementar  Altere o nome da zona de autoridade para “empresa.com.br”. ◦ Após configurado:  Faça os teste com o comando dig  Tente pingar numa máquina de um colega indicando o nome em vez do IP. 69
  70. 70. Exercício complementar  Faça a resolução do nome do site www.terra.com.br usando o navegador WEB. ◦ Verifique os dados do cache do bind ◦ Limpe o cache do bind ◦ Verifique os dados do cache do bind  Configure o Rndc-confgen para permitir o acesso local e remoto. 70
  71. 71. Referências Bibliográficas  Administração de redes linux I. Conectiva 2009.  LIMA, J. P. Administração de Redes Linux. Terra. São Paulo, 2003.  Linux Network Servers - 457 – DNS Parte 1 e 2, www.4linux.com.br 71

×