Pa ra U

so C ele ur ct so r de nic Li o S nu ol x am

El Servidor DNS - bind

en

te

GNU-LINUX

Objetivos
en te
Prctica de Laboratorio

Pa

ra

Al Finalizar esta leccin usted debera estar capacitado para: Entender el funcionamiento del servicio DNS Tipos de Servidores DNS Consultas y bsquedas sobre servidores DNS Usar Berkeley Internet Name Domain - BIND Archivos y configuraciones del servidor bi d bind Administracin del servicio named

so C ele ur ct so r de nic Li o S nu ol x am

GNU-LINUX

1
1

Nombre de dominio
en
Un nombre de dominio usualmente consiste en dos o ms partes, separadas por puntos. Por ejemplo: www uni edu pe www.uni.edu.pe A la etiqueta ubicada ms a la derecha se le llama TLD (Top Level Domain). Como org en www.apache.org com en www.mydomain.com Cada subdivisin (o subdominio) es una etiqueta que puede contener h t 63 caracteres, pero l d t hasta t la longitud total del nombre de dominio no debe exceder los 255 caracteres.

Pa

ra

so C ele ur ct so r de nic Li o S nu ol x am

te

GNU-LINUX

Visin General del Servicio DNS

en
El Domain Name System (DNS), permite resolver:
Nombres de host a direcciones IP (Bsqueda directa) Direcciones IP en nombres de host (Bsqueda Inversa)

Permite a los host estar lgicamente agrupados

hostname.domain.tld hostname.subdomain.domain.tld

Cada servidor DNS es responsable de una del espacio de nombre, llamado zona. Un servidor DNS puede gestionar 1 o mas zonas. Los d i i L dominios TLD son administrados por d i i t d servidores conocidos como root servers

Pa

ra

so C ele ur ct so r de nic Li o S nu ol x am

te

GNU-LINUX

Jerarqua DNS
en
mil il pe dominios de nivel superior - TLD dominios de segundo nivel edu net pupc p pc hosts
GNU-LINUX

root

com

es

net t

edu

net

Pa

ra

fiis

www

ccfiis

so C ele ur ct so r de nic Li o S nu ol x am
org com uni ni fic

te

FQDN (Fully Qualified Domain Name)

en
Para identificar a un sistema de forma completa o absoluta se utiliza un FQDN. Por ejemplo www.uni.edu.pe es un FQDN, en ni ed pe FQDN este caso www es el Servidor Web del dominio uni.edu.pe

Ms Especifico E ifi

Pa

www.uni.edu.pe

ra

so C ele ur ct so r de nic Li o S nu ol x am
Menos Especifico

Pais Tipo de Organizacion Nombre de Organizacin Nombre del Computador

GNU-LINUX

te

Tipos de Servidores DNS

en
Primario:

Secundario:

Agiliza las consultas copindolas en una cache. Los datos los obtiene de servidores primarios o secundarios. ( ti d i (no tiene autoridad para las zonas) t id d l )
GNU-LINUX

Pa

Cach:

ra

Almacena una copia de solo lectura de los archivos de una zona primaria (zona secundaria) Obtiene los archivos de forma automtica a travs de un proceso llamado transferencia de zona.

so C ele ur ct so r de nic Li o S nu ol x am

Almacena la informacin de una zona primaria y tiene autoridad sobre ella. Almacena los archivos de zona primaria.

te

Servidor Primarios y Secundario

en
Se hacen cambios en el archivo de la zona mster S h bi l hi d l que es de lectura escritura (en el servidor mster). La transferencia de zona replica el archivo de transferencia zona zona mster hacia uno o mas servidores esclavos donde los archivos de zona sern de solo lectura.

ra

so C ele ur ct so r de nic Li o S nu ol x am
Replicacin (Transferencia de Zona)

te

.
Zona Primaria

Pa

Lectura/Escritura

Solo-Lectura

Zona Secundaria

7
GNU-LINUX

Berkeley Internet Name Domain - BIND

en
Linux utiliza BIND como servidor de nombres y se i ili id d b administra mediante el servicio named Debe tener instalado los siguientes paquetes:
bind bind-chroot caching-nameserver (opcional)
# rpm qa | grep bind

Modifica el archivo /etc/sysconfig/named Incluye la variable: ROOTDIR=/var/named/chroot Archivos de BIND se almacenan en este directorio.
GNU-LINUX

Pa

ra

El paquete bind-chroot permite que BIND se ejecute en un entorno chroot

so C ele ur ct so r de nic Li o S nu ol x am

te

Instalacin de BIND
en
Puede d P d descargar la ultima versin de BIND en: l li i d En sistemas con RPM. Puede verificar si lo tiene RPM instalado escribiendo:
# rpm -q bind q

# rpm qa|grep bind

Si tiene el paquete RPM. Instlelo escribiendo: Instalacin a travs del sistema yum
# yum y install bind
GNU-LINUX

Pa

# rpm ivh bind-9.5.0-16.i386.rpm

ra

so C ele ur ct so r de nic Li o S nu ol x am

https://www.isc.org/download

te

Archivos del Servicio BIND

en
BIND permite actuar como S i Servidor DNS P i id Primario i o Secundario simultneamente. Configuraciones globales de BIND. BIND
/var/named/chroot/etc/named.conf

Por defecto los archivos de zona del servidor primario estn en:
/var/named/chroot/var/named/*.zone

/var/named/chroot/var/named/slaves/* zone /var/named/chroot/var/named/slaves/*.zone

Pa

ra

Por defecto los archivos de zona del servidor secundario estn en:

so C ele ur ct so r de nic Li o S nu ol x am

te

10
GNU-LINUX

El archivo named.conf
en
Opciones Globales de BIND O i Gl b l d

options { listen-on port 53 { 193.52.55.28; }; allow-query { 193.52.55.0/24; }; forwarders {200.106.56.3; }; }; allow-transfers { 193.52.55.29; } };

Los parmetros mostrados permiten: mostrados,

Recibir conexiones por la IP 193.52.55.28, puerto 53 Permitir consultas desde la red 193.52.55.0/24 Direccionar consultas DNS hacia 193.52.55.3 Permitir transferencia de zona hacia 193.52.55.29

Pa

ra

so C ele ur ct so r de nic Li o S nu ol x am

te

11
GNU-LINUX

El archivo named.conf
en
Zona Primaria o M Z Pi i Mster
zone "empresa1.com" IN { yp type master; file "empresa1.com.db"; };

Zona Secundaria o Esclava

zone "empresa1.com" IN { type slave; file "empresa1 com db"; empresa1.com.db ; };

Zona Inversa mster

zone "55.52.193.in-addr.arpa" IN { type master; file "193.52.55.db"; };

GNU-LINUX

Pa

ra

so C ele ur ct so r de nic Li o S nu ol x am

te

12

Definicin de una zona master de reenvi

en
Esta zona permite mapear las consultas de los E i l l d l nombres DNS a sus direcciones IP.
zone "empresa1.com" IN { type master; file "empresa1.com.db"; };

El ejemplo anterior muestra una zona maestra de j p reenvi para el dominio empresa1.com, donde:
type master; indica que la zona es maestra file "empresa1.com.db"; es el nombre del l b d l archivo donde se especificar la configuracin para la zona de dominio

Pa

ra

so C ele ur ct so r de nic Li o S nu ol x am

te

13
GNU-LINUX

Definicin de una zona master de Inversa

Traduce una consulta de direcciones IP a nombre. T d l d di i b Utiliza el dominio especial in-addr.arpa precedido de la direccin IP de la red del host (escrito de forma invertida), por ejemplo:
Para el host 172.16.3.21/255.255.0.0 el dominio inverso ser 16.172.in-addr.arpa Para el host 193.52.55.28/255.255.255.0 el dominio inverso ser 55.52.193.in-addr.arpa. 55.52.193.in addr.arpa. El ejemplo muestra la definicin de esta zona
zone "55.52.193.in-addr.arpa" IN { 55.52.193.in addr.arpa type master; file "193.52.55.db"; };
GNU-LINUX

Pa

ra

so C ele ur ct so r de nic Li o S nu ol x am

en

te

14

Uso de palabras reservadas

Puede utilizarlas a lo largo del archivo named.conf any; significa cualquier direccin IP. none; significa ningn host. i ifi i h t localhost; significa el equipo local desde cualquiera de sus interfaces de red localnets; representa a todos los host de las redes para los cuales el sistema tiene una interfaz p
zone "empresa1.com" IN { type master; file "empresa1.com.db"; allow-query { any; locahost; }; };

Pa

ra

so C ele ur ct so r de nic Li o S nu ol x am

en

te

GNU-LINUX

15

Listas de Control de Acceso - acl

en
Las listas acl ofrecen un modo prctico de definir grupos que pueden ser referenciados en varias partes del cdigo Por ejemplo: cdigo.
Podemos definir una lista llamada slaves que contenga direcciones IP de servidores esclavos
acl "slaves" {193.52.55.141; 193.52.55.142;};

zone "empresa1.com" IN { type master; file "empresa1.com.db"; allow-transfer { slaves; }; }; }

GNU-LINUX

Pa

ra

L Luego se puede referencia a di h li t en una d f i dicha lista zona o donde se requiera

so C ele ur ct so r de nic Li o S nu ol x am

te

16

BIND: Archivos de Zona

en
$TTL (Time To Live) tiempo en segundos en el que un servidor DNS puede tener en cache un R.R. ;(punto y coma) permite aplicar comentarios (p nto coma), "@" (arroba) equivale a la directiva $ORIGIN o espacio de nombres de dominio. Contiene Registros de Recursos (R.R.):
A : mapea nombres a direcciones IP PTR : mapea direcciones IP a nombres CNAME : crea un alias MX : R i t d i t Registro de intercambio de correo bi d NS : Servidores DNS

Pa

ra

so C ele ur ct so r de nic Li o S nu ol x am

te

17
GNU-LINUX

Archivo de zona master de reenvi

en
Para cada zona definida en named.conf se debe crear el archivo de zona correspondiente; observe el archivo de zona empresa1 com db empresa1.com.db
$TTL 1H @ IN SOA 2 3H 1H 1W 1H @ @ ns1 server1 server2 www mx1 IN IN IN IN IN IN IN ns1.empresa1.com. admin.empresa1.com. ( ;serial ;refresh ;retry ;expire ) ;ttl NS ns1.empresa1.com. MX 1 mx1.empresa1.com. A 193.52.55.28 ; servidor DNS A 193.52.55.29 A 193.52.55.30 CNAME server1 CNAME server1
GNU-LINUX

Pa

ra

so C ele ur ct so r de nic Li o S nu ol x am

te

18

Administracin de los servicios

en
Si el servicio bind puede iniciarse del siguiente modo:
# /etc/init d/named start /etc/init.d/named

Para detener el servicio

# service named stop

Para reiniciar el servicio

Para que los cambios permanezcan permanentes en el siguiente inicio de sesin

# chkconfig --level 345 named on hk fi l l d
GNU-LINUX

Pa

ra

# service named restart

so C ele ur ct so r de nic Li o S nu ol x am

te

19

Utilidades para consultas DNS

en
host : Obtiene una direccin IP asociada con un nombre de host o un nombre de host asociado con una direccin IP. IP nslookup: Permite localizar informacin acerca , de los nodos de red, examinar los contenidos de la base de datos de un servidor de nombres y establecer la accesibilidad a servidores de nombres. nombres dig("Domain Internet Groper"): Permite p probar los servidores de nombres, reunir grandes , g volmenes de informacin de nombres de dominio y ejecutar simples consultas de nombres de dominio. dominio

Pa

ra

so C ele ur ct so r de nic Li o S nu ol x am

te

GNU-LINUX

20

Utilidad nslookup
Permite hacer consultas a los registros del servidor Consulta al registro MX (mail exchanger ):
[root@fc80 ~]# nslookup > set type=mx > empresa1.com Server: 193.52.55.28 Address: 193.52.55.28#53 empresa1.com mail exchanger = 1 mx1.empresa1.com.

Consulta al registro inverso PTR:

[root@fc80 ~]# nslookup > set type=ptr > 193 52 55 28 193.52.55.28 Server: 193.52.55.28 Address: 193.52.55.28#53 28.55.52.193.in-addr.arpa name = server1.empresa1.com.

Pa

ra

so C ele ur ct so r de nic Li o S nu ol x am

en

te

21

GNU-LINUX

Utilidad dig, host

en
dig.- Permite hacer consultas a un servidor DNS
[root@fc80 ~]# dig empresa1.com NS ; <<>> DiG 9 5 0 6 <<>> empresa1.com NS 9.5.0a6 1 ...
;; ANSWER SECTION: empresa1.com. 3600 IN NS fc80.jafer.com.

[root@fc80 ~]# dig empresa1.com MX

[ [root@fc80 ~]# host t PTR 193.52.55.28 @ ]#

28.55.52.193.in-addr.arpa domain name pointer fc80.empresa1.com.

[root@fc80 ~]# host -l empresa1.com

empresa1.com name server fc80.jafer.com. fc80.empresa1.com fc80 empresa1 com has address 193.52.55.28 193 52 55 28
GNU-LINUX

Pa

ra

host.host - Se utiliza bsicamente para convertir nombres en direcciones IP y viceversa.

so C ele ur ct so r de nic Li o S nu ol x am

te

22

Utilidad dig
en
Servidores que manejan los dominios .pe
[root@fc80 ~]# dig pe. NS
; <<>> DiG 9.5.0a6 <<>> pe. NS ;; global options: printcmd ;; Got answer: ;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 63484 flags: qr rd ra; QUERY 1 ANSWER 3 AUTHORITY 0 ADDITIONAL 0 d QUERY: 1, ANSWER: 3, AUTHORITY: 0, ADDITIONAL: ;; fl ;; QUESTION SECTION: ;pe. ;; ANSWER SECTION: pe. pe. p pe. ;; ;; ;; ;;

so C ele ur ct so r de nic Li o S nu ol x am
IN NS 3600 3600 3600 IN IN IN NS NS NS

Query time: 181 msec SERVER: 210.10.10.128#53(210.10.10.128) WHEN: Fri Apr 25 17:38:29 2008 MSG SIZE rcvd: 101 GNU-LINUX

Pa

ra

te

.
ICHU.RCP.NET.pe. EKEKO.RCPIP.NET. NS-PE.RIPE.NET.

23

so C ele ur ct so r de nic Li o S nu ol x am

Laboratorio
Pa ra U

El servidor DNS - BIND

en te .

GNU-LINUX

24