Página 1 de 2 12 ÚltimoÚltimo
+ Responder ao Tópico



  1. #1

    Padrão Servidor DNS para provedor

    Pessoal,

    Estou montando um servidor DNS com IPs válidos para melhorar qualidade e resolver os nomes para os clientes localmente.

    Fiz todas as configurações e todos testes dão OK mas, quando coloco o IP do servidor em uma máquina da rede interna, não resolve os nomes, pinga somente para fora por IP, acessa skype e etc...mas não navega e nem pinga em nomes.

    Seguem testes direto do servidor:

    [email protected]:/home/fernando# nslookup ns1.wantel.net.br
    Server: 201.18.13.4
    Address: 201.18.13.4#53

    Name: ns1.wantel.net.br
    Address: 201.18.13.4

    [email protected]:/home/fernando# nslookup ns2.wantel.net.br
    Server: 201.18.13.4
    Address: 201.18.13.4#53

    Name: ns2.wantel.net.br
    Address: 201.18.13.2

    [email protected]:/home/fernando# dig @wantel.net.br

    ; <<>> DiG 9.9.5-9ubuntu0.1-Ubuntu <<>> @wantel.net.br
    ; (1 server found)
    ;; global options: +cmd
    ;; Got answer:
    ;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 20933
    ;; flags: qr rd ra ad; QUERY: 1, ANSWER: 13, AUTHORITY: 0, ADDITIONAL: 1

    ;; OPT PSEUDOSECTION:
    ; EDNS: version: 0, flags:; udp: 4096
    ;; QUESTION SECTION:
    ;. IN NS

    ;; ANSWER SECTION:
    . 518198 IN NS g.root-servers.net.
    . 518198 IN NS b.root-servers.net.
    . 518198 IN NS l.root-servers.net.
    . 518198 IN NS e.root-servers.net.
    . 518198 IN NS h.root-servers.net.
    . 518198 IN NS i.root-servers.net.
    . 518198 IN NS c.root-servers.net.
    . 518198 IN NS d.root-servers.net.
    . 518198 IN NS k.root-servers.net.
    . 518198 IN NS m.root-servers.net.
    . 518198 IN NS a.root-servers.net.
    . 518198 IN NS j.root-servers.net.
    . 518198 IN NS f.root-servers.net.

    ;; Query time: 2 msec
    ;; SERVER: 201.18.13.4#53(201.18.13.4)
    ;; WHEN: Tue Jul 21 08:20:34 BRT 2015
    ;; MSG SIZE rcvd: 239


    Seguem configurações:

    [email protected]:/home/fernando# cat /etc/hosts
    127.0.0.1 localhost
    201.18.13.4 wantel.net.br dnswantel
    201.18.13.2 ns2.wantel.net.br
    # The following lines are desirable for IPv6 capable hosts
    ::1 localhost ip6-localhost ip6-loopback
    ff02::1 ip6-allnodes
    ff02::2 ip6-allrouters
    [email protected]:/home/fernando# cat /etc/bind/named.conf.default-zones
    // prime the server with knowledge of the root servers
    zone "." {
    type hint;
    file "/etc/bind/db.root";
    };

    // be authoritative for the localhost forward and reverse zones, and for
    // broadcast zones as per RFC 1912

    zone "localhost" {
    type master;
    file "/etc/bind/db.local";
    };

    zone "127.in-addr.arpa" {
    type master;
    file "/etc/bind/db.127";
    };

    zone "0.in-addr.arpa" {
    type master;
    file "/etc/bind/db.0";
    };

    zone "255.in-addr.arpa" {
    type master;
    file "/etc/bind/db.255";
    };


    zone "wantel.net.br" {
    type master;
    file "/etc/bind/db.wantel";
    allow-transfer { 201.18.13.2;};
    };

    zone "13.18.201.in-addr.arpa" {
    type master;
    file "/etc/bind/db.wantel.rev";
    };
    [email protected]:/home/fernando# cat /etc/bind/db.wantel
    $TTL 43200 ; 12 hours

    @ IN SOA ns1.wantel.net.br. root.wantel.net.br. (
    220920091 ; Serial
    28800 ; refresh (8 hours)
    14400 ; retry (4 hours)
    3600000 ; expire (5 weeks 6 days 16 hours)
    86400 ; minimum (1 day)
    )


    IN NS ns1.wantel.net.br.
    IN NS ns2.wantel.net.br.
    IN NS wantel.net.br.
    IN A 201.18.13.4

    ns1.wantel.net.br. IN A 201.18.13.4
    ns2.wantel.net.br. IN A 201.18.13.2
    NS IN CNAME dnswantel
    [email protected]:/home/fernando# cat /etc/bind/db.wantel.rev
    $TTL 43200 ; 12 hours
    @ IN SOA wantel.net.br. root.wantel.net.br. (
    220920091 ; Serial
    28800 ; refresh (8 hours)
    14400 ; retry (4 hours)
    3600000 ; expire (5 weeks 6 days 16 hours)
    86400 ; minimum (1 day)
    )

    @ IN NS wantel.net.br.
    4 IN PTR ns1.wantel.net.br.
    3 IN PTR ns2.wantel.net.br.




    Porque não consigo pingar nos nomes na minha rede interna usando a faixa de IP 10.10.10..x/24 com DNS 201.18.13.4??

  2. #2
    Avatar de dpetry
    Ingresso
    Jun 2015
    Localização
    Cabo frio - Rio de Janeiro
    Posts
    181

    Padrão Re: Servidor DNS para provedor

    @lfernandosg,

    Você chegou a interceptar o tráfego para ver se a requisição do dns está chegando e saindo do seu seervidor?

    Você tem firewall no meio do caminho??



    --
    Dpetry!



  3. #3

    Padrão Re: Servidor DNS para provedor

    [email protected]:/home/fernando# cat /etc/bind/named.conf.options
    options {
    directory "/var/cache/bind";


    // If there is a firewall between you and nameservers you want
    // to talk to, you may need to fix the firewall to allow multiple
    // ports to talk. See http://www.kb.cert.org/vuls/id/800113


    // If your ISP provided one or more IP addresses for stable
    // nameservers, you probably want to use them as forwarders.
    // Uncomment the following block, and insert the addresses replacing
    // the all-0's placeholder.


    // forwarders {
    // 0.0.0.0;
    // };


    //====================================================================== ==
    // If BIND logs error messages about the root key being expired,
    // you will need to update your keys. See https://www.isc.org/bind-keys
    //====================================================================== ==
    dnssec-validation auto;


    auth-nxdomain no; # conform to RFC1035
    listen-on-v6 { any; };
    };


    Arthur, pensei em configurar o forwarders mas, pesquisando vi que como meus ips são válidos, não precisa e eles que vão ser meu dns da minha rede interna 10.10.10.x. na verdade, No active directory é que o IP 201.18.13.4 vai ser meu encaminhador. Lembrando que dentro do servidor linux, pingo normal para qualquer IP ou host. das máquinas da rede interna só pingo nos IPs.

  4. #4

    Padrão Re: Servidor DNS para provedor

    A requisição é feita só que só consigo pingar em IP das máquinas clientes. Do servidor dns consigo pingar tanto em IPs quanto em hosts externos. Ainda tá sem iptables pois está em fase de teste.



  5. #5
    Avatar de dpetry
    Ingresso
    Jun 2015
    Localização
    Cabo frio - Rio de Janeiro
    Posts
    181

    Padrão Re: Servidor DNS para provedor

    @lfernandosg

    Add essa linha ao seu arquivo /etc/bind/named.conf.options

    allow-query { any; };


    ai verifica se funciona.

    --
    Dpetry!

  6. #6

    Padrão Re: Servidor DNS para provedor

    Meu amigo, muito obrigado!!! resolveu.

    Agora, só uma duvida, como consulto, limpo o cache do bind no linux?



  7. #7

    Padrão

    Citação Postado originalmente por dpetry Ver Post
    @lfernandosg

    Add essa linha ao seu arquivo /etc/bind/named.conf.options

    allow-query { any; };




    ai verifica se funciona.

    --
    Dpetry!

    Meu amigo, muito obrigado!!! resolveu.

    Agora, só uma duvida, como consulto, limpo o cache do bind no linux?

  8. #8
    Avatar de dpetry
    Ingresso
    Jun 2015
    Localização
    Cabo frio - Rio de Janeiro
    Posts
    181

    Padrão Re: Servidor DNS para provedor

    @lfernandosg

    Qual distribuição do linux vc utiliza?


    --
    Dpetry!



  9. #9

    Padrão Re: Servidor DNS para provedor

    Citação Postado originalmente por lfernandosg Ver Post
    Pessoal,

    Estou montando um servidor DNS com IPs válidos para melhorar qualidade e resolver os nomes para os clientes localmente.

    Fiz todas as configurações e todos testes dão OK mas, quando coloco o IP do servidor em uma máquina da rede interna, não resolve os nomes, pinga somente para fora por IP, acessa skype e etc...mas não navega e nem pinga em nomes.

    Seguem testes direto do servidor:

    [email protected]:/home/fernando# nslookup ns1.wantel.net.br
    Server: 201.18.13.4
    Address: 201.18.13.4#53

    Name: ns1.wantel.net.br
    Address: 201.18.13.4

    [email protected]:/home/fernando# nslookup ns2.wantel.net.br
    Server: 201.18.13.4
    Address: 201.18.13.4#53

    Name: ns2.wantel.net.br
    Address: 201.18.13.2

    [email protected]:/home/fernando# dig @wantel.net.br

    ; <<>> DiG 9.9.5-9ubuntu0.1-Ubuntu <<>> @wantel.net.br
    ; (1 server found)
    ;; global options: +cmd
    ;; Got answer:
    ;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 20933
    ;; flags: qr rd ra ad; QUERY: 1, ANSWER: 13, AUTHORITY: 0, ADDITIONAL: 1

    ;; OPT PSEUDOSECTION:
    ; EDNS: version: 0, flags:; udp: 4096
    ;; QUESTION SECTION:
    ;. IN NS

    ;; ANSWER SECTION:
    . 518198 IN NS g.root-servers.net.
    . 518198 IN NS b.root-servers.net.
    . 518198 IN NS l.root-servers.net.
    . 518198 IN NS e.root-servers.net.
    . 518198 IN NS h.root-servers.net.
    . 518198 IN NS i.root-servers.net.
    . 518198 IN NS c.root-servers.net.
    . 518198 IN NS d.root-servers.net.
    . 518198 IN NS k.root-servers.net.
    . 518198 IN NS m.root-servers.net.
    . 518198 IN NS a.root-servers.net.
    . 518198 IN NS j.root-servers.net.
    . 518198 IN NS f.root-servers.net.

    ;; Query time: 2 msec
    ;; SERVER: 201.18.13.4#53(201.18.13.4)
    ;; WHEN: Tue Jul 21 08:20:34 BRT 2015
    ;; MSG SIZE rcvd: 239


    Seguem configurações:

    [email protected]:/home/fernando# cat /etc/hosts
    127.0.0.1 localhost
    201.18.13.4 wantel.net.br dnswantel
    201.18.13.2 ns2.wantel.net.br
    # The following lines are desirable for IPv6 capable hosts
    ::1 localhost ip6-localhost ip6-loopback
    ff02::1 ip6-allnodes
    ff02::2 ip6-allrouters
    [email protected]:/home/fernando# cat /etc/bind/named.conf.default-zones
    // prime the server with knowledge of the root servers
    zone "." {
    type hint;
    file "/etc/bind/db.root";
    };

    // be authoritative for the localhost forward and reverse zones, and for
    // broadcast zones as per RFC 1912

    zone "localhost" {
    type master;
    file "/etc/bind/db.local";
    };

    zone "127.in-addr.arpa" {
    type master;
    file "/etc/bind/db.127";
    };

    zone "0.in-addr.arpa" {
    type master;
    file "/etc/bind/db.0";
    };

    zone "255.in-addr.arpa" {
    type master;
    file "/etc/bind/db.255";
    };


    zone "wantel.net.br" {
    type master;
    file "/etc/bind/db.wantel";
    allow-transfer { 201.18.13.2;};
    };

    zone "13.18.201.in-addr.arpa" {
    type master;
    file "/etc/bind/db.wantel.rev";
    };
    [email protected]:/home/fernando# cat /etc/bind/db.wantel
    $TTL 43200 ; 12 hours

    @ IN SOA ns1.wantel.net.br. root.wantel.net.br. (
    220920091 ; Serial
    28800 ; refresh (8 hours)
    14400 ; retry (4 hours)
    3600000 ; expire (5 weeks 6 days 16 hours)
    86400 ; minimum (1 day)
    )


    IN NS ns1.wantel.net.br.
    IN NS ns2.wantel.net.br.
    IN NS wantel.net.br.
    IN A 201.18.13.4

    ns1.wantel.net.br. IN A 201.18.13.4
    ns2.wantel.net.br. IN A 201.18.13.2
    NS IN CNAME dnswantel
    [email protected]:/home/fernando# cat /etc/bind/db.wantel.rev
    $TTL 43200 ; 12 hours
    @ IN SOA wantel.net.br. root.wantel.net.br. (
    220920091 ; Serial
    28800 ; refresh (8 hours)
    14400 ; retry (4 hours)
    3600000 ; expire (5 weeks 6 days 16 hours)
    86400 ; minimum (1 day)
    )

    @ IN NS wantel.net.br.
    4 IN PTR ns1.wantel.net.br.
    3 IN PTR ns2.wantel.net.br.




    Porque não consigo pingar nos nomes na minha rede interna usando a faixa de IP 10.10.10..x/24 com DNS 201.18.13.4??
    pq vc não instala o unbound+debian?

  10. #10
    Avatar de dpetry
    Ingresso
    Jun 2015
    Localização
    Cabo frio - Rio de Janeiro
    Posts
    181

    Padrão Re: Servidor DNS para provedor




  11. #11
    Avatar de dpetry
    Ingresso
    Jun 2015
    Localização
    Cabo frio - Rio de Janeiro
    Posts
    181

    Padrão Re: Servidor DNS para provedor

    @Arthur Bernardes,

    Mas se tiver um fw de borda, pode dropar toda requisição.


    --
    Dpetry!

  12. #12
    Avatar de dpetry
    Ingresso
    Jun 2015
    Localização
    Cabo frio - Rio de Janeiro
    Posts
    181

    Padrão Re: Servidor DNS para provedor




  13. #13

    Padrão Re: Servidor DNS para provedor

    Como o amigo disse, recursivo aberto para "any" pode geral alguns problemas para a rede.
    O ideal é deixar somente para sua rede local.
    Att
    Arcílio Damiati

  14. #14

    Padrão Re: Servidor DNS para provedor

    Me interesso muito pelo assunto



  15. #15

    Padrão Re: Servidor DNS para provedor

    Citação Postado originalmente por Arthur Bernardes Ver Post
    Mas se o BIND/Unbound já permite o uso de ACL, segurança nunca é demais.

    Arhtur,

    esse servidor estará ligado a um roteador de borda para um provedor. Como ficaria a regra?

  16. #16

    Padrão Re: Servidor DNS para provedor

    No lugar de any coloca o cidr da sua rede.



  17. #17

    Padrão Re: Servidor DNS para provedor

    Citação Postado originalmente por AlexTrevisol Ver Post
    No lugar de any coloca o cidr da sua rede.
    Nesse caso, coloca da minha rede interna 10.10.10.x e minha rede de clientes 189.x.x.x??

  18. #18

    Padrão Re: Servidor DNS para provedor

    isso, coloca assim ex: {10.10.10.1/24;189.x.x.x/24;}



  19. #19

    Padrão Re: Servidor DNS para provedor

    Em named.conf crie um filtro para resolver somente para sua rede interna por questão de segurança, exemplo:
    acl "rede_interna" {
    127.0.0.0/8;
    172.16.0.0/22;
    192.168.1.0/24;
    };

    Em options esconda a versão se for o bind no caso:
    version none;
    Defina em qual ip ele era escutar:
    listen-on { 127.0.0.1; SEU_IP_VALIDO_AQUI; };
    Permita somente sua rede interna:
    allow-recursion { rede_interna; };
    Ative o dnssec:
    dnssec-enable yes;
    dnssec-validation yes;

    Importante: ele tem que ter acesso a internet para resolver nomes, somente isso não vai impedir de sofrer ataques. tem que reforçar seu firewall na porta 53 udp, se você for usa-lo como autoritativo isso é um problema, pois outros servidores na internet também vão consulta-lo.