Bind no CentOs, utilizando o OpenDNS.

[Testogan]

Pessoal,

Para resolução de nomes, utilizo o OpenDNS (www.opends.com).

Instalei o BIND, somente para facilitar o acesso dos usuários a um servidor de aplicativos, que tenho na rede. Pois, para os usuários acessarem o servidor de aplicativos, precisam digitar o ip do servidor:

http://192.168.0.252/teste/index.aspx

No meu arquivo resolv.conf ficou assim:

Código :

nameserver: 192.168.0.254

Que é o IP do próprio servidor Linux, que faz o proxy. Antes, os nameservers, estavam com o ip do OpenDNS (208.67.222.222 e 208.67.220.220).

Já o arquivo named.conf, adicionei as linhas:

Código :

zone "teste.com.br"{
    type master;
    file "/var/named/teste.com.br.zone";
    allow-query{ any; };
};
 
 
zone "0.168.192.in-addr.arpa" IN{
    type master;
    file "/var/named/0.168.192.rev";    
    allow-query{ any; };
};

O arquivo teste.com.br.zone ficou assim:

Código :

$TTL 86400
@ IN SOA teste.com.br. root.teste.com.br. (
100  ; serial
1H   ; refresh
1M   ; retry
1W   ; expiry
1D ) ; minimum
@    IN NS ns1.teste.com.br.
@    IN A  192.168.0.254
ns1  IN A  208.67.222.222
ns2  IN A  208.67.220.220
@    IN MX 10 mail.teste.com.br.
mail IN A  192.168.0.254
WWW  IN A  192.168.0.254
portal IN A 192.168.0.252

Nesse arquivo, adicionei os IPs do OpenDNS, na configuração de NS1=208.67.222.222e NS2=208.67.220.220. Isso para a continuar usando o OpenDNS. Além disso, adicionei o portal, que é o servidor de aplicativos que fica no ip 192.168.0.252.

O arquivo 0.168.192.rev

Código :

$TTL    86400
@                 IN SOA          teste.com. root.teste.com. (
100     ; serial
1H      ; refresh
1M      ; retry
1W      ; expiry
1D)     ; minimum
@                IN NS            ns1.teste.com.
1                 IN PTR          binggo.yourdomain.com.

As configurações são somente essas mesmo, ou está faltando algo? Estou perguntando pq, já deixei tudo configurado aqui, e vou colocar o servidor em produção amanhã..

Valeu pessoal!

[alexandrecorrea]

voce esta confundindo dns recursivo com dns autoritativo !!!

recursivo eh quando o dns é utilizado para consultas de resolução (o dns que voce coloca nos clientes, no seu windows, etc)

autoritativo eh o dns que responde primario ou secundario para DOMINIOS ou reversos de ips..

o OPENDNS eh um serviço RECURSIVO gratis !! ele nao eh autoritativo !

explique o que voce esta querendo fazer !

[osmano807]

Acho que ele quer que o Bind dele faça forward do que ele não resolve para o opendns.

Acho que já fiz isso, eu crio uma zone para meu domínio, e outra para "." tipo forward para o opendns. O que não cair no meu domínio sai pelo ".".

[Testogan]

voce esta confundindo dns recursivo com dns autoritativo !!!

recursivo eh quando o dns é utilizado para consultas de resolução (o dns que voce coloca nos clientes, no seu windows, etc)

autoritativo eh o dns que responde primario ou secundario para DOMINIOS ou reversos de ips..

o OPENDNS eh um serviço RECURSIVO gratis !! ele nao eh autoritativo !

explique o que voce esta querendo fazer !

Opa, não estou confundindo. Deixe explicar melhor.

O OpenDNS é recursivo, resolve os nomes. Além disso, ele categoriza os sites por tipo de conteúdo. Dessa forma, eles disponibilizam uma função, que bloqueia acesso à sites por categoria. Por exemplo: Sites XXX.

Tenho 2 tipos de bloqueios na LAN, o Squid e o OpenDNS. O OpenDNS é melhor, pois as "black lists" são atualizadas constantemente. Se está liberado no Squid, muito provavelmente o OpenDNS bloqueia.

Agora quero instalar o Bind, somente para resolver nomes, dentro da LAN. Isso pq, dentro da LAN, tenho vários servidores de aplicativos. Hoje para os usuários, acessarem esses servidores de aplicativos, precisam digitar o ip do servidor. Por exemplo, para acessar um portal intranet, eles precisam digitar:

http://192.168.0.254/portal/portal.aspx

O quero fazer, é o usuário digitar:

http://portal

.. e o bind resolver o nome "portal", e jogá-lo para o servidor de aplicativos.

Acho que ele quer que o Bind dele faça forward do que ele não resolve para o opendns.

Acho que já fiz isso, eu crio uma zone para meu domínio, e outra para "." tipo forward para o opendns. O que não cair no meu domínio sai pelo ".".

É mais ou menos isso..

Qdo o usuário fizer uma consulta, queria que o bind tentasse resolver primeiro. Se ele não resolver, o OpenDNS resolve.

Por exemplo, se o usuário digitar:

http://portal

.. o bind teria que resolver e jogar o usuário para um servidor de aplicativos, que fica dentro da LAN, não vai pro OpenDNS. Aí se o bind, não conseguir resolver, ele joga pro OpenDNS resolver, mas não vai conseguir, pois é um endereço da LAN.

[Testogan]

Oi pessoal,

Tem como fazer isso? Andei lendo sobre VirtualHosts, seria a saída?

[osmano807]

Tira os NS do opendns da tua zona, e arruma o named.conf +- assim:

Código :

 
zone "teste.com.br"{
    type master;
    file "/var/named/teste.com.br.zone";
    allow-query{ any; };
};
 
 
zone "0.168.192.in-addr.arpa" IN{
    type master;
    file "/var/named/0.168.192.rev";    
    allow-query{ any; };
};
 
zone "." IN {
        type forward;
        forwarders {
              208.67.222.222;
              208.67.220.220;
        };
 
};

[Testogan]

Tira os NS do opendns da tua zona, e arruma o named.conf +- assim:

Código :

 
zone "teste.com.br"{
    type master;
    file "/var/named/teste.com.br.zone";
    allow-query{ any; };
};
 
 
zone "0.168.192.in-addr.arpa" IN{
    type master;
    file "/var/named/0.168.192.rev";    
    allow-query{ any; };
};
 
zone "." IN {
        type forward;
        forwarders {
              208.67.222.222;
              208.67.220.220;
        };
 
};

Ok, amanhã chegando no trampo, vou fazer o teste.

Nos arquivos resolv.conf e dhcpd.conf, tenho que fazer alguma alteração? Pois hoje, eles estão com o IP do OpenDNS.

resolv.conf

Código :

search teste.com.br
nameserver 208.67.222.222
nameserver 208.67.220.220

dhcpd.conf

Código :

option domain-name-servers      208.67.222.222, 208.67.220.220;

[osmano807]

Claro, se tu quer que todo mundo use o seu dns uai...

[Testogan]

Claro, se tu quer que todo mundo use o seu dns uai...

Hehe.. então ficaria assim?


resolv.conf

Código :

search teste.com.brnameserver 192.168.0.254

dhcpd.conf

Código :

option domain-name-servers 192.168.0.254;

Amanhã, farei os testes.

Obrigado por enquanto, osmano807!

[Testogan]

Claro, se tu quer que todo mundo use o seu dns uai...

É amigo, não funcionou! =/

O bind em sí funcionou. Rodei o nslookup e o dig ambos no servidor DNS e retornou os dados. Mas algo estranho, é que qdo vou em alguma estação, e dou um ping em algum site, não funciona. Deveria "pingar", não?

O meu named.conf, ficou assim:

Código :

options {
   directory "/var/named";
   dump-file "/var/named/data/cache_dump.db";
   statistics-file "/var/named/data/named_stats.txt";
};
 
 
controls {
 inet 127.0.0.1 allow { localhost; } keys { rndckey; };
};
 
 
zone "." IN {
        type forward;
        forwarders{
                208.67.222.222;
                208.67.220.220;
        };
};
 
 
zone "teste.com.br"{
        type master;
        file "teste.com.br.zone";
        allow-update{ none; };
        allow-query{ any; };
};
 
 
zone "0.168.192.in-addr.arpa" IN{
        type master;
        file "0.168.192.rev";
        allow-update{ none; };
        allow-query{ any; };
};
 
 
include "/etc/rndc.key";

Nem o ping nas estações e o OpenDNS no forward, não estão funcionado.

Alguma sugestão?

[osmano807]

Qual a saída do nslookup/dig de alguma das estações?
O DNS nas estações está correto?

O que retorna:

Código :

dig @ip_do_servidor_dns under-linux.org

?

[Testogan]

As estações são todas windows, que ficam no dominio de um servidor windows server 2003. Esse servidor windows server, fica embaixo do servidor linux.

Servidor Linux -> Servidor Windows Server -> Estações

Nas estações, o DNS das máquinas, está apontando pro servidor windows server, que por sua vez, faz FORWARD DNS pro Linux.

Somente os notebooks, que não estão no dominio, e estão pegando o IP do servidor DNS (Linux) direto, pulando o servidor windows.

Acessei agora remotamente, esse servidor windows, e o dig ele não reconhece. Já o nslookup retornou o seguinte:

Código :

Can't find server name for address 192.168.0.252: Non-existent domain
Server: Unknown
Address: 192.168.0.252
 
Name: teste.com.br
Address: 200.234.196.214

Mas hoje mesmo, eu tentei dar ping com o meu notebbok (que está pegando o IP do servidor DNS Linux) e tb não pingou.

[osmano807]

Eu me referi nslookup à endereço externo.
Não sei, talvez seu Bind não está permitindo consultas... Por isso eu falei pra testar com o IP do Linux. No nslookup não lembro como seleciona...

Aliás, o que não está funcionando mesmo? Ping não tem nada a ver com DNS, à menos que tu tente pingar um nome dns...

[Testogan]

O nslookup pro google, feito a partir do servidor windows, retornou:

Comando: nslookup www.google.com

Código :

Can't find server name for address 192.168.0.252: Non-existent domain
Server: Unknown
Address: 192.168.0.252
 
Non-authoritative answer:
Name: www.l.google.com
Addresses: 74.125.234.116 (retornou vários IPs)
Aliases: www.google.com

O que não está funcionando, é o ping nas estações e o lance de usar o OpenDNS usando o Forward que vc postou.

O ping que testei, foi pingar dominios. Ex: ping www.google.com

Mas se o bind, não estivesse permitindo consultas, ninguém navegaria, certo? No caso, todas as estações estão navegando.

[Testogan]

Aeee...

O lance do ping, consegui resolver! Tava bloqueado no firewall.. rs.

Código :

$ipt -A FORWARD -s 192.168.0.0/24 -p icmp -j ACCEPT

Agora só fica faltando o lance de usar o OpenDNS. Será que tem como, fazer isso?

[osmano807]

Aeee...

O lance do ping, consegui resolver! Tava bloqueado no firewall.. rs.

Código :

$ipt -A FORWARD -s 192.168.0.0/24 -p icmp -j ACCEPT

Agora só fica faltando o lance de usar o OpenDNS. Será que tem como, fazer isso?

Mas já está usando de acordo com o named.conf que você postou uai. Até resolveu o endereço do google.

[Testogan]

Mas não é o OpenDNS que está resolvendo. Tanto é, que comentei o trecho do forward.

[Testogan]

Pelo que li, o BIND se comunica com vários servidores (root servers), para resolver os nomes de dominio.

To tentando achar o arquivo, aqui no CentOS. Em outras distros, ele se chama: "/etc/bind/db.root"

[Testogan]

Achei.

No named.conf o forward, deve ficar dentro de options:

options {

forwarders { 208.67.222.222; 208.67.220.220; };
};

Well Done!!
Obrigado pela ajuda!!