Upload
miguel-angel-matos
View
219
Download
0
Embed Size (px)
Citation preview
8/16/2019 Para Metros DNS
1/13
@Indica el dominio de la zona
asgaard.tux
.El punto del final hace referencia
al servidor de nombres raíz.
SOA
Indica el inicio de los datos para
una zona y define parámetros que
afectan a todos los registros parala zona.
$TTL 604800:
Directiva obligatoria a partir de
la versión 9 de Bind (RFC1035 /
RFC2308), indica el tiempo de
vida (TTL, del ingles, Time To
Live) de la información obtenida
en el archivo. Por defecto se usan
segundos (604800 segundos
equivalen a siete días exactos),
pero puede usarse también
semanas ($TT 1w), días ($ttL
7d), Horas ($TTL 168h) y
minutos ($TTL 10080m).
@ IN SOA electronic−solution.com.ar.
hostmaster.electronic_solution.com.ar:
SOA (del ingles, Start Of
Authority) proclama información
relevante sobre la autoridad de
un dominio al servidor de
nombres. Es siempre el primer
recurso en un archivo de zona. El
símbolo @ equivale a la directiva
$ORIGIN.
@ IN NS ns 1.odin.dns: Indica los servidores de nombreque tiene autoridad sobre el
dominio.
IN MX 10 relay.asgaard.tux:
Se trata de los registros MX (del
ingles, Mail eXechanger ) e
indica donde mandar el correo
destino a un espacio de nombre
controlador de esta zona.
IN TXT Asgaard Local Net primary
nameserver:
Este es un registro descriptivo,
en texto plano (del ingles, plain
text ), del servidor.
IN HINFO Intel Pemtium Redhat
Linux:
Otro registro, también a tituloinformativo y totalmente
opcional (del ingles, host
INFOrmation).
Localhost IN A 127.0.0.1:Registro que relaciona el host
local con su IP de loopback.
Asgaard.tux.IN A 192.168.10.35: Registro que relaciona el nombre
de dominio con la IP donde esta
hospedado. Cualquier petición a
asguaard.tux. Será resuelta
1
8/16/2019 Para Metros DNS
2/13
mediante este registro, se use el
protocolo de comunicación que
se use
ns1 IN A 192.168.10.24:
A partir de aquí empieza la
traducción de subdominios del
dominio para el cual somos el
autorizado.
BIND
Soporta las Incremental ZoneTransfers, (IXFR), en las que el
servidor de nombres esclavo
descarga solamente las
proporciones de actualizaciones
de una zona modificada en un
servidor de nombre maestro. El
proceso de transferencia AXFR
estándar necesita que la zona
entera se transfiera al servidor de
nombres esclavo incluso si se
hacen pequeños cambios. Para
los dominios más famosos conficheros de zona muy largos,
IXFR hace que la notificación y
los procesos de actualización
sean menos exigentes en
recursos.
NSIdentifica el servidor de nombre
para el dominio.
AConvierte un nombre de estación
en una dirección de IP.
PTR Convierte una dirección de IP aun nombre de estación.
MX
Identificar hacia donde se debe
enviar el correo electrónico para
el dominio o estación
CNAMEDefine un alias para el dominio o
estación.
HINFODescribe el hardware y el sistema
operativo de una estación.
WKSAnuncia servicios de red
ofertados.
TXTAlmacena cualquier información
abierta.
Es necesaria solamente con las
declaraciones acl, incluye,
server, view y zone.
Aparece solo con la declaración
zone.
Acl Configura una lista de control del
acceso de las direcciones IP a las
2
8/16/2019 Para Metros DNS
3/13
que se autorizan o se denegaran
ciertos servicios named. En
general las direcciones IP
individuales o la nota de IP
(como 10.0.1.0/24 sirve para
identificar las direcciones IP
correctas.
Any
Corresponde a todas las
direcciones IP.
Controls
Configura diversas restricciones
de seguridad necesarias para la
utilización del comando rndc y
así puede usar el dominio
named.
Include
Incluye el fichero especificado
en el fichero de configuración
que se esta usando y permite así
situar los datos de configuración
sensible (como keys) en un
fichero separado con los
permisos que impiden a los
usuarios sin privilegios leerlos.
Key
Define una clave particular. Estas
claves sirven para autentificar
diversas acciones como la
actualización de seguridad o la
utilización de comando rndc.
Logging
Permite usar varios tipos de logs
que se llaman channels o canales.Usando la opción channel en la
dirección logging, se puede
construir un tipo de log
personalizados con el nombre del
fichero (file), con el tamaño
(size), la versión (versión) y el
nivel de importancia (severity.
Una ves que se ha definido el
canal personalizado, se usa la
opción category para calificar el
canal y comenzar la conexión
mientras se arranca named.
Options
Asigna valores a muchas
opciones entrelazadas, incluidos
los comandos que se usan para
situar un fichero de
funcionamiento de named, el
nombre de ficheros y otros.
Allow−query Especifica los host que se
utilizaran para establecer las
peticiones en el servidor de
3
8/16/2019 Para Metros DNS
4/13
nombres. Por defecto todos los
hosts están autorizados a
presentar peticiones. Se puede
usar una lista de control de
acceso o una colección de
direcciones IP para no autorizar a
un determinado numero de
servidores de nombres.
Allow−recursion
Parecida a la opción
allow−query, salvo que se aplica
a las peticiones recursivas. Por
defecto, todos los host están
autorizados a presentar
peticiones en los servidores de
nombres.
Directory
Remplaza el fichero de
funcionamiento de named en vez
del fichero predeterminado
/var/named.
Forward
Controla como se lleva a cabo el
forwaring, si la opción
forwarders contiene direcciones
IP validas que designe donde
enviar las peticiones.
Forwarders
Especifica una lista de servidores
de nombre a los que hay que
mandar las peticiones para
obtener la resolución.
Listen−on
Especifica el dispositivo de red
que named va a utilizar pararecibir las peticiones. Por defecto
se usan todos los dispositivos.
Notify
Determina si named envía
notificaciones a los servidores
esclavos cuando una zona se
actualiza. Por defecto, se usa la
opción yes, pero se puede usar
también la opción no, para evitar
que se manden notificaciones a
los servidores esclavo y así sola
mente mandar las notificacionesa los servidores de la lista
also−notify.
Pit−file
Permite especificar la
localización de ficheros del
proceso ID creado por named
cuando arranca.
Statistics−file Permite especificar la
localización del fichero de
estática que se ha creado. Por
4
8/16/2019 Para Metros DNS
5/13
defecto, las estadísticas de
named se encuentran en
/var/named/named.stats.
Server
Define opciones particulares que
afectan a la manera en la que
named relaciona ante los
servicios de nombres distantes y
particularmente conciernen a las
notificaciones y las
transferencias de zona.
Transfer−format
Determina si se ha enviado el
record de los recursos con cada
mensaje (one−answer) o la
grabación de recursos múltiples
con cada mensaje
(many−answers). Aunque la
opción many−answers es mas
eficaz, solamente los últimos
servidores de nombres BIND la
entienden.
Trusted−keysContiene las claves públicas que
usa DNSSEC.
View
Visualizaciones especiales que
responden a un tipo de
información particular
dependiendo del host que
contacte el servidor de nombres.
Esto permite a determinados
hosts reciben una respuesta que
se refiere a una zona particular
mientras que otros hosts reciben
información completamente
diferente.
Alternativamente, ciertos hosts
pueden estar autorizados para
acceder a determinadas zonas
mientras que otros menos
autorizados continuar a efectuar
peticiones a otras zonas.
Zone Especifica zonas particulares
para las que está autorizado ese
servidor de nombres. La
declaración zone se usa sobre
todo para especificar el fichero
que contiene la configuración de
la zona y transmite ciertas
opciones de esa zona a named
que tendrá prioridad sobre todas
las otras declaraciones option del
5
8/16/2019 Para Metros DNS
6/13
fichero /etc/named.conf .
Allow−query
Especifica los clientes que se
autorizan para pedir información
sobre una zona. Por defecto todas
las peticiones de información son
autorizadas.
Allow−transfer
Especifica los servidores
esclavos que están autorizadospara pedir una transferencia de
información de la zona. Por
defecto, todas las peticiones se
autorizan.
Allow−update
Especifica los hosts que están
autorizados para actualizar
dinámicamente la información de
la zona. Por defecto, no se
autoriza la actualización de la
información.
File
Especifica el nombre del ficheroque contiene los datos de
configuración de la zona en el
fichero de funcionamiento
named (por defecto /var/named).
Masters
Se utiliza si la zona se define
como type esclava. La opción
master indica el named de un
esclavo la/las direcciones en las
que se puede pedir información
de las zonas en la que se tiene
autoridad.
Notify
Es parecida a la opción notify
que se usa con la declaración
option.
Type
Define el tipo de zona. Se pueden
usar los siguientes tipos:
Forward
Dice al servidor de nombres que
lleve a cabo todas las peticiones
de información de la zona en
cuestión hacia otros servidores de
nombres.
Hint
Tipo especial de zona que usa
para orientar hacia los servidores
de nombres root que sirven para
resolver peticiones de una zona
que no se conoce. Normalmente,
no tendrá que configurar una zona
que esta situada fuera del
/etc/named.conf .
Master Designa el servidor de nombre
actual que tiene la autoridad en
6
8/16/2019 Para Metros DNS
7/13
esa zona. Una zona se puede
configurar como tipo master si
tiene ficheros de configuración de
la zona en el sistema actual.
Slave
Designa el servidor de nombres
actual que es servidor esclavo
para dicha zona y le dice a
named que pida los ficheros de
configuración de la zona de las
direcciones IP al servidor de
nombres master.
Zone−statistics
Dice a named que conserve las
estadísticas que conciernen a esa
zona escribiéndolas bien en la
localización por defecto de
( /var/named/named.stats), o en
la localización designada por la
opción statistics−file en la
declaración server, si existe.
$INCLUDE
Dice a named que incluya a otro
fichero de zona en el fichero de
zona don de se usa la directiva.
Así se puede almacenar
configuraciones de zona
suplementarias que dependen del
fichero de zona principal.
$ORIGIN
Determina el nombre del registro
no calificado, como por ejemplo
los que especifican sola mente el
host.
$TTL
Ajusta el valor Time To Live
(TTL) predeterminado para la
zona. Es el nombre, en segundos,
que se da a los servidores de
nombres para determinar cuanto
tiempo los registros de recursos
de la zona serán válidos. Un
registro de registro puede
contener su propio su propio
valor TTL, que tendrá prioridad
sobre la directiva presente.
HaltPara inmediatamente el servicio
named.
Querylog
Ejecuta la conexión para todas
las peticiones efectuadas por los
clientes hacia el servido de
nombres.
RefreshActualiza la base de datos del
servidor de nombres.
Reload Dice al servidor de nombres que
7
8/16/2019 Para Metros DNS
8/13
recargue los ficheros de zona
para que conserve todas las
respuestas precedentes situadas
en cache. Esto le permite realizar
cambios en los ficheros de zona
y de ponerlos en práctica en los
servidores maestros y esclavos
sin perder las resoluciones de
nombres almacenadas.
Stats
Pasa las estadísticas de
comandos named al fichero
/var/named/named.stats.
Stop
Para el servidor salvando todas
las actualizaciones dinámicas y
los datos IXFR antes de parar el
servidor completamente.
−c
Dice al comando tá rndc que use
otro fichero de configuración
diferente del fichero
predeterminado /etc/rndc.conf .
−p
Especifica la utilización de un
numero de puerto diferente del
predeterminado 953 para la
conexión del comando rndc.
−s
Dice a rndc que envié comandos
a otros servidores distintos del
servidor que designa la opción
default−server en el fichero
/etc/rndc.conf .
−y Le permite especificar una clavedistinta de la opción default−key
en el fichero /etc/rndc.conf .
Serial
Este número pertenece a la
versión de l archivo. La idea es
que sea monótonamente
creciente. Cada ves que se hace
un cambio, debe incrementarse
este numero, lo que indica a los
secundarios que es hora de copiar
otra versión des de el principio.
Una buena idea es mantener lafecha codificada en ese número.
Para ser tolerante al 2000,
sugerimos una codificación:
AAAAMMDDHH (año, mes,
día, hora) que además permite
ver cuanto se demoran los
secundarios en tener una nueva
versión y saber cuando se hizo
un cambio.
8
8/16/2019 Para Metros DNS
9/13
Refresh
Este número indica cada cuanto
tiempo (en segundos) los
secundarios deben chequear con
el primario si el serial ha
cambiado. Esto difunde a que
velocidad se difunde los datos
del dominio.
Retry
Si en un secundario, el chequeo
con el primario no se puede
hacer (error de conectividad u
otro), este contador indica cada
cuanto hay que reintentarlo.
Expire
Si un secundario no logra mas
conectarse con el primario, sigue
respondiendo por el dominio
durante todo este intervalo (en
segundos). Es muy importante
que este valor sea alto, puesto
que una ves que se sobrepasa, el
secundario da la zona porexpirada y no responde más por
allá. Esto puede generar errores
de tipo host not found que son
más graves que errores de
conectividad.
Minimum ttl
Este valor indica cuanto tiempo
cualquiera (no primario ni
secundario) puede recordar la
información de esta zona y
responder (sin autoridad) con ella
a sus clientes. Es razonable quesea alto, pero no tanto porque
retrasa las modificaciones en
difundirse en otras partes (pero
solo afecta la modificación y la
eliminación de campos, el
agregar información se difunde
según el valor del refresh.
Pid−file /var/run/named.pid
Que definiría la localización del
fichero que contiene el PID (del
ingles, Process IDentificator)
del demonio named.
Stacksize 30MQue determinaría un tamaño de
pila de treinta megabyts.
Datasize 20M
Que especificaría un tamaño
máximo de memoria dedicado a
almacenar datos de veinte
megabytes.
Transfer−format many−servers Que provocaría la transferencia
en paralelo de varias zonas a los
servidores, acelerando el
9
8/16/2019 Para Metros DNS
10/13
proceso.
Allow−transfer { claves }
Que acotaría globalmente las
transferencias de zonas a los
servidores secundarios en la lista
slaves.
Y versión DNS server
Que ocultaría la versión de bind
que se esta ejecutando, en aras a
una mayor seguridad de elsistema.
Tipe master
Significa que el servidor de
dominio es primario o maestro de
la zona.
File /etc/bind/db.linuxsilo.net
Es el fichero donde
especificaremos la configuración
de esa zona. Nótese que se usa
una ruta absoluta, siguiendo la
política de directorios de
debian.el contenido de estos
ficheros se especificará en breve.
Allow−query { any }
Significa que se permiten
consultas (del inglés, queries)
externas a la zona. Esto es algo
útil y necesario, a menos que se
quiera ser muy paranoico con la
seguridad. Simplemente se de
forma técnicamente ordenada la
información que es públicamente
accesible.
Allow−transfer { slaves }
Posibilita la transferencia
automática de esta configuracióna los servidores de las zonas bajo
nuestro control que se
especifiquen en la lista slaves. Se
profundizara más en el punto de
transferencia de zonas.
$TTL 604800 Directiva obligatoria a partir de
la versión 9 de Bind (RFC1035 y
RFC2308), indica el tiempo de
vida (TTL, del inglés, Time To
Live) de la información
contenida en el fichero. Es decir,el tiempo máximo de validez,
tras el cual deberá refrescarse o
actualizarse (para comprobar que
no haya cambiado). Es lo que se
conoce como cache
positiva/negativa (del inglés,
positive/negative caching),
como se especifica en el
RFC2308. Por defecto se usan
segundos (604800 segundos
10
8/16/2019 Para Metros DNS
11/13
equivale a 6 días exactos), pero
pueden usarse también semanas
($TTL 1w), días ($TTL 7d),
horas ($TTL 168h) y minutos
($TTL 10080m). Estas
abreviaturas se usan a si mismo
en el registro SOA.
$INCLUDE
Que hace que named incluya
otros ficheros de zona en el lugar
donde la directiva se usa. Este
permite almacenar parámetros de
configuración comunes a barias
sub zonas en un lugar separado
del fichero de la zona principal.
@ IN SOA linuxsilo.net.
hostmaster.linuxsilo.net.
El registro SOA (del inglés,
Stara Of Authority) se
encuentra siempre tras las
directivas y proclama
información sobre la autoridad
de un dominio al servidor denombres. Es siempre el primer
recurso en un fichero de zona. El
símbolo @ (arroba) equivale a la
directiva $ORIGIN (o el nombre
de la zona si dicha directiva no se
a usado −casos mas frecuentes)
como espacio de nombre de
dominio definido por este
registro.
NS ns1.linuxsilo.net. y NSns2.linuxsilo.net.
Indica los servicios de nombre
que tienen autoridad sobre eldominio.
MX 1 ns1.linuxsilo.net.
Se trata de un registro MX (del
ingles, Mail eXchanger) e indica
donde mandar el correo
destinado a un espacio de
nombre controlado por esta zona.
El digito que sigue a la palabra
MX representa la prioridad
respecto a otro registro MX para
la zona, que se especificara en
posteriores líneas (MX 2ns2.linuxsilo.net.), siguiendo el
mismo formato pero variando
dicho digito (incrementándolo a
medida que pierdan prioridad
frente a anteriores registros). Es
decir, cuando mas bajo es el
valor de preferencia, mayor
prioridad requiere.
TXT linuxSilo.net DNS server
11
8/16/2019 Para Metros DNS
12/13
Este es un registro a descriptivo,
en texto plano (del inglés, plain
text), del servidor. Puede usarse
libre y abiertamente para
propósitos diversos. Aparecerá
como resultado de una consulta
sobre este tipo de registro hecha
al servidor de nombres sobre esta
zona.
SOA [Stara Of Autority]Define una zona representativa
del DNS
NS [Name Server]Identifica los servidores de zona,
delega subdominios
A [Dirección IPv4]Traducción de nombre a
dirección
AAAA [Dirección IPv6 original] Actual mente obsoleto
A6 [Dirección IPv6]Traducción de nombre a
dirección IPv6
PTR [puntero] Traducción de dirección anombre
Dname [Redirección]Redirección para las soluciones
inversas IPv6
MX [Mail eXchanger] Controla el enrrutado del correo
KEY [Clave Publica]Clave publica para un nombre de
DNS
NXT [Next]Se usa junto a DNSSEC para las
respuestas negativas
SIG [Signature] Zona autenticada/firmada
CNAME [Canonical name] Nicks o alias para un dominio
LOC [Localizacion]Localización geográfica y
extensión
RP [Persona Responsable]Especifica la persona de contacto
de cada host
SRV [servicio]Proporciona la localización de
servicios conocidos
TXT [Texto]Comentarios o información sin
cifras
Help
Lista las opciones de rndc
disponibles
StatusMuestra el estado actual del
named en ejecución
TraceIncrementa el nivel de
depuración en 1
Notrace Desactiva la depuración
DumpdbVuelca la base de datos de DNS
a named_dump.db
stats Vuelca estadísticas a named.stats
12
8/16/2019 Para Metros DNS
13/13
ReloadRecarga named.conf y los
ficheros de zona
Reload zonaRecarga solo la zona
especificada
RestartReinicia named , vaciando el
cache
QuerylogActiva el requeriente de las
consultas entrantes
Canal
Un lugar a donde tus mensajes
pueden ir: syslog, un fichero o
/dev/null
Categoría
Una clase de mensajes que bind
puede generar; Por ejemplo,
mensajes sobre actualizaciones
dinámicas o mensajes acerca de
respuestas a consultas
MóduloEl nombre del modulo de origen
que genera un mensaje
Lugar
El nombre de un lugar syslog.
DNS no tiene su propio destino,
por lo que tendrán que escoger
los estándar
Importancia
Lo malo que es un mensaje de
error; a lo que syslog se refiere
como prioridad
Default_syslogManda importancia info al syslog
con el destino daemon
Default_debugGuarda en el fichero named.run,
importancia puesta a dynamic
Default_stderr
Manda mensajes a la salida de
error estándar de named,
importancia info
Null Se descartan todos los mensajes
13