[Lista ArNOG] Server DNS
Nicolas Antoniello
nantoniello en gmail.com
Mar Feb 9 12:41:20 -03 2021
... Me olvidé de mencionar (por si acaso) que los prefijos esos son los que
usé en mi red (la 10.0.1.0/24) y tendrías que cambiarlos por los que
correspondan en tu caso.
Saludos,
Nico
El mar, 9 de feb. de 2021 a la(s) 12:38, Nicolas Antoniello (
nantoniello en gmail.com) escribió:
> Hola Santiago,
>
> Si querés configurar un servidor recursivo local estos serían (en forma
> muy resumida, pero con esto queda funcionando) los pasos a seguir (esto
> está hecho sobre un Ubuntu):
> Tené en cuenta que deberás agregarle todo lo necesario para asegurar que
> tu servidor no quede abierto al mundo y efectivamente sea "local".
> Otro aspecto que tendrías que agregar es algún mecanismo para monitorear
> ciertas cosas tanto del hardware como del propio servidor, con la finalidad
> de saber que es lo que sucede y si todo está funcionando correctamente.
> Adicionalmente y dado que estarás también validando DNSSEC es crítico que
> tu servidor tenga bien configurado el tema del tiempo (fecha/hora). Para
> eso te recomiendo mirar alguna guía de configuración de NTP (es bastante
> simple de configurar pero es muy importante pues todo el manejo de firmas
> de DNSSEC se basa, entre otros, en los tiempos especificados de validez de
> las mismas).
> Finalmente, esto es una idea muy general para que el servidor quede
> funcionando... si lo piensas utilizar en un ambiente de producción para dar
> servicios de resolución a terceros te recomiendo antes tomar experiencia
> utilizándolo internamente en una fase de prueba.
>
> Probalo primero (siempre) en un ambiente controlado y de testing porque
> además lo escribí medio rápido basado en una configuración genérica de un
> tutorial (así que no lo tomes como una verdad absoluta)... 😊
>
> 1) Configuración del servidor BIND
>
> a. Instalando los paquetes de software necesarios
>
> # apt-get install bind9 bind9utils bind9-doc dnsutils
>
>
> Para instalar los paquetes necesarios para ejecutar BIND, usaremos los
> comandos anteriores (apt-get).
>
> Si el proceso de instalación nos pregunta si queremos instalar alguno de
> los paquetes, diremos yes.
>
> Los comandos anteriores instalan paquetes BIND, documentación BIND,
> utilidades BIND (por ejemplo, para verificar la configuración, etc.) y
> utilidades DNS.
>
> b. Es conveniente agregar una regla para permitir el puerto 53 en caso
> de que tengamos un firewall en ejecución (Ubuntu a menudo viene con un
> firewall UFW en ejecución):
>
> # ufw allow 53
>
>
>
> 2) Configurando BIND
>
> a. Acceder a la carpeta de BIND
> # cd /etc/bind
>
> b. La instalación estándar ya traerá la información para localizar los
> servidores raíz
> # more db.root
>
>
>
>
>
> ; This file holds the information on root name servers needed
>
> ; to initialize cache of Internet domain name servers
>
> ; (e.g. reference this file in the "cache . <file>"
>
> ; configuration file of BIND domain name servers).
>
> ;
>
> ; This file is made available by InterNIC
>
> ; under anonymous FTP as
>
> ; file /domain/named.cache
>
> ; on server FTP.INTERNIC.NET
>
> ; -OR- RS.INTERNIC.NET
>
> ;
>
> ; last update: February 17, 2016
>
> ; related version of root zone: 2016021701
>
> ;
>
> ; formerly NS.INTERNIC.NET
>
> ;
>
> . 3600000 NS A.ROOT-SERVERS.NET.
>
> A.ROOT-SERVERS.NET. 3600000 A 198.41.0.4
>
> A.ROOT-SERVERS.NET. 3600000 AAAA 2001:503:ba3e::2:30
>
> ;
>
> ; FORMERLY NS1.ISI.EDU
>
> ;
>
> …
>
> ; OPERATED BY ICANN
>
> ;
>
> . 3600000 NS L.ROOT-SERVERS.NET.
>
> L.ROOT-SERVERS.NET. 3600000 A 199.7.83.42
>
> L.ROOT-SERVERS.NET. 3600000 AAAA 2001:500:3::42
>
> ;
>
> ; OPERATED BY WIDE
>
> ;
>
> . 3600000 NS M.ROOT-SERVERS.NET.
>
> M.ROOT-SERVERS.NET. 3600000 A 202.12.27.33
>
> M.ROOT-SERVERS.NET. 3600000 AAAA 2001:dc3::35
>
> ; End of file
>
>
>
>
>
>
>
> 3) Editando los archivos de configuración de BIND
>
>
>
> a. El archivo de configuración (named.conf.options) para la
> instalación estándar se encuentra en el directorio BIND (/etc/bind)
>
> # more named.conf.options
>
>
> options {
>
> directory "/var/cache/bind";
>
>
>
> // If there is a firewall between you and nameservers you want
>
> // to talk to, you may need to fix the firewall to allow
>
> // multiple
>
> // ports to talk. See http://www.kb.cert.org/vuls/id/800113
>
>
>
> // If your ISP provided one or more IP addresses for stable
>
> // nameservers, you probably want to use them as forwarders.
>
> // Uncomment the following block, and insert the addresses
>
> // replacing
>
> // the all-0's placeholder.
>
>
>
> // forwarders {
>
> // 0.0.0.0;
>
> // };
>
>
>
> //=============================================================
>
> // If BIND logs error messages about the root key being
>
> // expired,
>
> // you will need to update your keys. See
>
> // https://www.isc.org/bind-keys
>
> //=============================================================
>
> dnssec-validation auto;
>
>
>
> auth-nxdomain no; # conform to RFC1035
>
> listen-on-v6 { any; };
>
> };
>
>
>
>
>
>
>
> b. Realizaremos las siguientes acciones en la configuración
> (explicación de las opciones)
>
> § Para simplificar la práctica, hemos deshabilitado la capacidad de
> recibir consultas usando el protocolo IPv6 (solo consultas usando IPv4).
> Sin embargo, recomendamos que cualquier servidor DNS recursivo tenga
> configurados los protocolos IPv4 e IPv6 en todos los casos de
> implementaciones de producción.
>
> //listen-on-v6 { any; };
>
> § Tenga en cuenta que, de forma predeterminada, BIND tendrá habilitada
> la validación de DNSSEC.
>
> dnssec-validation auto;
>
> Cuando *dnssec-validation* se establece en automático, el valor
> predeterminado es la zona raíz de DNS como ancla de confianza. BIND incluye
> una copia de la clave raíz que se mantiene actualizada automáticamente. Si
> se establece en yes, se debe configurar un ancla de confianza
> explícitamente utilizando la opción de claves administradas o claves
> confiables. (*managed-keys* / *trusted-keys* option).
>
> § Habilitamos la recursión en forma explícita.
>
> recursion yes;
>
> § Creamos una lista de acceso para permitir solo consultas de DNS desde
> el propio servidor o desde nuestra red (para evitar que el servidor
> recursivo esté abierto al mundo).
>
> listen-on port 53 { localhost; 10.0.1.0/24; };
> allow-query { localhost; 10.0.1.0/24; };
>
> Se deberá agregar también la lista de prefijos IPv6 desde los cuales
> queremos aceptar consultas.
>
>
>
> Para que el archivo de configuración sea el siguiente:
>
> # nano named.conf.options
>
>
> options {
>
> directory "/var/cache/bind";
>
>
>
> // If there is a firewall between you and nameservers you want
>
> // to talk to, you may need to fix the firewall to allow multiple
>
> // ports to talk. See http://www.kb.cert.org/vuls/id/800113
>
>
>
> // If your ISP provided one or more IP addresses for stable
>
> // nameservers, you probably want to use them as forwarders.
>
> // Uncomment the following block, and insert the addresses replacing
>
> // the all-0's placeholder.
>
>
>
> // forwarders {
>
> // 0.0.0.0;
>
> // };
>
>
>
>
> //========================================================================
>
> // If BIND logs error messages about the root key being expired,
>
> // you will need to update your keys. See
> https://www.isc.org/bind-keys
>
>
> //========================================================================
>
>
>
> dnssec-validation auto;
>
>
>
> auth-nxdomain no; # conform to RFC1035
>
> listen-on-v6 { any; };
>
>
>
> listen-on port 53 { localhost; 10.0.1.0/24; };
>
> allow-query { localhost; 10.0.1.0/24; };
>
>
>
> recursion yes;
>
> };
>
>
>
>
>
> c. Finally, we use the BIND functionality to confirm that there are no
> errors in the configuration files and restart the BIND server to apply the
> configuration changes
>
> # named-checkconf
> # service bind9 restart
>
>
>
>
> Listo, allí tendrás funcionando un servidor recursivo de DNS con un mínimo
> de configuración para limitar las consultas y permitir solo desde las redes
> que especifiques en las opciones "listen-on port 53" y "allow-query".
>
>
> Luego busco algo similar para la configuración básica de un autoritativo
> (que es un poco más complejo).
>
>
> Saludos,
>
> Nico
>
>
>
>
>
>
> El mar, 9 de feb. de 2021 a la(s) 11:29, SANTIAGO TRUCCO - INTERNET
> CORDOBA (cstrucco en internetcordoba.com.ar) escribió:
>
>> Hola estoy necesitando quien pueda compartir una guía para instalar un
>> DNS local, estuve revisando sobre un *bind9* pero necesito si alguien
>> tiene una guia paso a paso.
>> --
>>
>> TRUCCO CARLOS SANTIAGO
>>
>> CEO - INTERNET CORDOBA
>> Email: cstrucco en internetcordoba.com.ar
>> Website: www.internetcordoba.com.ar
>> Telefono: 0351-5685968 - INT: 501
>> Mobile: 0351-153675710
>> <https://www.facebook.com/Internetcordoba>
>> <https://www.instagram.com/internetcordoba>
>>
>>
>>
>> _______________________________________________
>> Lista mailing list
>> Lista en arnog.com.ar
>> http://mailmancabase.interdotnet.com.ar/mailman/listinfo/lista
>>
>
------------ próxima parte ------------
Se ha borrado un adjunto en formato HTML...
URL: <http://mailmancabase.interdotnet.com.ar/pipermail/lista/attachments/20210209/191014b0/attachment-0001.html>
Más información sobre la lista de distribución Lista