1. BIND9 en Debian
-
Upload
jpgonzalezj -
Category
Documents
-
view
89 -
download
1
Transcript of 1. BIND9 en Debian
Instalacioacuten y configuracioacuten de un BIND9 en Debian GNULinux 6 Joseacute Pedro Gonzaacutelez Jimeacutenez
Notas previas a la instalacioacuten
Debemos de tomar en cuenta que nuestro VBox estaacute en este
laboratorio tras un servidor proxy-cacheacute por tanto si instalamos
esta VM y le asignamos en el wizard de instalacioacuten la direccioacuten del
proxy todo nuestro entorno saldraacute uacutenicamente a traveacutes de esa
direccioacuten por tanto nuestras consultas DNS DHCP NIS NFS SAMBA
entre otros seraacuten enviadas a esa direccioacuten y seraacute imposible la
comunicacioacuten con los equipos de nuestra Vnet y con el localhost
inclusive
En primera instancia necesitaremos de una NIC configurada como
NAT para comunicarnos con la red real y poder asiacute instalar los
paquetes necesarios en nuestra puesta en marcha del DNS con
BIND9 esta misma NIC seraacute cambiada posterior a la instalacioacuten por
una Internal Network para comunicarnos con los clientes
Luego de instalar el equipo ( preferiblemente sin entorno graacutefico )
deberemos de configurar el proxy uacutenicamente para el gestor de
repositorios APT
Instalacioacuten y configuracioacuten de un BIND9 en Debian GNULinux 6 Joseacute Pedro Gonzaacutelez Jimeacutenez
Una vez iniciada la VM se debe de iniciar sesioacuten como superusuario
En la terminal del superusuario debemos de crear el fichero proxy dentro de
la estructura del APT
nano etcaptaptconfdproxy
En este archivo ingresamos la informacioacuten del servidor proxy la cual deberaacute
de tener el siguiente formato
CON AUTENTICACION
AcquirehttpProxy ldquohttp[username][password][server-ip][port]rdquo
AcquireftpProxy ldquoftp[username][password][server-ip][port]rdquo
SIN AUTENTICACION
AcquirehttpProxy ldquohttp[server-ip][port]rdquo
AcquirehttpProxy ldquoftp[server-ip][port]rdquo
Para nuestro caso en el CDT Telemaacutetica quedaraacute de la siguiente manera
AcquirehttpProxy http200100502543128
Probamos la salida del APT y procedemos a la instalacioacuten de los servicios
Instalacioacuten y configuracioacuten de un BIND9 en Debian GNULinux 6 Joseacute Pedro Gonzaacutelez Jimeacutenez
Bien muchachos si ya llegamos a este punto sin problema alguno estamos
listos para proceder a convertir nuestro sistema en un servidor de los 4
servicios miacutenimos para establecer un PDC para una red GNULinux
Instalamos los paquetes necesarios para el BIND DHCP NIS NFS SAMBA y
una aplicacioacuten web para la administracioacuten integrada de los servicios (DHCP
NIS NFS y SAMBA los iremos integrando de uno a uno a nuestro DNS en
clases posteriores)
EJECUTAMOS
apt-get ndashy install bind9 bind9utils dhcp3-server nis nfs-kernel-server
portmap samba swat
Una vez maacutes nos armamos de paciencia mientras el Debian descarga los
paquetes cuando termina la instalacioacuten pasamos nuestra tarjeta de red de
NAT a Internal Network y eliminamos el fichero proxy
Instalacioacuten y configuracioacuten de un BIND9 en Debian GNULinux 6 Joseacute Pedro Gonzaacutelez Jimeacutenez
Consideraciones
En toda configuracioacuten en la cual el tercer octeto de la red sea ldquo12rdquo
deberaacute de ser sustituido por el nuacutemero que se le brindoacute
El dominio de buacutesqueda deberaacute de tener como nombre
ldquonombredelalumnordquo y una extensioacuten ldquocomrdquo esto para efectos de
clases
Paso 1
Vamos abrir el fichero de las interfaces de red para asignar la ip a nuestro
servidor de la siguiente manera
nano etcnetworkinterfaces
Paso 2
Configuramos el fichero hosts para generar la buacutesqueda local de nombre de
dominio esto para que el servidor ante un fallo del BIND puede seguir
resolviendo su nombre y asiacute hacerle troubleshooting de una forma accesible
nano etchosts
Paso 3
Le indicamos al sistema que de no resolver por medio del BIND el meacutetodo de
respaldo seraacute el fichero hosts previamente configurado
nano etchostconf
Paso 4
Finalmente le indicamos nuestro dominio de buacutesqueda y la ip de nuestros
DNSrsquos (se soportan hasta tres en la misma liacutenea) en el fichero resolvconf
nano etcresolvconf
Paso 5
Reiniciamos el daemon de red para que se aplique nuestra configuracioacuten y
comprobamos que se haya aplicado
Primera forma
etcinitdnetworking restart
En caso de no funcionar
ifdown interface
ifup interface
Interface seriacutea nuestra NIC
Instalacioacuten y configuracioacuten de un BIND9 en Debian GNULinux 6 Joseacute Pedro Gonzaacutelez Jimeacutenez
Consideraciones
Nuestra ruta de configuracioacuten seraacute
etcbind
Paso 1
Verificamos la existencia y los permisos de nuestros ficheros base
Si se observa con detalle nuestros ficheros pertenecen al usuario root
excepto el fichero rndckey el cual guarda la llave a autenticacioacuten para el
servicio dinaacutemico de nuestro BIND este fichero seraacute uacutenicamente operado por
el usuario bind
Los ficheros con nombre db pertenecen al root y a su grupo esto porque
ellos conforman nuestra base de datos baacutesica de resolucioacuten del BIND
Los ficheros de nombre named son los ficheros de configuracioacuten del
servicio NAMED (nombre anterior del BIND) en los cuales definiremos
nuestra nueva zona y su reversa
Instalacioacuten y configuracioacuten de un BIND9 en Debian GNULinux 6 Joseacute Pedro Gonzaacutelez Jimeacutenez
CONSIDERACIONES
RESPALDAR LOS FICHEROS ANTES DE MODIFICARLOS
RESPETAR ESPACIOS SIGNOS CARACTERES DE COMENTARIO yo
TABULACIONES
RECUERDEN MEDIR DOS VECES Y CORTAR SOLO UNA
Empezamos
Debemos de crear nuestros ficheros de zona asignarles permisos y
modificar la propiedad de los mismos
Si no se modificoacute el paraacutemetro directory en namedconfoptions todos
estos pasos deberaacuten de hacerse sobre ldquovarcachebindrdquo
CREAR LOS FICHEROS DE ZONA DIRECTA E INVERSA
touch etcbinddbdominio etcbinddbABC
Ej
touch etcbinddbjpgonzalez etcbinddb19216812
CAMBIAR LOS PERMISOS A LOS FICHEROS
chomd 644 etcbinddbdominio
chmod 644 etcbinddbABC
Ej
chomd 644 etcbinddbjpgonzalezj
chmod 644 etcbinddb19216812
CAMBIAR USUARIO Y GRUPO PROPIETARIO DE LOS FICHEROS
chown bindbind etcbinddbdominio
chown bindbind etcbinddbABC
Ej
chown bindbind etcbinddbjpgonzalezj
chown bindbind etcbinddb19216812
Instalacioacuten y configuracioacuten de un BIND9 estaacutetico en Debian GNULinux 6 Joseacute Pedro Gonzaacutelez Jimeacutenez
CONSIDERACIONES
RESPALDAR LOS FICHEROS ANTES DE MODIFICARLOS
RESPETAR ESPACIOS SIGNOS CARACTERES DE COMENTARIO yo
TABULACIONES
RECUERDEN MEDIR DOS VECES Y CORTAR SOLO UNA
Paso 1
Debemos de agregar algunas liacuteneas al fichero namedconflocal en este
fichero vamos a crear nuestra buacutesqueda directa e inversa (maacutes conocidas en
la calle como la zona y la reversa)
ABRIMOS EL FICHERO CON NUESTRO EDITOR DE TEXTO
nano etcbindnamedconflocal
AGREGAMOS NUESTRA ZONA DE BUacuteSQUEDA DIRECTA
zone ldquodominioextrdquo
type master
file ldquofilenamerdquo
notify yes
ZONE = indica el nombre del dominio que vamos a usar
TYPE = Indica si esta zona es MASTER (DNS Principal) o SLAVE (DNS
Secundario)
FILE = Por defecto el fichero seraacute buscado en la ubicacioacuten indicada si solo
se indica el filename se buscaraacute por defecto en ldquovarcachebindrdquo que se
encuentra establecida en namedconfoptions
NOTIFY = Genera las notificaciones de actualizacioacuten en el fichero
varlogmessages que es el log por defecto del SO si no se indica se tomaraacute
como paraacutemetro un ldquonordquo
AGREGAMOS NUESTRA ZONA DE BUacuteSQUEDA INVERSA
zone ldquoCBAin-addrarpardquo
type master
file ldquofilenamerdquo
notify yes
ZONE = En esta oportunidad se hace referencia a un registro de
direcciones IP para las cuales tenemos ABCD como los octetos de red los
cuales deberaacuten de colocarse de forma inversa tomando en cuenta su
wildcard por tanto si la red es de clase
Ain-addrarpa
BAin-addrarpa
CBAin-addrarpa
RECUERDEN QUE SI HAY SUBREDES DE POR MEDIO DEBE DE TOMARSE EN
CUENTA LA DIRECCION DE RED Y DE BROADCAST
QUEDANDO NUESTRO FICHERO DE LA SIGUIENTE MANERA
Do any local configuration here
Consider adding the 1918 zones here if they are not used in your
organization
include etcbindzonesrfc1918
zone jpgonzalezjcom
type master
file dbjpgonzalezj
notify yes
zone 12168192in-addrarpa
type master
file db19216812
notify yes
Paso 3
Finalmente entraremos al fichero namedconfoptions y cambiaremos la ruta
de trabajo por la ruta en la cual se desea sea donde se ubiquen los ficheros
de zona y reversa
ESTE PASO NO ES NECESARIO NI OBLIGATORIO PERO CONLLEVARA A
CAMBIOS EN NUESTRA CONFIGURACIOacuteN PERO TAMPOCO ES MUCHO EL
CAMBIO
ABRIMOS EL FICHERO CON NUESTRO EDITOR DE TEXTO
nano etcbindnamedconfoptions
CAMBIAMOS NUESTRO DIRECTORIO DE TRABAJO
directory ldquovarcachebindrdquo
POR
directory ldquoetcbindrdquo
En caso de no cambiar esta ruta deberaacute de darse la propiedad del
directorio varcachebind al usuario bind y al grupo bind con permisos 755
Instalacioacuten y configuracioacuten de un BIND9 estaacutetico en Debian GNULinux 6 Joseacute Pedro Gonzaacutelez Jimeacutenez
ABRIMOS NUESTRO ARCHIVO DE ZONA DIRECTA
nano etcbinddbdominio
EL FICHERO DEBERA DE QUEDAR CONFIGURADO CON LA SIGUIENTE
SINTAXIS
IN SOA servernamedominioext adminnamedominioext (
1 NUacuteMERO DE SERIE
21600 6 HORAS DE REFRESCAMIENTO
3600 1 HORA PARA REINTENTAR
604800 1 SEMANA PARA LA EXPIRACIOacuteN
21600 6 HORAS DE TIEMPO DE VIDA MIacuteNIMO
)
NS servernamedominioext
SERVIDORES Y EQUIPO ACTIVO
servername A ABCD
CLIENTES
clientname-XX A ABCD CLIENTE AGREGADO A MANO
CANONICAL NAMES
alias IN CNAME hostname
= contendraacute al valor del dominio para agregarlo al final del hostname
y asiacute convertirlos en nombres de dominio si el hostname no termina en
punto
NS = Indica quieacuten es el Name Server
CLIENTES = El DNS estaacutetico debe de responder ante los registros (A)
aunque ese nombre no sea de ninguacuten equipo o esa ip no pertenezca a nadie
CNAME = si se consulta por alguno de los alias responderaacute el host al que
se apunta esto permite llamar a los equipos de diferentes maneras
QUEDANDO DE LA SIGUIENTE MANERA
IN SOA virtual-debianjpgonzalezjcom rootjpgonzalezjcom (
1 serial
21600 refresh (6 hours)
3600 retry (1 hour)
604800 expire (1 week)
21600 minimum (6 hours)
)
NS virtual-debianjpgonzalezjcom
SERVIDORES Y EQUIPO ACTIVO
virtual-debian A 192168121
CLIENTES
ejemplo-01 A 192168122
ejemplo-02 A 192168123
CANONICAL NAMES
www IN CNAME virtual-debian
ldap IN CNAME virtual-debian
nfs-server IN CNAME virtual-debian
samba-server IN CNAME virtual-debian
Ejemplos y errores
virtual-debian A 192168121 (CORRECTO)
virtual-debianjpgonzalezjcom A 192168121 (CORRECTO)
ENTONCES
virtual-debian + = virtual-debianjpgonzalezjcom
virtual-debian jpgonzalezjcom + = virtual-debianjpgonzalezjcom
SIN PUNTO AL FINAL DEL HOSTNAME
virtual-debian A 192168121 (DEVUELVE SOLO EL HOSTNAME)
ENTONCES
virtual-debian + = virtual-debian
SIN PUNTO AL FINAL DEL DOMAINNAME
virtual-debianjpgonzalezjcom A 192168121 (DOBLE DOMAIN Y
EXT)
ENTONCES
virtual-debianjpgonzalezjcom + =
virtual-debianjpgonzalezjcomjpgonzalezjcom
Instalacioacuten y configuracioacuten de un BIND9 estaacutetico en Debian GNULinux 6 Joseacute Pedro Gonzaacutelez Jimeacutenez
ABRIMOS NUESTRO ARCHIVO DE ZONA INVERSA
nano etcbinddbABC
EL FICHERO DEBERA DE QUEDAR CONFIGURADO CON LA SIGUIENTE
SINTAXIS
IN SOA servernamedominioext adminnamedominioext (
1 NUacuteMERO DE SERIE
21600 6 HORAS DE REFRESCAMIENTO
3600 1 HORA PARA REINTENTAR
604800 1 SEMANA PARA LA EXPIRACIOacuteN
21600 6 HORAS DE TIEMPO DE VIDA MIacuteNIMO
)
NS servernamedominioext
SERVIDORES Y EQUIPO ACTIVO
D PTR hostnamedominioext
CLIENTES
D PTR hostnamedominioext
D PTR hostnamedominioext
= contendraacute al valor del CBAin-addrarpa para agregarlo al final del
hostname y asiacute convertirlos en nombres de dominio si el hostname no
termina en punto
NS = Indica quieacuten es el Name Server
CLIENTES = El DNS estaacutetico debe de responder ante los registros (PTR)
aunque ese nombre no sea de ninguacuten equipo o esa ip no pertenezca a nadie
QUEDANDO DE LA SIGUIENTE MANERA
IN SOA virtual-debianjpgonzalezjcom rootjpgonzalezjcom (
1 serial
21600 refresh (6 hours)
3600 retry (1 hour)
604800 expire (1 week)
21600 minimum (6 hours)
)
NS virtual-debianjpgonzalezjcom
SERVIDORES Y EQUIPO ACTIVO
1 PTR virtual-debianjpgonzalezjcom
CLIENTES
2 PTR ejemplo-01jpgonzalezjcom
3 PTR ejemplo-02jpgonzalezjcom
Ejemplos y errores
1 PTR virtual-debian (CORRECTO)
1 PTR virtual-debianjpgonzalezjcom (CORRECTO)
ENTONCES
1 + = virtual-debianjpgonzalezjcom
1 + = virtual-debianjpgonzalezjcom
SIN PUNTO AL FINAL DEL HOSTNAME
1 PTR virtual-debian (DEVUELVE EL HOSTNAME + ARPA)
ENTONCES
1 + = virtual-debian12168192in-addrarpa
SIN PUNTO AL FINAL DEL DOMAINNAME
1 PTR virtual-debianjpgonzalezjcom (DOMAIN Y EXT + ARPA)
ENTONCES
1 + = virtual-debianjpgonzalezjcom 12168192in-addrarpa
Instalacioacuten y configuracioacuten de un BIND9 dinaacutemico en Debian GNULinux 6 Joseacute Pedro Gonzaacutelez Jimeacutenez
CONSIDERACIONES
RESPALDAR LOS FICHEROS ANTES DE MODIFICARLOS
RESPETAR ESPACIOS SIGNOS CARACTERES DE COMENTARIO yo
TABULACIONES
RECUERDEN MEDIR DOS VECES Y CORTAR SOLO UNA
Paso 1
Debemos de agregar algunas liacuteneas al fichero namedconf este es el fichero
principal del BIND antes era el uacutenico pero se separoacute para volver maacutes faacutecil la
administracioacuten del mismo
ABRIMOS EL FICHERO CON NUESTRO EDITOR DE TEXTO
nano etcbindnamedconf
AGREGAMOS LAS LLAVES DE AUTENTICACIOacuteN
include ldquoetcbindrndckeyrdquo
Si abrimos el fichero rndckeys encontraremos una llave cifrada con MD5
la cual seraacute la que se haraacute cargo de la actualizacioacuten dinaacutemica del BIND
cuando lo integremos con el DHCP
AGREGAMOS LOS CONTROLES DE AUTENTICACIOacuteN
controls
inet 127001 port 953
allow 127001 keys ldquorndc-keyrdquo
Esta estructura se haraacute cargo de la autenticacioacuten de las actualizaciones
seguras en nuestra BDrsquos cuando un cliente tome una IP por DHCP nuestro
server seraacute el uacutenico sistema capaz de hacer esta actualizacioacuten haciendo un
loopback en el puerto 953 (esto para agregar que ninguacuten equipo pueda
acceder a este puerto tambieacuten se puede usar la direccioacuten IP de la NIC de
conexioacuten a la red pero esto se deja al puerto abierto para consultas
remotas) y utilizando la llave rndc-key del fichero rndckeys
Paso 2
Nuestra proacutexima viacutectima es el fichero namedconflocal en este fichero
vamos a crear nuestra buacutesqueda directa e inversa (maacutes conocidas en la calle
como la zona y la reversa)
ABRIMOS EL FICHERO CON NUESTRO EDITOR DE TEXTO
nano etcbindnamedconflocal
AGREGAMOS NUESTRA ZONA DE BUacuteSQUEDA DIRECTA
zone ldquodominioextrdquo
type master
file ldquofilenamerdquo
allow-update key ldquokeynamerdquo
notify yes
ZONE = indica el nombre del dominio que vamos a usar
TYPE = Indica si esta zona es MASTER (DNS Principal) o SLAVE (DNS
Secundario)
FILE = Por defecto el fichero seraacute buscado en la ubicacioacuten indicada si solo
se indica el filename se buscaraacute por defecto en ldquovarcachebindrdquo que se
encuentra establecida en namedconfoptions
ALLOW-UPDATE = Indica la llave de autenticacioacuten ldquokeynamerdquo que
pongamos en el fichero rndckeys solo se consulta para actualizaciones
dinaacutemicas
NOTIFY = Genera las notificaciones de actualizacioacuten en el fichero
varlogmessages que es el log por defecto del SO si no se indica se tomaraacute
como paraacutemetro un ldquonordquo
AGREGAMOS NUESTRA ZONA DE BUacuteSQUEDA INVERSA
zone ldquoCBAin-addrarpardquo
type master
file ldquofilenamerdquo
allow-update key ldquokeynamerdquo
notify yes
ZONE = En esta oportunidad se hace referencia a un registro de
direcciones IP para las cuales tenemos ABCD como los octetos de red los
cuales deberaacuten de colocarse de forma inversa tomando en cuenta su
wildcard por tanto si la red es de clase
A) Ain-addrarpa
B) BAin-addrarpa
C) CBAin-addrarpa
RECUERDEN QUE SI HAY SUBREDES DE POR MEDIO DEBE DE TOMARSE EN
CUENTA LA DIRECCION DE RED Y DE BROADCAST
Paso 3
Finalmente entraremos al fichero namedconfoptions y cambiaremos la ruta
de trabajo por la ruta en la cual se desea sea donde se ubiquen los ficheros
de zona y reversa
ESTE PASO NO ES NECESARIO NI OBLIGATORIO PERO CONLLEVARA A
CAMBIOS EN NUESTRA CONFIGURACIOacuteN PERO TAMPOCO ES MUCHO EL
CAMBIO
ABRIMOS EL FICHERO CON NUESTRO EDITOR DE TEXTO
nano etcbindnamedconfoptions
CAMBIAMOS NUESTRO DIRECTORIO DE TRABAJO
directory ldquovarcachebindrdquo
POR
directory ldquoetcbindrdquo
En caso de no cambiar esta ruta deberaacute de darse la propiedad del
directorio varcachebind al usuario bind y al grupo bind con permisos 755
Instalacioacuten y configuracioacuten de un BIND9 dinaacutemico en Debian GNULinux 6 Joseacute Pedro Gonzaacutelez Jimeacutenez
ABRIMOS NUESTRO ARCHIVO DE ZONA DIRECTA
nano etcbinddbdominio
EL FICHERO DEBERA DE QUEDAR CONFIGURADO CON LA SIGUIENTE
SINTAXIS
$ORIGIN
$TTL 86400 24 HORAS DE TIEMPO DE VIDA
dominioext IN SOA servernamedominioext adminnamedominioext (
1 NUacuteMERO DE SERIE
21600 6 HORAS DE REFRESCAMIENTO
3600 1 HORA PARA REINTENTAR
604800 1 SEMANA PARA LA EXPIRACIOacuteN
21600 6 HORAS DE TIEMPO DE VIDA MIacuteNIMO
)
NS servernamedominioext
$ORIGIN dominioext
servername A ABCD
QUEDANDO DE LA SIGUIENTE MANERA
$ORIGIN = Indicaraacute el nombre del dominio para los equipos que se
conecten agreguen o consulten
= contendraacute al valor del $ORIGIN para agregarlo al final del hostname y
asiacute convertirlos en nombres de dominio si el hostname no termina en punto
Instalacioacuten y configuracioacuten de un BIND9 dinaacutemico en Debian GNULinux 6 Joseacute Pedro Gonzaacutelez Jimeacutenez
ABRIMOS NUESTRO ARCHIVO DE ZONA INVERSA
nano etcbinddbABC
EL FICHERO DEBERA DE QUEDAR CONFIGURADO CON LA SIGUIENTE
SINTAXIS
$ORIGIN
$TTL 86400 24 HORAS DE TIEMPO DE VIDA
CBAina-addrarpa IN SOA servernamedominioext
adminnamedominioext (
1 NUacuteMERO DE SERIE
21600 6 HORAS DE REFRESCAMIENTO
3600 1 HORA PARA REINTENTAR
604800 1 SEMANA PARA LA EXPIRACIOacuteN
21600 6 HORAS DE TIEMPO DE VIDA MIacuteNIMO
)
NS servernamedominioext
$ORIGIN CBAina-addrarpa
D PTR hostnamedominioext
$ORIGIN = Indicaraacute el nombre del dominio para los equipos que se
conecten agreguen o consulten
= contendraacute al valor del $ORIGIN para agregarlo al final del hostname y
asiacute convertirlos en nombres de dominio si el hostname no termina en punto
NS = Indica quieacuten es el Name Server
QUEDANDO DE LA SIGUIENTE MANERA
$ORIGIN
$TTL 86400 1 DIA COMO TIEMPO DE VIDA
12168192in-addrarpa IN SOA virtual-debianjpgonzalezjcom
rootjpgonzalezjcom (
200811131 serial
21600 refresh (6 hours)
3600 retry (1 hour)
604800 expire (1 week)
21600 minimum (6 hours)
)
NS virtual-debianjpgonzalezjcom
$ORIGIN 12168192in-addrarpa
1 PTR virtual-debianjpgonzalezjcom
Instalacioacuten y configuracioacuten de un BIND9 en Debian GNULinux 6 Joseacute Pedro Gonzaacutelez Jimeacutenez
Viene la parte tediosa antes de poner en marcha nuestro BIND9 que es la
comprobacioacuten de los archivos de configuracioacuten normalmente se hace re-
leyendo los archivos del motor y de la base de datos con mucho cuidado
para encontrar posibles errores hoy en diacutea se hace con dos aplicaciones
binarias que se instalaron con el paquete bind9-utils (en caso de no haberlo
instalado tendraacuten que hacerlo a la antigua) las cuales son
named-checkconf
Este binario pediraacute como paraacutemetro el nombre del fichero que
se desea revisar en caso de error retorna el nuacutemero de liacutenea
donde se encuentra y el posible error encontrado en caso
contrario no produce ninguna salida en pantalla
named-checkzone
Este binario pediraacute dos paraacutemetros lo cuales seraacuten
respectivamente la zona y el fichero correspondiente a esa
zona en caso de error retorna el nuacutemero de liacutenea donde se
encuentra y el posible error encontrado en caso contrario
retornaraacute un mensaje en el cual se indicaraacute el nuacutemero de
serie del fichero
Ej
named-checkconf etcbindnamedconf
named-checkconf etcbindnamedconflocal
named-checkconf etcbindnamedconfoptions
named-checkzone jpgonzalezjcom etcbinddbjpgonzalezj
named-checkzone 12168192in-addrarpa etcbinddb12916812
Instalacioacuten y configuracioacuten de un BIND9 en Debian GNULinux 6 Joseacute Pedro Gonzaacutelez Jimeacutenez
Una vez que terminamos la comprobacioacuten de nuestros ficheros con
resultados exitosos procedemos a invocar al daemon del BIND9 el cual lleva
el mismo nombre
Tenemos varios paraacutemetros para administrar este daemon
stop = Detiene el daemon completamente
start = Activa el daemon leyendo la configuracioacuten y la BDrsquos que
configuramos previamente
restart = Hace los dos anteriores en otras palabras reinicia el
daemon
status = Retorna el estado actual del daemon
Para invocar al daemon utilizamos la siguiente instruccioacuten
etcinitdbind9 [ stop | start | restart | status ]
Instalacioacuten y configuracioacuten de un BIND9 en Debian GNULinux 6 Joseacute Pedro Gonzaacutelez Jimeacutenez
Para finiquitar nuestro server solo debemos de comprobar que resuelva
correctamente con nslookup yo dig
PARA LA ZONA
PARA LA REVERSA
CON EL DIG
Instalacioacuten y configuracioacuten de un DHCP en Debian GNULinux 6 Joseacute Pedro Gonzaacutelez Jimeacutenez
En esta ocasioacuten como ya tenemos instalado y funcionando nuestro servicio
DNS con el BIND9 procederemos a la configuracioacuten de nuestro Protocolo de
Configuracioacuten Dinaacutemica de Host o DHCP
La uacuteltima vez que nos vimos instalamos con el BIND9 otros paquetes de
servicios de red entre ellos el DHCP en caso de no haberlo hecho deberaacute de
consultar como sacar al APT por el proxy de la red de nuestros laboratorios
cambiar toda la configuracioacuten de la NIC (en la VM y en el SO) instalar el
paquete y finalmente reconfigurar la red y el APT
Para instalar solamente este paquete se ejecuta como root
apt-get ndashy install dhcp3-server
Instalacioacuten y configuracioacuten de un DHCP en Debian GNULinux 6 Joseacute Pedro Gonzaacutelez Jimeacutenez
A diferencia del BIND9 que configuramos anteriormente el DHCP cuenta con
una cantidad miacutenima de ficheros de hecho podemos reconocer 3 ficheros
principales en tres rutas diferentes los cuales son
etcdefaultdhcp3-server
Indica a traveacutes de que interface se van a escuchar las
consultas de los clientes
varlibdhcpdhcpdleases
Guarda la informacioacuten de cada una de las asignaciones que se
entregaraacuten a los equipos clientes
etcdhcpddhcpdconf
o En este fichero debemos de ingresar la informacioacuten de
nuestro pool de direccioacuten y las diferentes opciones que se le
entregaraacuten a nuestros equipos clientes
Instalacioacuten y configuracioacuten de un DHCP en Debian GNULinux 6 Joseacute Pedro Gonzaacutelez Jimeacutenez
Para este servicio lo primero que necesitamos es generar la interface de
escucha para la atencioacuten a los clientes y sus consultas para ello debemos de
crear un fichero el cual no viene incluido en la instalacioacuten de nuestro
daemon
EJECUTAMOS
touch etcdefaultdhcp3-server
Una vez que hemos creado el fichero lo abrimos con nuestro editor favorito
nano etcdefaultdhcp3-server
Le agregamos una uacutenica liacutenea con la siguiente sintaxis
INTERFACES=rdquoif_namerdquo
if_name = Nombre que recibe nuestra NIC de escucha por lo
general es la tarjeta donde tenemos configurada una IP que va a ser
parte de nuestro POOL
Una vez que ya tenemos configurado este fichero nuestras asignaciones de
IPrsquos podraacuten ser repartidas a los clientes (recuerden que esta interface deberaacute
de ser la que se comunique con la red en la cual se encuentren nuestros
cliente esto en caso de que el sistema tenga 2 o maacutes NICrsquos)
Lo que acontece es configurar el daemon y crear nuestro pool de
direcciones para ello vamos a respaldar el fichero dhcpdconf vaciarlo por
completo y finalmente abrirlo con nano para editarlo
EJECUTAMOS
cp etcdhcpdhcpdconf etcdhcpdhcpdconfbak
echo gt etcdhcpdhcpdconf
nano etcdhcpdhcpdconf
EL FICHERO DEBERAacute DE QUEDAR CON LA SIGUENTE SINTAXIS
CONFIGURACION DEL DHCP
default-lease-time 3600
max-lease-time 86400
authoritative
POOL DE DIRECCIONES
subnet SUBNET_IP netmask SUBNET_MASK
range FIRST_IP LAST_IP
option routers GATEWAY_IP
option domain-name dominioext
option domain-name-servers DNS_IP
option broadcast-address BOADCAST_IP
QUEDANDO ASI
Instalacioacuten y configuracioacuten de un DHCP en Debian GNULinux 6 Joseacute Pedro Gonzaacutelez Jimeacutenez
Para este servicio lo primero que necesitamos es generar la interface de
escucha para la atencioacuten a los clientes y sus consultas para ello debemos de
crear un fichero el cual no viene incluido en la instalacioacuten de nuestro
daemon
EJECUTAMOS
touch etcdefaultdhcp3-server
Una vez que hemos creado el fichero lo abrimos con nuestro editor favorito
nano etcdefaultdhcp3-server
Le agregamos una uacutenica liacutenea con la siguiente sintaxis
INTERFACES=rdquoif_namerdquo
if_name = Nombre que recibe nuestra NIC de escucha por lo general
es la tarjeta donde tenemos configurada una IP que va a ser parte de
nuestro POOL
Una vez que ya tenemos configurado este fichero nuestras asignaciones de
IPrsquos podraacuten ser repartidas a los clientes (recuerden que esta interface deberaacute
de ser la que se comunique con la red en la cual se encuentren nuestros
cliente esto en caso de que el sistema tenga 2 o maacutes NICrsquos)
Lo que acontece es configurar el daemon y crear nuestro pool de
direcciones para ello vamos a respaldar el fichero dhcpdconf vaciarlo por
completo y finalmente abrirlo con nano para editarlo
EJECUTAMOS
cp etcdhcpdhcpdconf etcdhcpdhcpdconfbak
echo gt etcdhcpdhcpdconf
nano etcdhcpdhcpdconf
EL FICHERO DEBERAacute DE QUEDAR CON LA SIGUENTE SINTAXIS
ACTUALIZACION DEL BIND9
server-identifier servername
ddns-updates on
ddns-update-style interim
ddns-domainname dominioext
ddns-rev-domainname in-addrarpa
deny client-updates
include etcbindrndckey
zone dominioext
primary 127001
key rndc-key
zone CBAin-addrarpa
primary 127001
key rndc-key
CONFIGURACION DEL DHCP
default-lease-time 3600
max-lease-time 86400
authoritative
POOL DE DIRECCIONES
subnet SUBNET_IP netmask SUBNET_MASK
range FIRST_IP LAST_IP
option routers GATEWAY_IP
option domain-name dominioext
option domain-name-servers DNS_IP
option broadcast-address BOADCAST_IP
QUEDANDO ASI
ACTUALIZACION DEL BIND9
server-identifier virtual-debian
ddns-updates on
ddns-update-style interim
ddns-domainname jpgonzalezjcom
ddns-rev-domainname in-addrarpa
deny client-updates
include etcbindrndckey
zone jpgonzalezjcom
primary 127001
key rndc-key
zone 12168192in-addrarpa
primary 127001
key rndc-key
CONFIGURACION DEL DHCP
default-lease-time 3600
max-lease-time 86400
authoritative
POOL DE DIRECCIONES
subnet 192168120 netmask 2552552550
range 1921681211 19216812230
option routers 1921682254
option domain-name jpgonzalezjcom
option domain-name-servers 192168121
option broadcast-address 19216812255
Al igual que todos los daemons o servicios que nos encontremos en
LinuxUNIX debemos de reiniciarlo despueacutes de configurarlo en caso de que
el reinicio sea fallido podremos revisar los errores si en una terminal abrimos
el log del sistema en tiempo real y reiniciamos el daemon en otra
EJECUTAMOS EN UNA TERMINAL
echo ldquordquo gt varlogmessages
EN OTRA TERMINAL EJECUTAMOS
etcinitdisc-dhcp-server restart
El fichero dhcpdleases no se toca durante la configuracioacuten pero al
agregar un cliente con configuracioacuten de red automaacutetica en este fichero se
agregaraacute su informacioacuten en conjunto con la IP asignada y la MAC del cliente
COMPROBACION
En el caso del DNS Dinaacutemico el crearaacute dos ficheros con extensioacuten JNL
en el directorio bind los cuales se llamaraacuten
dbdominiojnl
dbABCjnl
TROUBLESHOOTNG
En caso de que estos ficheros no sean creados debemos de otorgar
- Notas previas a la instalacioacuten
-
- Debemos de tomar en cuenta que nuestro VBox estaacute en este laboratorio tras un servidor proxy-cacheacute por tanto si instalamos esta VM y le asignamos en el wizard de instalacioacuten la direccioacuten del proxy todo nuestro entorno saldraacute uacutenicamente a traveacutes de esa direccioacuten por tanto nuestras consultas DNS DHCP NIS NFS SAMBA entre otros seraacuten enviadas a esa direccioacuten y seraacute imposible la comunicacioacuten con los equipos de nuestra Vnet y con el localhost inclusive
- En primera instancia necesitaremos de una NIC configurada como NAT para comunicarnos con la red real y poder asiacute instalar los paquetes necesarios en nuestra puesta en marcha del DNS con BIND9 esta misma NIC seraacute cambiada posterior a la instalacioacuten por una Internal Network para comunicarnos con los clientes
- Luego de instalar el equipo ( preferiblemente sin entorno graacutefico ) deberemos de configurar el proxy uacutenicamente para el gestor de repositorios APT
-
- Una vez iniciada la VM se debe de iniciar sesioacuten como superusuario
- En la terminal del superusuario debemos de crear el fichero proxy dentro de la estructura del APT
-
- nano etcaptaptconfdproxy
-
- En este archivo ingresamos la informacioacuten del servidor proxy la cual deberaacute de tener el siguiente formato
-
- CON AUTENTICACION
-
- AcquirehttpProxy ldquohttp[username][password][server-ip][port]rdquo
- AcquireftpProxy ldquoftp[username][password][server-ip][port]rdquo
-
- SIN AUTENTICACION
-
- AcquirehttpProxy ldquohttp[server-ip][port]rdquo
- AcquirehttpProxy ldquoftp[server-ip][port]rdquo
- Para nuestro caso en el CDT Telemaacutetica quedaraacute de la siguiente manera
- AcquirehttpProxy http200100502543128
- Probamos la salida del APT y procedemos a la instalacioacuten de los servicios
- Bien muchachos si ya llegamos a este punto sin problema alguno estamos listos para proceder a convertir nuestro sistema en un servidor de los 4 servicios miacutenimos para establecer un PDC para una red GNULinux
- Instalamos los paquetes necesarios para el BIND DHCP NIS NFS SAMBA y una aplicacioacuten web para la administracioacuten integrada de los servicios (DHCP NIS NFS y SAMBA los iremos integrando de uno a uno a nuestro DNS en clases posteriores)
- EJECUTAMOS
- apt-get ndashy install bind9 bind9utils dhcp3-server nis nfs-kernel-server portmap samba swat
- Una vez maacutes nos armamos de paciencia mientras el Debian descarga los paquetes cuando termina la instalacioacuten pasamos nuestra tarjeta de red de NAT a Internal Network y eliminamos el fichero proxy
- Consideraciones
-
- En toda configuracioacuten en la cual el tercer octeto de la red sea ldquo12rdquo deberaacute de ser sustituido por el nuacutemero que se le brindoacute
- El dominio de buacutesqueda deberaacute de tener como nombre ldquonombredelalumnordquo y una extensioacuten ldquocomrdquo esto para efectos de clases
-
- Paso 1
- Vamos abrir el fichero de las interfaces de red para asignar la ip a nuestro servidor de la siguiente manera
-
- nano etcnetworkinterfaces
-
- Paso 2
- Configuramos el fichero hosts para generar la buacutesqueda local de nombre de dominio esto para que el servidor ante un fallo del BIND puede seguir resolviendo su nombre y asiacute hacerle troubleshooting de una forma accesible
-
- nano etchosts
-
- Paso 3
- Le indicamos al sistema que de no resolver por medio del BIND el meacutetodo de respaldo seraacute el fichero hosts previamente configurado
-
- nano etchostconf
-
- Paso 4
- Finalmente le indicamos nuestro dominio de buacutesqueda y la ip de nuestros DNSrsquos (se soportan hasta tres en la misma liacutenea) en el fichero resolvconf
-
- nano etcresolvconf
-
- Paso 5
- Reiniciamos el daemon de red para que se aplique nuestra configuracioacuten y comprobamos que se haya aplicado
-
- Primera forma
-
- etcinitdnetworking restart
-
- En caso de no funcionar
-
- ifdown interface
- ifup interface
- Interface seriacutea nuestra NIC
-
- Consideraciones
-
- Nuestra ruta de configuracioacuten seraacute
-
- etcbind
-
- Paso 1
-
- Verificamos la existencia y los permisos de nuestros ficheros base
-
- Si se observa con detalle nuestros ficheros pertenecen al usuario root excepto el fichero rndckey el cual guarda la llave a autenticacioacuten para el servicio dinaacutemico de nuestro BIND este fichero seraacute uacutenicamente operado por el usuario bind
- Los ficheros con nombre db pertenecen al root y a su grupo esto porque ellos conforman nuestra base de datos baacutesica de resolucioacuten del BIND
- Los ficheros de nombre named son los ficheros de configuracioacuten del servicio NAMED (nombre anterior del BIND) en los cuales definiremos nuestra nueva zona y su reversa
- CONSIDERACIONES
- RESPALDAR LOS FICHEROS ANTES DE MODIFICARLOS
- RESPETAR ESPACIOS SIGNOS CARACTERES DE COMENTARIO yo TABULACIONES
- RECUERDEN MEDIR DOS VECES Y CORTAR SOLO UNA
- Empezamos
- Debemos de crear nuestros ficheros de zona asignarles permisos y modificar la propiedad de los mismos
- Si no se modificoacute el paraacutemetro directory en namedconfoptions todos estos pasos deberaacuten de hacerse sobre ldquovarcachebindrdquo
- CREAR LOS FICHEROS DE ZONA DIRECTA E INVERSA
-
- touch etcbinddbdominio etcbinddbABC
- Ej
-
- touch etcbinddbjpgonzalez etcbinddb19216812
-
- CAMBIAR LOS PERMISOS A LOS FICHEROS
-
- chomd 644 etcbinddbdominio
- chmod 644 etcbinddbABC
- Ej
-
- chomd 644 etcbinddbjpgonzalezj
- chmod 644 etcbinddb19216812
-
- CAMBIAR USUARIO Y GRUPO PROPIETARIO DE LOS FICHEROS
-
- chown bindbind etcbinddbdominio
- chown bindbind etcbinddbABC
- Ej
-
- chown bindbind etcbinddbjpgonzalezj
- chown bindbind etcbinddb19216812
-
- CONSIDERACIONES
- RESPALDAR LOS FICHEROS ANTES DE MODIFICARLOS
- RESPETAR ESPACIOS SIGNOS CARACTERES DE COMENTARIO yo TABULACIONES
- RECUERDEN MEDIR DOS VECES Y CORTAR SOLO UNA
- Paso 1
- Debemos de agregar algunas liacuteneas al fichero namedconflocal en este fichero vamos a crear nuestra buacutesqueda directa e inversa (maacutes conocidas en la calle como la zona y la reversa)
- ABRIMOS EL FICHERO CON NUESTRO EDITOR DE TEXTO
- nano etcbindnamedconflocal
- AGREGAMOS NUESTRA ZONA DE BUacuteSQUEDA DIRECTA
-
- zone ldquodominioextrdquo
-
- type master
- file ldquofilenamerdquo
- notify yes
-
- ZONE = indica el nombre del dominio que vamos a usar
- TYPE = Indica si esta zona es MASTER (DNS Principal) o SLAVE (DNS Secundario)
- FILE = Por defecto el fichero seraacute buscado en la ubicacioacuten indicada si solo se indica el filename se buscaraacute por defecto en ldquovarcachebindrdquo que se encuentra establecida en namedconfoptions
- NOTIFY = Genera las notificaciones de actualizacioacuten en el fichero varlogmessages que es el log por defecto del SO si no se indica se tomaraacute como paraacutemetro un ldquonordquo
- AGREGAMOS NUESTRA ZONA DE BUacuteSQUEDA INVERSA
-
- zone ldquoCBAin-addrarpardquo
-
- type master
- file ldquofilenamerdquo
- notify yes
-
- ZONE = En esta oportunidad se hace referencia a un registro de direcciones IP para las cuales tenemos ABCD como los octetos de red los cuales deberaacuten de colocarse de forma inversa tomando en cuenta su wildcard por tanto si la red es de clase
-
- Ain-addrarpa
- BAin-addrarpa
- CBAin-addrarpa
-
- RECUERDEN QUE SI HAY SUBREDES DE POR MEDIO DEBE DE TOMARSE EN CUENTA LA DIRECCION DE RED Y DE BROADCAST
- QUEDANDO NUESTRO FICHERO DE LA SIGUIENTE MANERA
- Do any local configuration here
- Consider adding the 1918 zones here if they are not used in your
- organization
- include etcbindzonesrfc1918
- zone jpgonzalezjcom
- type master
- file dbjpgonzalezj
- notify yes
- zone 12168192in-addrarpa
- type master
- file db19216812
- notify yes
- Paso 3
- Finalmente entraremos al fichero namedconfoptions y cambiaremos la ruta de trabajo por la ruta en la cual se desea sea donde se ubiquen los ficheros de zona y reversa
- ESTE PASO NO ES NECESARIO NI OBLIGATORIO PERO CONLLEVARA A CAMBIOS EN NUESTRA CONFIGURACIOacuteN PERO TAMPOCO ES MUCHO EL CAMBIO
- ABRIMOS EL FICHERO CON NUESTRO EDITOR DE TEXTO
- nano etcbindnamedconfoptions
- CAMBIAMOS NUESTRO DIRECTORIO DE TRABAJO
- directory ldquovarcachebindrdquo
- POR
- directory ldquoetcbindrdquo
- En caso de no cambiar esta ruta deberaacute de darse la propiedad del directorio varcachebind al usuario bind y al grupo bind con permisos 755
- ABRIMOS NUESTRO ARCHIVO DE ZONA DIRECTA
- nano etcbinddbdominio
- EL FICHERO DEBERA DE QUEDAR CONFIGURADO CON LA SIGUIENTE SINTAXIS
- IN SOA servernamedominioext adminnamedominioext (
- 1 NUacuteMERO DE SERIE
- 21600 6 HORAS DE REFRESCAMIENTO
- 3600 1 HORA PARA REINTENTAR
- 604800 1 SEMANA PARA LA EXPIRACIOacuteN
- 21600 6 HORAS DE TIEMPO DE VIDA MIacuteNIMO
- )
- NS servernamedominioext
- SERVIDORES Y EQUIPO ACTIVO
- servername A ABCD
- CLIENTES
- clientname-XX A ABCD CLIENTE AGREGADO A MANO
- CANONICAL NAMES
- alias IN CNAME hostname
- = contendraacute al valor del dominio para agregarlo al final del hostname y asiacute convertirlos en nombres de dominio si el hostname no termina en punto
- NS = Indica quieacuten es el Name Server
- CLIENTES = El DNS estaacutetico debe de responder ante los registros (A) aunque ese nombre no sea de ninguacuten equipo o esa ip no pertenezca a nadie
- CNAME = si se consulta por alguno de los alias responderaacute el host al que se apunta esto permite llamar a los equipos de diferentes maneras
- QUEDANDO DE LA SIGUIENTE MANERA
- IN SOA virtual-debianjpgonzalezjcom rootjpgonzalezjcom (
- 1 serial
- 21600 refresh (6 hours)
- 3600 retry (1 hour)
- 604800 expire (1 week)
- 21600 minimum (6 hours)
- )
- NS virtual-debianjpgonzalezjcom
- SERVIDORES Y EQUIPO ACTIVO
- virtual-debian A 192168121
- CLIENTES
- ejemplo-01 A 192168122
- ejemplo-02 A 192168123
- CANONICAL NAMES
- www IN CNAME virtual-debian
- ldap IN CNAME virtual-debian
- nfs-server IN CNAME virtual-debian
- samba-server IN CNAME virtual-debian
- Ejemplos y errores
- virtual-debian A 192168121 (CORRECTO)
- virtual-debianjpgonzalezjcom A 192168121 (CORRECTO)
- ENTONCES
- virtual-debian + = virtual-debianjpgonzalezjcom
- virtual-debian jpgonzalezjcom + = virtual-debianjpgonzalezjcom
- SIN PUNTO AL FINAL DEL HOSTNAME
- virtual-debian A 192168121 (DEVUELVE SOLO EL HOSTNAME)
- ENTONCES
- virtual-debian + = virtual-debian
- SIN PUNTO AL FINAL DEL DOMAINNAME
- virtual-debianjpgonzalezjcom A 192168121 (DOBLE DOMAIN Y EXT)
- ENTONCES
- virtual-debianjpgonzalezjcom + =
- virtual-debianjpgonzalezjcomjpgonzalezjcom
- ABRIMOS NUESTRO ARCHIVO DE ZONA INVERSA
- nano etcbinddbABC
- EL FICHERO DEBERA DE QUEDAR CONFIGURADO CON LA SIGUIENTE SINTAXIS
- IN SOA servernamedominioext adminnamedominioext (
- 1 NUacuteMERO DE SERIE
- 21600 6 HORAS DE REFRESCAMIENTO
- 3600 1 HORA PARA REINTENTAR
- 604800 1 SEMANA PARA LA EXPIRACIOacuteN
- 21600 6 HORAS DE TIEMPO DE VIDA MIacuteNIMO
- )
- NS servernamedominioext
- SERVIDORES Y EQUIPO ACTIVO
- D PTR hostnamedominioext
- CLIENTES
- D PTR hostnamedominioext
- D PTR hostnamedominioext
- = contendraacute al valor del CBAin-addrarpa para agregarlo al final del hostname y asiacute convertirlos en nombres de dominio si el hostname no termina en punto
- NS = Indica quieacuten es el Name Server
- CLIENTES = El DNS estaacutetico debe de responder ante los registros (PTR) aunque ese nombre no sea de ninguacuten equipo o esa ip no pertenezca a nadie
- QUEDANDO DE LA SIGUIENTE MANERA
- IN SOA virtual-debianjpgonzalezjcom rootjpgonzalezjcom (
- 1 serial
- 21600 refresh (6 hours)
- 3600 retry (1 hour)
- 604800 expire (1 week)
- 21600 minimum (6 hours)
- )
- NS virtual-debianjpgonzalezjcom
- SERVIDORES Y EQUIPO ACTIVO
- 1 PTR virtual-debianjpgonzalezjcom
- CLIENTES
- 2 PTR ejemplo-01jpgonzalezjcom
- 3 PTR ejemplo-02jpgonzalezjcom
- Ejemplos y errores
- 1 PTR virtual-debian (CORRECTO)
- 1 PTR virtual-debianjpgonzalezjcom (CORRECTO)
- ENTONCES
- 1 + = virtual-debianjpgonzalezjcom
- 1 + = virtual-debianjpgonzalezjcom
- SIN PUNTO AL FINAL DEL HOSTNAME
- 1 PTR virtual-debian (DEVUELVE EL HOSTNAME + ARPA)
- ENTONCES
- 1 + = virtual-debian12168192in-addrarpa
- SIN PUNTO AL FINAL DEL DOMAINNAME
- 1 PTR virtual-debianjpgonzalezjcom (DOMAIN Y EXT + ARPA)
- ENTONCES
- 1 + = virtual-debianjpgonzalezjcom 12168192in-addrarpa
- CONSIDERACIONES
-
- RESPALDAR LOS FICHEROS ANTES DE MODIFICARLOS
- RESPETAR ESPACIOS SIGNOS CARACTERES DE COMENTARIO yo TABULACIONES
- RECUERDEN MEDIR DOS VECES Y CORTAR SOLO UNA
-
- Paso 1
- Debemos de agregar algunas liacuteneas al fichero namedconf este es el fichero principal del BIND antes era el uacutenico pero se separoacute para volver maacutes faacutecil la administracioacuten del mismo
- ABRIMOS EL FICHERO CON NUESTRO EDITOR DE TEXTO
-
- nano etcbindnamedconf
-
- AGREGAMOS LAS LLAVES DE AUTENTICACIOacuteN
-
- include ldquoetcbindrndckeyrdquo
-
- Si abrimos el fichero rndckeys encontraremos una llave cifrada con MD5 la cual seraacute la que se haraacute cargo de la actualizacioacuten dinaacutemica del BIND cuando lo integremos con el DHCP
- AGREGAMOS LOS CONTROLES DE AUTENTICACIOacuteN
-
- controls
-
- inet 127001 port 953
- allow 127001 keys ldquorndc-keyrdquo
-
- Esta estructura se haraacute cargo de la autenticacioacuten de las actualizaciones seguras en nuestra BDrsquos cuando un cliente tome una IP por DHCP nuestro server seraacute el uacutenico sistema capaz de hacer esta actualizacioacuten haciendo un loopback en el puerto 953 (esto para agregar que ninguacuten equipo pueda acceder a este puerto tambieacuten se puede usar la direccioacuten IP de la NIC de conexioacuten a la red pero esto se deja al puerto abierto para consultas remotas) y utilizando la llave rndc-key del fichero rndckeys
- Paso 2
- Nuestra proacutexima viacutectima es el fichero namedconflocal en este fichero vamos a crear nuestra buacutesqueda directa e inversa (maacutes conocidas en la calle como la zona y la reversa)
- ABRIMOS EL FICHERO CON NUESTRO EDITOR DE TEXTO
-
- nano etcbindnamedconflocal
-
- AGREGAMOS NUESTRA ZONA DE BUacuteSQUEDA DIRECTA
-
- zone ldquodominioextrdquo
-
- type master
- file ldquofilenamerdquo
- allow-update key ldquokeynamerdquo
- notify yes
-
- ZONE = indica el nombre del dominio que vamos a usar
- TYPE = Indica si esta zona es MASTER (DNS Principal) o SLAVE (DNS Secundario)
- FILE = Por defecto el fichero seraacute buscado en la ubicacioacuten indicada si solo se indica el filename se buscaraacute por defecto en ldquovarcachebindrdquo que se encuentra establecida en namedconfoptions
- ALLOW-UPDATE = Indica la llave de autenticacioacuten ldquokeynamerdquo que pongamos en el fichero rndckeys solo se consulta para actualizaciones dinaacutemicas
- NOTIFY = Genera las notificaciones de actualizacioacuten en el fichero varlogmessages que es el log por defecto del SO si no se indica se tomaraacute como paraacutemetro un ldquonordquo
- AGREGAMOS NUESTRA ZONA DE BUacuteSQUEDA INVERSA
-
- zone ldquoCBAin-addrarpardquo
-
- type master
- file ldquofilenamerdquo
- allow-update key ldquokeynamerdquo
- notify yes
-
- ZONE = En esta oportunidad se hace referencia a un registro de direcciones IP para las cuales tenemos ABCD como los octetos de red los cuales deberaacuten de colocarse de forma inversa tomando en cuenta su wildcard por tanto si la red es de clase
-
- A) Ain-addrarpa
- B) BAin-addrarpa
- C) CBAin-addrarpa
-
- RECUERDEN QUE SI HAY SUBREDES DE POR MEDIO DEBE DE TOMARSE EN CUENTA LA DIRECCION DE RED Y DE BROADCAST
- Paso 3
- Finalmente entraremos al fichero namedconfoptions y cambiaremos la ruta de trabajo por la ruta en la cual se desea sea donde se ubiquen los ficheros de zona y reversa
- ESTE PASO NO ES NECESARIO NI OBLIGATORIO PERO CONLLEVARA A CAMBIOS EN NUESTRA CONFIGURACIOacuteN PERO TAMPOCO ES MUCHO EL CAMBIO
- ABRIMOS EL FICHERO CON NUESTRO EDITOR DE TEXTO
-
- nano etcbindnamedconfoptions
-
- CAMBIAMOS NUESTRO DIRECTORIO DE TRABAJO
-
- directory ldquovarcachebindrdquo
-
- POR
-
- directory ldquoetcbindrdquo
-
- En caso de no cambiar esta ruta deberaacute de darse la propiedad del directorio varcachebind al usuario bind y al grupo bind con permisos 755
- ABRIMOS NUESTRO ARCHIVO DE ZONA DIRECTA
-
- nano etcbinddbdominio
-
- EL FICHERO DEBERA DE QUEDAR CONFIGURADO CON LA SIGUIENTE SINTAXIS
- $ORIGIN
- $TTL 86400 24 HORAS DE TIEMPO DE VIDA
- dominioext IN SOA servernamedominioext adminnamedominioext (
-
- 1 NUacuteMERO DE SERIE
- 21600 6 HORAS DE REFRESCAMIENTO
- 3600 1 HORA PARA REINTENTAR
- 604800 1 SEMANA PARA LA EXPIRACIOacuteN
- 21600 6 HORAS DE TIEMPO DE VIDA MIacuteNIMO
-
- )
- NS servernamedominioext
- $ORIGIN dominioext
- servername A ABCD
- QUEDANDO DE LA SIGUIENTE MANERA
- $ORIGIN = Indicaraacute el nombre del dominio para los equipos que se conecten agreguen o consulten
- = contendraacute al valor del $ORIGIN para agregarlo al final del hostname y asiacute convertirlos en nombres de dominio si el hostname no termina en punto
- ABRIMOS NUESTRO ARCHIVO DE ZONA INVERSA
- nano etcbinddbABC
- EL FICHERO DEBERA DE QUEDAR CONFIGURADO CON LA SIGUIENTE SINTAXIS
- $ORIGIN
- $TTL 86400 24 HORAS DE TIEMPO DE VIDA
- CBAina-addrarpa IN SOA servernamedominioext adminnamedominioext (
-
- 1 NUacuteMERO DE SERIE
- 21600 6 HORAS DE REFRESCAMIENTO
- 3600 1 HORA PARA REINTENTAR
- 604800 1 SEMANA PARA LA EXPIRACIOacuteN
- 21600 6 HORAS DE TIEMPO DE VIDA MIacuteNIMO
-
- )
- NS servernamedominioext
- $ORIGIN CBAina-addrarpa
- D PTR hostnamedominioext
- $ORIGIN = Indicaraacute el nombre del dominio para los equipos que se conecten agreguen o consulten
- = contendraacute al valor del $ORIGIN para agregarlo al final del hostname y asiacute convertirlos en nombres de dominio si el hostname no termina en punto
- NS = Indica quieacuten es el Name Server
- QUEDANDO DE LA SIGUIENTE MANERA
- $ORIGIN
- $TTL 86400 1 DIA COMO TIEMPO DE VIDA
- 12168192in-addrarpa IN SOA virtual-debianjpgonzalezjcom rootjpgonzalezjcom (
- 200811131 serial
- 21600 refresh (6 hours)
- 3600 retry (1 hour)
- 604800 expire (1 week)
- 21600 minimum (6 hours)
- )
- NS virtual-debianjpgonzalezjcom
- $ORIGIN 12168192in-addrarpa
- 1 PTR virtual-debianjpgonzalezjcom
- Viene la parte tediosa antes de poner en marcha nuestro BIND9 que es la comprobacioacuten de los archivos de configuracioacuten normalmente se hace re-leyendo los archivos del motor y de la base de datos con mucho cuidado para encontrar posibles errores hoy en diacutea se hace con dos aplicaciones binarias que se instalaron con el paquete bind9-utils (en caso de no haberlo instalado tendraacuten que hacerlo a la antigua) las cuales son
-
- named-checkconf
-
- Este binario pediraacute como paraacutemetro el nombre del fichero que se desea revisar en caso de error retorna el nuacutemero de liacutenea donde se encuentra y el posible error encontrado en caso contrario no produce ninguna salida en pantalla
-
- named-checkzone
-
- Este binario pediraacute dos paraacutemetros lo cuales seraacuten respectivamente la zona y el fichero correspondiente a esa zona en caso de error retorna el nuacutemero de liacutenea donde se encuentra y el posible error encontrado en caso contrario retornaraacute un mensaje en el cual se indicaraacute el nuacutemero de serie del fichero
-
- Ej
- named-checkconf etcbindnamedconf
- named-checkconf etcbindnamedconflocal
- named-checkconf etcbindnamedconfoptions
- named-checkzone jpgonzalezjcom etcbinddbjpgonzalezj
- named-checkzone 12168192in-addrarpa etcbinddb12916812
- Una vez que terminamos la comprobacioacuten de nuestros ficheros con resultados exitosos procedemos a invocar al daemon del BIND9 el cual lleva el mismo nombre
- Tenemos varios paraacutemetros para administrar este daemon
-
- stop = Detiene el daemon completamente
- start = Activa el daemon leyendo la configuracioacuten y la BDrsquos que configuramos previamente
- restart = Hace los dos anteriores en otras palabras reinicia el daemon
- status = Retorna el estado actual del daemon
-
- Para invocar al daemon utilizamos la siguiente instruccioacuten
-
- etcinitdbind9 [ stop | start | restart | status ]
-
- Para finiquitar nuestro server solo debemos de comprobar que resuelva correctamente con nslookup yo dig
- PARA LA ZONA
- PARA LA REVERSA
- CON EL DIG
- En esta ocasioacuten como ya tenemos instalado y funcionando nuestro servicio DNS con el BIND9 procederemos a la configuracioacuten de nuestro Protocolo de Configuracioacuten Dinaacutemica de Host o DHCP
- La uacuteltima vez que nos vimos instalamos con el BIND9 otros paquetes de servicios de red entre ellos el DHCP en caso de no haberlo hecho deberaacute de consultar como sacar al APT por el proxy de la red de nuestros laboratorios cambiar toda la configuracioacuten de la NIC (en la VM y en el SO) instalar el paquete y finalmente reconfigurar la red y el APT
- Para instalar solamente este paquete se ejecuta como root
-
- apt-get ndashy install dhcp3-server
-
- A diferencia del BIND9 que configuramos anteriormente el DHCP cuenta con una cantidad miacutenima de ficheros de hecho podemos reconocer 3 ficheros principales en tres rutas diferentes los cuales son
-
- etcdefaultdhcp3-server
-
- Indica a traveacutes de que interface se van a escuchar las consultas de los clientes
-
- varlibdhcpdhcpdleases
-
- Guarda la informacioacuten de cada una de las asignaciones que se entregaraacuten a los equipos clientes
-
- etcdhcpddhcpdconf
-
- En este fichero debemos de ingresar la informacioacuten de nuestro pool de direccioacuten y las diferentes opciones que se le entregaraacuten a nuestros equipos clientes
-
- Para este servicio lo primero que necesitamos es generar la interface de escucha para la atencioacuten a los clientes y sus consultas para ello debemos de crear un fichero el cual no viene incluido en la instalacioacuten de nuestro daemon
- EJECUTAMOS
-
- touch etcdefaultdhcp3-server
-
- Una vez que hemos creado el fichero lo abrimos con nuestro editor favorito