El 31/05/2011 09:49 a.m., Lic. Manuel Salgado escribió:
Saludos nuevamente a todos:
Quiero montar un DNS con Bind con dos vistas. He configurado ya los
respectivos ficheros de zona, pero al reiniciar el servicio se me devuelve
el siguiente error:
Starting domain name service...: bind9 failed!
zeus:~# tail -f /var/log/daemon.log
May 30 18:57:18 zeus named[6524]: loading configuration: unexpected token
May 30 18:57:18 zeus named[6524]: exiting (due to fatal error)
May 31 08:36:54 zeus named[7100]: starting BIND 9.5.1-P3 -u bind
May 31 08:36:54 zeus named[7100]: found 1 CPU, using 1 worker thread
May 31 08:36:54 zeus named[7100]: using up to 4096 sockets
May 31 08:36:54 zeus named[7100]: loading configuration from
'/etc/bind/named.conf'
May 31 08:36:54 zeus named[7100]: /etc/bind/named.conf.local:23: unknown
option 'view'
May 31 08:36:54 zeus named[7100]: /etc/bind/named.conf:41: unexpected token
near end of file
May 31 08:36:54 zeus named[7100]: loading configuration: unexpected token
May 31 08:36:54 zeus named[7100]: exiting (due to fatal error)
Esta es mi configuracion:
view "externa" {
match-clients { any; };
recursion no;
zone "mi.zona.cu" {
type master;
file "/etc/bind/wan-directa";
};
zone "xx.yy.zz.in-addr.arpa" {
type master;
file "/etc/bind/wan-inversa";
};
view "interna" {
match-clients {w.x.y.z/24; 127.0.0.0/8; };
recursion yes;
zone "mi.zona.cu" {
type master;
file "/etc/bind/interna-lan";
};
zone "xx.yy.zz.in-addr.arpa" {
type master;
file "/etc/bind/lan-inversa";
};
------------ próxima parte ------------
Se ha borrado un adjunto en formato HTML...
URL:<http://listas.jovenclub.cu/pipermail/gutl-l/attachments/20110531/3d826543/attachment.htm>
______________________________________________________________________
Lista de correos del Grupo de Usuarios de Tecnologías Libres de Cuba.
Gutl-l@jovenclub.cu
https://listas.jovenclub.cu/cgi-bin/mailman/listinfo/gutl-l
1.- Instalar el bind9
apt-get install bind9
2.- Instalar este paquete que nos posibilita hacerle comprobaciones de nuestra
configuración.
apt-get install dnsutils
3.- Borramos todo el contenido del fichero /etc/bind/named.conf.local y le
ponemos esto dentro
acl "lan" { xx.x.x.x/xx; };
acl "servidores-lan" { x.x.x.x/xx; };
acl "servidores-wan" { xxx.xx.xx.xxx/x; xx.x.x.x/xx; x.x.x.x/xx; xx.x.x.x/x; };
view "vlan" {
match-clients { lan; !any; };
allow-recursion { servidores-lan; };
zone "tudominio" IN {
type master;
file "tudominio.lan.zone";
allow-transfer { xxx.xx.x.x; };
allow-update { none; };
notify yes;
};
zone "x.xx.xx.in-addr.arpa" IN {
type master;
file "xxx.xx.x.in-addr.arpa";
allow-transfer { xxx.xx.x.x; };
allow-update { none; };
notify yes;
};
};
view "vwan" {
match-clients { any; !lan; };
allow-recursion { any; };
zone "tudominio" IN {
type master;
file "tudominio.wan.zone";
allow-transfer { xx.xx.xx.xx; };
allow-update { none; };
notify yes;
};
zone "xx/xx.xx.xx.xx.in-addr.arpa" IN {
type master;
file "xx.xx.xx.in-addr.arpa";
allow-transfer { xx.xx.xx.xxx; };
allow-update { none; };
notify yes;
};
Que quiere decir cada una de estas líneas:
- Lo primero, una acl para la LAN con el rango de IP de la LAN, otra acl para
los servidores de esa LAN y una tercera acl para los servidores DNS de la WAN.
- Lo segundo es la vista para la LAN donde permite solo la LAN y deniega todo
lo demás, y dentro de la vista las zonas directas e inversas que están en este
caso en el directorio /var/cache/bind con el nombre tudominio.lan.zone y
xx.xx.x.in-addr.arpa respectivamente.
- Lo tercero es la vista para la WAN donde permite a todos excepto a la LAN y
dentro de la vista, las zonas directas e inversas que también están en el
directorio /var/cache/bind con el nombre tudominio.cu.wan.zone y
xx.x.xxx.in-addr.arpa respectivamente.
Es necesario darse cuenta que en el directorio /var/cache/bind hay 4 ficheros
entonces: los dos primeros son los de las zonas directas e inversas de la LAN y
los dos segundos de las zonas directas e inversas de la WAN
¿Qué contienen esos ficheros de zona inversa y directa?
en el caso de la LAN el fichero de la zona directa tudominio.lan.zone contiene
esto:
;-------------- vcl - LAN ---------------
;-------------------------------------------
$TTL 1d ; tiempo de vida de la zona
$ORIGIN tudominio. ; nombre de dominio base
@ IN SOA ns1.tudominio. admin.tudominio. (
2007062901 ; se = numero serial
12h ; ref = tiempo para refrescar
15m ; ret = tiempo de reintento
para actualizacion
3w ; ex = tiempo de expiracion
2h ; min = minimo
)
;-------------- Servidores DNS ---------------
;---------------------------------------------
@ IN HINFO NS "Debian 5.0"
@ IN NS ns1.tudominio.
@ IN NS ns2.tudominio.
;-------------- Servidores MX ---------------
;--------------------------------------------
@ IN MX 0 mx.tudominio.
@ IN TXT "v=spf1 a:mx.tudominio -all"
;-------------- HOSTS - ALIAS ---------------
;--------------------------------------------
;Servidor CASERVER
caserver IN A xx.xx.x.x
ns1 IN CNAME caserver
@ IN A xx.xx.x.x
www IN CNAME caserver
www.isp IN CNAME caserver
sarg IN CNAME caserver
y el fichero de la zona inversa xx.xx.x.in-addr.arpa contiene esto:
;-------------- vcl - LAN ---------------
;-------------------------------------------
$TTL 1d ; tiempo de vida de la zona
$ORIGIN xx.xx.xx.IN-ADDR.ARPA. ; rango de la red
@ IN SOA ns1.tudominio. admin.tudominio. (
2007060501 ; se = numero serial
12h ; ref = tiempo para refrescar
15m ; ret = tiempo de reintento
para actualizacion
3w ; ex = tiempo de expiracion
2h ; min = minimo
)
;-------------- Servidores DNS ---------------
;---------------------------------------------
@ IN NS ns1.tudominio.
@ IN NS ns2.tudominio.
;-------------- IP - Host ---------------
;-----------------------------------------
1 IN PTR caserver.tudominio.
4 IN PTR caserver1.tudominio.
8 IN PTR admin.tudominio.
En el caso de los fichero de la zona directa e inversa para la WAN es lo mismo
pero lo único que cambia son los números IP de la WAN. Como se explicaba al
inicio, el DNS por la LAN es el xx.xx.x.x y opr la WAN es xxx.xx.xx.xx
4.- Volvemos al directorio /etc/bind al fichero named.conf.options, borramos
todo lo que contiene y le ponemos esto dentro
options {
directory "/var/cache/bind";
query-source address * port 53;
forwarders {xxx.xx.xx.xx;xxx.xxx.xxx.xx;xxx.xx.xx.xx;};
auth-nxdomain no; # conform to RFC1035
#listen-on-v6 { any; };
};
Luego reiniciamos el bind invoke-rc.d bind9 restart y si todo salió bien no
debe dar ningún error.
Para comprobar esto ponemos en la consola:
nslookup www.tudominio.cu xxx.xx.x.x
y debe devolver esto
Server: xxx.xx.xx.xx
Address: xxx.x.xx.x#53
www.tudominio.cu canonical name = caserver.tudominio.cu.
Name: caserver.tudominio.cu
Address: xxx.xx.x.x
y si comprobamos por la WAN
nslookup www.tudominio.cu xxx.xx.xx.xx
debe devolver esto
Server: xxx.xxx.xx.xx
Address: xxx.xx.xx.xx#53
www.tudominio.cu canonical name = caserver.tudominio.cu.
Name: caserver.tudominio.cu
Address: xxx.xxx.xx.xx
Espero te sirvan estos ejemplos donde estan las x van tus IPs suerte con las
vistas en los DNS :-)
--
Juan Carlos Hernández Gallardo
Administrador de Redes
Ministerio de Finanzas y Precios
Nodo - Ciego de Ávila
E-mail: jchernan...@ca.mfp.gov.cu
Telf: (033) 224712
______________________________________________________________________
Lista de correos del Grupo de Usuarios de Tecnologías Libres de Cuba.
Gutl-l@jovenclub.cu
https://listas.jovenclub.cu/cgi-bin/mailman/listinfo/gutl-l
