Muchas Gracias en especial a los colegas Yuniesky y Juan Carlos por su
valiosa ayuda. Ya resolvi el problema.
-----Original Message-----
From: Juan Carlos <jchernan...@ca.mfp.gov.cu>
To: Lista cubana de soporte tecnico en Tecnologias Libres
<gutl-l@jovenclub.cu>
Date: Tue, 31 May 2011 11:09:13 -0400
Subject: Re: [Gutl-l] Duda sobre Bind9 con dos vistas
> El 31/05/2011 09:49 a.m., Lic. Manuel Salgado escribió:
> > Saludos nuevamente a todos:
> > Quiero montar un DNS con Bind con dos vistas. He configurado ya los
> > respectivos ficheros de zona, pero al reiniciar el servicio se me
> devuelve
> > el siguiente error:
> >
> > Starting domain name service...: bind9 failed!
> > zeus:~# tail -f /var/log/daemon.log
> > May 30 18:57:18 zeus named[6524]: loading configuration: unexpected
> token
> > May 30 18:57:18 zeus named[6524]: exiting (due to fatal error)
> > May 31 08:36:54 zeus named[7100]: starting BIND 9.5.1-P3 -u bind
> > May 31 08:36:54 zeus named[7100]: found 1 CPU, using 1 worker thread
> > May 31 08:36:54 zeus named[7100]: using up to 4096 sockets
> > May 31 08:36:54 zeus named[7100]: loading configuration from
> > '/etc/bind/named.conf'
> > May 31 08:36:54 zeus named[7100]: /etc/bind/named.conf.local:23:
> unknown
> > option 'view'
> > May 31 08:36:54 zeus named[7100]: /etc/bind/named.conf:41: unexpected
> token
> > near end of file
> > May 31 08:36:54 zeus named[7100]: loading configuration: unexpected
> token
> > May 31 08:36:54 zeus named[7100]: exiting (due to fatal error)
> >
> > Esta es mi configuracion:
> >
> > view "externa" {
> > match-clients { any; };
> > recursion no;
> >
> > zone "mi.zona.cu" {
> > type master;
> > file "/etc/bind/wan-directa";
> > };
> > zone "xx.yy.zz.in-addr.arpa" {
> > type master;
> > file "/etc/bind/wan-inversa";
> > };
> >
> > view "interna" {
> > match-clients {w.x.y.z/24; 127.0.0.0/8; };
> > recursion yes;
> > zone "mi.zona.cu" {
> > type master;
> > file "/etc/bind/interna-lan";
> > };
> >
> > zone "xx.yy.zz.in-addr.arpa" {
> > type master;
> > file "/etc/bind/lan-inversa";
> > };
> > ------------ próxima parte ------------
> > Se ha borrado un adjunto en formato HTML...
> >
> URL:<http://listas.jovenclub.cu/pipermail/gutl-l/attachments/20110531/3
> d826543/attachment.htm>
> >
> ______________________________________________________________________
> > Lista de correos del Grupo de Usuarios de Tecnologías Libres de
> Cuba.
> > Gutl-l@jovenclub.cu
> > https://listas.jovenclub.cu/cgi-bin/mailman/listinfo/gutl-l
> >
> >
>
> 1.- Instalar el bind9
> apt-get install bind9
>
> 2.- Instalar este paquete que nos posibilita hacerle comprobaciones de
> nuestra configuración.
> apt-get install dnsutils
>
> 3.- Borramos todo el contenido del fichero /etc/bind/named.conf.local y
> le ponemos esto dentro
>
> acl "lan" { xx.x.x.x/xx; };
> acl "servidores-lan" { x.x.x.x/xx; };
> acl "servidores-wan" { xxx.xx.xx.xxx/x; xx.x.x.x/xx; x.x.x.x/xx;
> xx.x.x.x/x; };
>
> view "vlan" {
> match-clients { lan; !any; };
> allow-recursion { servidores-lan; };
>
> zone "tudominio" IN {
> type master;
> file "tudominio.lan.zone";
> allow-transfer { xxx.xx.x.x; };
> allow-update { none; };
> notify yes;
> };
>
> zone "x.xx.xx.in-addr.arpa" IN {
> type master;
> file "xxx.xx.x.in-addr.arpa";
> allow-transfer { xxx.xx.x.x; };
> allow-update { none; };
> notify yes;
> };
> };
>
> view "vwan" {
> match-clients { any; !lan; };
> allow-recursion { any; };
>
> zone "tudominio" IN {
> type master;
> file "tudominio.wan.zone";
> allow-transfer { xx.xx.xx.xx; };
> allow-update { none; };
> notify yes;
> };
>
> zone "xx/xx.xx.xx.xx.in-addr.arpa" IN {
> type master;
> file "xx.xx.xx.in-addr.arpa";
> allow-transfer { xx.xx.xx.xxx; };
> allow-update { none; };
> notify yes;
> };
>
> Que quiere decir cada una de estas líneas:
> - Lo primero, una acl para la LAN con el rango de IP de la LAN, otra
> acl para los servidores de esa LAN y una tercera acl para los
> servidores DNS de la WAN.
> - Lo segundo es la vista para la LAN donde permite solo la LAN y
> deniega todo lo demás, y dentro de la vista las zonas directas e
> inversas que están en este caso en el directorio /var/cache/bind con
> el nombre tudominio.lan.zone y xx.xx.x.in-addr.arpa respectivamente.
> - Lo tercero es la vista para la WAN donde permite a todos excepto a la
> LAN y dentro de la vista, las zonas directas e inversas que también
> están en el directorio /var/cache/bind con el nombre
> tudominio.cu.wan.zone y xx.x.xxx.in-addr.arpa respectivamente.
>
> Es necesario darse cuenta que en el directorio /var/cache/bind hay 4
> ficheros entonces: los dos primeros son los de las zonas directas e
> inversas de la LAN y los dos segundos de las zonas directas e inversas
> de la WAN
>
> ¿Qué contienen esos ficheros de zona inversa y directa?
> en el caso de la LAN el fichero de la zona directa tudominio.lan.zone
> contiene esto:
> ;-------------- vcl - LAN ---------------
> ;-------------------------------------------
> $TTL 1d ; tiempo de vida de la zona
> $ORIGIN tudominio. ; nombre de dominio base
> @ IN SOA ns1.tudominio. admin.tudominio. (
> 2007062901 ; se = numero serial
> 12h ; ref = tiempo para
> refrescar
> 15m ; ret = tiempo de
> reintento para actualizacion
> 3w ; ex = tiempo de
> expiracion
> 2h ; min = minimo
> )
> ;-------------- Servidores DNS ---------------
> ;---------------------------------------------
> @ IN HINFO NS "Debian 5.0"
> @ IN NS ns1.tudominio.
> @ IN NS ns2.tudominio.
> ;-------------- Servidores MX ---------------
> ;--------------------------------------------
> @ IN MX 0 mx.tudominio.
> @ IN TXT "v=spf1 a:mx.tudominio -all"
> ;-------------- HOSTS - ALIAS ---------------
> ;--------------------------------------------
> ;Servidor CASERVER
> caserver IN A xx.xx.x.x
> ns1 IN CNAME caserver
> @ IN A xx.xx.x.x
> www IN CNAME caserver
> www.isp IN CNAME caserver
> sarg IN CNAME caserver
>
> y el fichero de la zona inversa xx.xx.x.in-addr.arpa contiene esto:
>
> ;-------------- vcl - LAN ---------------
> ;-------------------------------------------
> $TTL 1d ; tiempo de vida de la zona
> $ORIGIN xx.xx.xx.IN-ADDR.ARPA. ; rango de la red
> @ IN SOA ns1.tudominio. admin.tudominio. (
> 2007060501 ; se = numero serial
> 12h ; ref = tiempo para
> refrescar
> 15m ; ret = tiempo de
> reintento para actualizacion
> 3w ; ex = tiempo de
> expiracion
> 2h ; min = minimo
> )
> ;-------------- Servidores DNS ---------------
> ;---------------------------------------------
> @ IN NS ns1.tudominio.
> @ IN NS ns2.tudominio.
> ;-------------- IP - Host ---------------
> ;-----------------------------------------
> 1 IN PTR caserver.tudominio.
> 4 IN PTR caserver1.tudominio.
> 8 IN PTR admin.tudominio.
>
> En el caso de los fichero de la zona directa e inversa para la WAN es
> lo mismo pero lo único que cambia son los números IP de la WAN. Como
> se explicaba al inicio, el DNS por la LAN es el xx.xx.x.x y opr la WAN
> es xxx.xx.xx.xx
>
> 4.- Volvemos al directorio /etc/bind al fichero named.conf.options,
> borramos todo lo que contiene y le ponemos esto dentro
>
> options {
> directory "/var/cache/bind";
> query-source address * port 53;
> forwarders {xxx.xx.xx.xx;xxx.xxx.xxx.xx;xxx.xx.xx.xx;};
> auth-nxdomain no; # conform to RFC1035
> #listen-on-v6 { any; };
> };
>
> Luego reiniciamos el bind invoke-rc.d bind9 restart y si todo salió
> bien no debe dar ningún error.
> Para comprobar esto ponemos en la consola:
>
> nslookup www.tudominio.cu xxx.xx.x.x
>
> y debe devolver esto
>
> Server: xxx.xx.xx.xx
> Address: xxx.x.xx.x#53
>
> www.tudominio.cu canonical name = caserver.tudominio.cu.
> Name: caserver.tudominio.cu
> Address: xxx.xx.x.x
>
> y si comprobamos por la WAN
>
> nslookup www.tudominio.cu xxx.xx.xx.xx
>
> debe devolver esto
>
> Server: xxx.xxx.xx.xx
> Address: xxx.xx.xx.xx#53
>
> www.tudominio.cu canonical name = caserver.tudominio.cu.
> Name: caserver.tudominio.cu
> Address: xxx.xxx.xx.xx
>
> Espero te sirvan estos ejemplos donde estan las x van tus IPs suerte
> con las vistas en los DNS :-)
>
> --
> Juan Carlos Hernández Gallardo
> Administrador de Redes
> Ministerio de Finanzas y Precios
> Nodo - Ciego de Ávila
> E-mail: jchernan...@ca.mfp.gov.cu
> Telf: (033) 224712
>
>
>
> ______________________________________________________________________
> Lista de correos del Grupo de Usuarios de Tecnologías Libres de Cuba.
> Gutl-l@jovenclub.cu
> https://listas.jovenclub.cu/cgi-bin/mailman/listinfo/gutl-l
______________________________________________________________________
Lista de correos del Grupo de Usuarios de Tecnologías Libres de Cuba.
Gutl-l@jovenclub.cu
https://listas.jovenclub.cu/cgi-bin/mailman/listinfo/gutl-l
