El mar, 22-09-2015 a las 17:45 -0400, Arian Molina Aguilera escribió:
> El 22/09/15 a las 17:25, Jesus Ivan Rodriguez Delgado escribió:
> > Hola listeros, me hace falta que me hagan llegar una configuración de bind9
> > con
> > dos vistas una interna y otra externa para acomodarla a mi sistema, salu2s
> >
> que rico y no pasar trabajo verdad. Ni aprender como se hace. Recuerda
> siempre que el vago trabaja doble. Si tienes dudas y ya ha intentado
> hacer algo, pregunta tu duda. Salu2.
>
Arian, hermano, recuerda que uno de los fines de esta lista es educar.
Tratemos de no ser tan ríspidos en las respuestas.
Jesús: te digo lo mismo. La lista no es un libro de recetas de cocina. Y
en el mundo normalmente las consultas se cobran...
Ahora bien, sucede que creemos en la colaboración y el ayudarnos unos a
otros. Los listeros te ayudarán con gusto en lo que puedan, **siempre
que se vea que estás esforzándote por resolver un problema y no lo
logras**. Lo adecuado es decir: "tengo este problema, y he intentado
resolverlo haciendo esto y lo otro, y cuando llego a este punto me pide
no-sé-qué y no sé qué vuelta darle". Así aclaras tus ideas y nos ayudas
a enfocarnos mejor en dónde pudiera estar la dificultad.
Entonces: reformulamos tu petición de esta forma: ¿pueden decirme dónde
encontrar documentación sobre cómo configurar un BIND9 con dos vistas?
Trabajando en esa dirección, te incluyo algo que se debatió en la lista
hace algún tiempo:
De:
Juan Carlos <jchernan...@ca.mfp.gov.cu>
Reply-to:
Lista cubana de soporte tecnico en Tecnologias Libres
<gutl-l@jovenclub.cu>
Para:
Lista cubana de soporte tecnico en Tecnologias Libres
<gutl-l@jovenclub.cu>
Asunto:
Re: [Gutl-l] Duda sobre Bind9 con dos vistas
Fecha:
Tue, 31 May 2011 11:09:13 -0400
El 31/05/2011 09:49 a.m., Lic. Manuel Salgado escribió:
> Saludos nuevamente a todos:
> Quiero montar un DNS con Bind con dos vistas. He configurado ya los
> respectivos ficheros de zona, pero al reiniciar el servicio se me
devuelve
> el siguiente error:
>
> Starting domain name service...: bind9 failed!
> zeus:~# tail -f /var/log/daemon.log
> May 30 18:57:18 zeus named[6524]: loading configuration: unexpected
token
> May 30 18:57:18 zeus named[6524]: exiting (due to fatal error)
> May 31 08:36:54 zeus named[7100]: starting BIND 9.5.1-P3 -u bind
> May 31 08:36:54 zeus named[7100]: found 1 CPU, using 1 worker thread
> May 31 08:36:54 zeus named[7100]: using up to 4096 sockets
> May 31 08:36:54 zeus named[7100]: loading configuration from
> '/etc/bind/named.conf'
> May 31 08:36:54 zeus named[7100]: /etc/bind/named.conf.local:23:
unknown
> option 'view'
> May 31 08:36:54 zeus named[7100]: /etc/bind/named.conf:41: unexpected
token
> near end of file
> May 31 08:36:54 zeus named[7100]: loading configuration: unexpected
token
> May 31 08:36:54 zeus named[7100]: exiting (due to fatal error)
>
> Esta es mi configuracion:
>
> view "externa" {
> match-clients { any; };
> recursion no;
>
> zone "mi.zona.cu" {
> type master;
> file "/etc/bind/wan-directa";
> };
> zone "xx.yy.zz.in-addr.arpa" {
> type master;
> file "/etc/bind/wan-inversa";
> };
>
> view "interna" {
> match-clients {w.x.y.z/24; 127.0.0.0/8; };
> recursion yes;
> zone "mi.zona.cu" {
> type master;
> file "/etc/bind/interna-lan";
> };
>
> zone "xx.yy.zz.in-addr.arpa" {
> type master;
> file "/etc/bind/lan-inversa";
> };
> ------------ próxima parte ------------
> Se ha borrado un adjunto en formato HTML...
>
URL:<http://listas.jovenclub.cu/pipermail/gutl-l/attachments/20110531/3d826543/attachment.htm>
> ______________________________________________________________________
> Lista de correos del Grupo de Usuarios de Tecnologías Libres de Cuba.
> Gutl-l@jovenclub.cu
> https://listas.jovenclub.cu/cgi-bin/mailman/listinfo/gutl-l
>
>
1.- Instalar el bind9
apt-get install bind9
2.- Instalar este paquete que nos posibilita hacerle comprobaciones de
nuestra configuración.
apt-get install dnsutils
3.- Borramos todo el contenido del fichero /etc/bind/named.conf.local y
le ponemos esto dentro
acl "lan" { xx.x.x.x/xx; };
acl "servidores-lan" { x.x.x.x/xx; };
acl "servidores-wan" { xxx.xx.xx.xxx/x; xx.x.x.x/xx; x.x.x.x/xx;
xx.x.x.x/x; };
view "vlan" {
match-clients { lan; !any; };
allow-recursion { servidores-lan; };
zone "tudominio" IN {
type master;
file "tudominio.lan.zone";
allow-transfer { xxx.xx.x.x; };
allow-update { none; };
notify yes;
};
zone "x.xx.xx.in-addr.arpa" IN {
type master;
file "xxx.xx.x.in-addr.arpa";
allow-transfer { xxx.xx.x.x; };
allow-update { none; };
notify yes;
};
};
view "vwan" {
match-clients { any; !lan; };
allow-recursion { any; };
zone "tudominio" IN {
type master;
file "tudominio.wan.zone";
allow-transfer { xx.xx.xx.xx; };
allow-update { none; };
notify yes;
};
zone "xx/xx.xx.xx.xx.in-addr.arpa" IN {
type master;
file "xx.xx.xx.in-addr.arpa";
allow-transfer { xx.xx.xx.xxx; };
allow-update { none; };
notify yes;
};
Que quiere decir cada una de estas líneas:
- Lo primero, una acl para la LAN con el rango de IP de la LAN, otra acl
para los servidores de esa LAN y una tercera acl para los servidores DNS
de la WAN.
- Lo segundo es la vista para la LAN donde permite solo la LAN y deniega
todo lo demás, y dentro de la vista las zonas directas e inversas que
están en este caso en el directorio /var/cache/bind con el nombre
tudominio.lan.zone y xx.xx.x.in-addr.arpa respectivamente.
- Lo tercero es la vista para la WAN donde permite a todos excepto a la
LAN y dentro de la vista, las zonas directas e inversas que también
están en el directorio /var/cache/bind con el nombre
tudominio.cu.wan.zone y xx.x.xxx.in-addr.arpa respectivamente.
Es necesario darse cuenta que en el directorio /var/cache/bind hay 4
ficheros entonces: los dos primeros son los de las zonas directas e
inversas de la LAN y los dos segundos de las zonas directas e inversas
de la WAN
¿Qué contienen esos ficheros de zona inversa y directa?
en el caso de la LAN el fichero de la zona directa tudominio.lan.zone
contiene esto:
;-------------- vcl - LAN ---------------
;-------------------------------------------
$TTL 1d ; tiempo de vida de la zona
$ORIGIN tudominio. ; nombre de dominio base
@ IN SOA ns1.tudominio. admin.tudominio. (
2007062901 ; se = numero serial
12h ; ref = tiempo para
refrescar
15m ; ret = tiempo de
reintento para actualizacion
3w ; ex = tiempo de
expiracion
2h ; min = minimo
)
;-------------- Servidores DNS ---------------
;---------------------------------------------
@ IN HINFO NS "Debian 5.0"
@ IN NS ns1.tudominio.
@ IN NS ns2.tudominio.
;-------------- Servidores MX ---------------
;--------------------------------------------
@ IN MX 0 mx.tudominio.
@ IN TXT "v=spf1 a:mx.tudominio -all"
;-------------- HOSTS - ALIAS ---------------
;--------------------------------------------
;Servidor CASERVER
caserver IN A xx.xx.x.x
ns1 IN CNAME caserver
@ IN A xx.xx.x.x
www IN CNAME caserver
www.isp IN CNAME caserver
sarg IN CNAME caserver
y el fichero de la zona inversa xx.xx.x.in-addr.arpa contiene esto:
;-------------- vcl - LAN ---------------
;-------------------------------------------
$TTL 1d ; tiempo de vida de la zona
$ORIGIN xx.xx.xx.IN-ADDR.ARPA. ; rango de la red
@ IN SOA ns1.tudominio. admin.tudominio. (
2007060501 ; se = numero serial
12h ; ref = tiempo para
refrescar
15m ; ret = tiempo de
reintento para actualizacion
3w ; ex = tiempo de
expiracion
2h ; min = minimo
)
;-------------- Servidores DNS ---------------
;---------------------------------------------
@ IN NS ns1.tudominio.
@ IN NS ns2.tudominio.
;-------------- IP - Host ---------------
;-----------------------------------------
1 IN PTR caserver.tudominio.
4 IN PTR caserver1.tudominio.
8 IN PTR admin.tudominio.
En el caso de los fichero de la zona directa e inversa para la WAN es lo
mismo pero lo único que cambia son los números IP de la WAN. Como se
explicaba al inicio, el DNS por la LAN es el xx.xx.x.x y opr la WAN es
xxx.xx.xx.xx
4.- Volvemos al directorio /etc/bind al fichero named.conf.options,
borramos todo lo que contiene y le ponemos esto dentro
options {
directory "/var/cache/bind";
query-source address * port 53;
forwarders {xxx.xx.xx.xx;xxx.xxx.xxx.xx;xxx.xx.xx.xx;};
auth-nxdomain no; # conform to RFC1035
#listen-on-v6 { any; };
};
Luego reiniciamos el bind invoke-rc.d bind9 restart y si todo salió bien
no debe dar ningún error.
Para comprobar esto ponemos en la consola:
nslookup www.tudominio.cu xxx.xx.x.x
y debe devolver esto
Server: xxx.xx.xx.xx
Address: xxx.x.xx.x#53
www.tudominio.cu canonical name = caserver.tudominio.cu.
Name: caserver.tudominio.cu
Address: xxx.xx.x.x
y si comprobamos por la WAN
nslookup www.tudominio.cu xxx.xx.xx.xx
debe devolver esto
Server: xxx.xxx.xx.xx
Address: xxx.xx.xx.xx#53
www.tudominio.cu canonical name = caserver.tudominio.cu.
Name: caserver.tudominio.cu
Address: xxx.xxx.xx.xx
Espero te sirvan estos ejemplos donde estan las x van tus IPs suerte con
las vistas en los DNS :-)
--
M.Sc. Alberto García Fumero
Usuario Linux 97 138, registrado 10/12/1998
http://interese.cubava.cu
Una conclusión es el punto en que usted se cansó de pensar.
______________________________________________________________________
Lista de correos del Grupo de Usuarios de Tecnologías Libres de Cuba.
Gutl-l@jovenclub.cu
https://listas.jovenclub.cu/cgi-bin/mailman/listinfo/gutl-l
