... Me olvidé de mencionar (por si acaso) que los prefijos esos son los que usé en mi red (la 10.0.1.0/24) y tendrías que cambiarlos por los que correspondan en tu caso.
Saludos, Nico El mar, 9 de feb. de 2021 a la(s) 12:38, Nicolas Antoniello ( [email protected]) escribió: > Hola Santiago, > > Si querés configurar un servidor recursivo local estos serían (en forma > muy resumida, pero con esto queda funcionando) los pasos a seguir (esto > está hecho sobre un Ubuntu): > Tené en cuenta que deberás agregarle todo lo necesario para asegurar que > tu servidor no quede abierto al mundo y efectivamente sea "local". > Otro aspecto que tendrías que agregar es algún mecanismo para monitorear > ciertas cosas tanto del hardware como del propio servidor, con la finalidad > de saber que es lo que sucede y si todo está funcionando correctamente. > Adicionalmente y dado que estarás también validando DNSSEC es crítico que > tu servidor tenga bien configurado el tema del tiempo (fecha/hora). Para > eso te recomiendo mirar alguna guía de configuración de NTP (es bastante > simple de configurar pero es muy importante pues todo el manejo de firmas > de DNSSEC se basa, entre otros, en los tiempos especificados de validez de > las mismas). > Finalmente, esto es una idea muy general para que el servidor quede > funcionando... si lo piensas utilizar en un ambiente de producción para dar > servicios de resolución a terceros te recomiendo antes tomar experiencia > utilizándolo internamente en una fase de prueba. > > Probalo primero (siempre) en un ambiente controlado y de testing porque > además lo escribí medio rápido basado en una configuración genérica de un > tutorial (así que no lo tomes como una verdad absoluta)... 😊 > > 1) Configuración del servidor BIND > > a. Instalando los paquetes de software necesarios > > # apt-get install bind9 bind9utils bind9-doc dnsutils > > > Para instalar los paquetes necesarios para ejecutar BIND, usaremos los > comandos anteriores (apt-get). > > Si el proceso de instalación nos pregunta si queremos instalar alguno de > los paquetes, diremos yes. > > Los comandos anteriores instalan paquetes BIND, documentación BIND, > utilidades BIND (por ejemplo, para verificar la configuración, etc.) y > utilidades DNS. > > b. Es conveniente agregar una regla para permitir el puerto 53 en caso > de que tengamos un firewall en ejecución (Ubuntu a menudo viene con un > firewall UFW en ejecución): > > # ufw allow 53 > > > > 2) Configurando BIND > > a. Acceder a la carpeta de BIND > # cd /etc/bind > > b. La instalación estándar ya traerá la información para localizar los > servidores raíz > # more db.root > > > > > > ; This file holds the information on root name servers needed > > ; to initialize cache of Internet domain name servers > > ; (e.g. reference this file in the "cache . <file>" > > ; configuration file of BIND domain name servers). > > ; > > ; This file is made available by InterNIC > > ; under anonymous FTP as > > ; file /domain/named.cache > > ; on server FTP.INTERNIC.NET > > ; -OR- RS.INTERNIC.NET > > ; > > ; last update: February 17, 2016 > > ; related version of root zone: 2016021701 > > ; > > ; formerly NS.INTERNIC.NET > > ; > > . 3600000 NS A.ROOT-SERVERS.NET. > > A.ROOT-SERVERS.NET. 3600000 A 198.41.0.4 > > A.ROOT-SERVERS.NET. 3600000 AAAA 2001:503:ba3e::2:30 > > ; > > ; FORMERLY NS1.ISI.EDU > > ; > > … > > ; OPERATED BY ICANN > > ; > > . 3600000 NS L.ROOT-SERVERS.NET. > > L.ROOT-SERVERS.NET. 3600000 A 199.7.83.42 > > L.ROOT-SERVERS.NET. 3600000 AAAA 2001:500:3::42 > > ; > > ; OPERATED BY WIDE > > ; > > . 3600000 NS M.ROOT-SERVERS.NET. > > M.ROOT-SERVERS.NET. 3600000 A 202.12.27.33 > > M.ROOT-SERVERS.NET. 3600000 AAAA 2001:dc3::35 > > ; End of file > > > > > > > > 3) Editando los archivos de configuración de BIND > > > > a. El archivo de configuración (named.conf.options) para la > instalación estándar se encuentra en el directorio BIND (/etc/bind) > > # more named.conf.options > > > options { > > directory "/var/cache/bind"; > > > > // If there is a firewall between you and nameservers you want > > // to talk to, you may need to fix the firewall to allow > > // multiple > > // ports to talk. See http://www.kb.cert.org/vuls/id/800113 > > > > // If your ISP provided one or more IP addresses for stable > > // nameservers, you probably want to use them as forwarders. > > // Uncomment the following block, and insert the addresses > > // replacing > > // the all-0's placeholder. > > > > // forwarders { > > // 0.0.0.0; > > // }; > > > > //============================================================= > > // If BIND logs error messages about the root key being > > // expired, > > // you will need to update your keys. See > > // https://www.isc.org/bind-keys > > //============================================================= > > dnssec-validation auto; > > > > auth-nxdomain no; # conform to RFC1035 > > listen-on-v6 { any; }; > > }; > > > > > > > > b. Realizaremos las siguientes acciones en la configuración > (explicación de las opciones) > > § Para simplificar la práctica, hemos deshabilitado la capacidad de > recibir consultas usando el protocolo IPv6 (solo consultas usando IPv4). > Sin embargo, recomendamos que cualquier servidor DNS recursivo tenga > configurados los protocolos IPv4 e IPv6 en todos los casos de > implementaciones de producción. > > //listen-on-v6 { any; }; > > § Tenga en cuenta que, de forma predeterminada, BIND tendrá habilitada > la validación de DNSSEC. > > dnssec-validation auto; > > Cuando *dnssec-validation* se establece en automático, el valor > predeterminado es la zona raíz de DNS como ancla de confianza. BIND incluye > una copia de la clave raíz que se mantiene actualizada automáticamente. Si > se establece en yes, se debe configurar un ancla de confianza > explícitamente utilizando la opción de claves administradas o claves > confiables. (*managed-keys* / *trusted-keys* option). > > § Habilitamos la recursión en forma explícita. > > recursion yes; > > § Creamos una lista de acceso para permitir solo consultas de DNS desde > el propio servidor o desde nuestra red (para evitar que el servidor > recursivo esté abierto al mundo). > > listen-on port 53 { localhost; 10.0.1.0/24; }; > allow-query { localhost; 10.0.1.0/24; }; > > Se deberá agregar también la lista de prefijos IPv6 desde los cuales > queremos aceptar consultas. > > > > Para que el archivo de configuración sea el siguiente: > > # nano named.conf.options > > > options { > > directory "/var/cache/bind"; > > > > // If there is a firewall between you and nameservers you want > > // to talk to, you may need to fix the firewall to allow multiple > > // ports to talk. See http://www.kb.cert.org/vuls/id/800113 > > > > // If your ISP provided one or more IP addresses for stable > > // nameservers, you probably want to use them as forwarders. > > // Uncomment the following block, and insert the addresses replacing > > // the all-0's placeholder. > > > > // forwarders { > > // 0.0.0.0; > > // }; > > > > > //======================================================================== > > // If BIND logs error messages about the root key being expired, > > // you will need to update your keys. See > https://www.isc.org/bind-keys > > > //======================================================================== > > > > dnssec-validation auto; > > > > auth-nxdomain no; # conform to RFC1035 > > listen-on-v6 { any; }; > > > > listen-on port 53 { localhost; 10.0.1.0/24; }; > > allow-query { localhost; 10.0.1.0/24; }; > > > > recursion yes; > > }; > > > > > > c. Finally, we use the BIND functionality to confirm that there are no > errors in the configuration files and restart the BIND server to apply the > configuration changes > > # named-checkconf > # service bind9 restart > > > > > Listo, allí tendrás funcionando un servidor recursivo de DNS con un mínimo > de configuración para limitar las consultas y permitir solo desde las redes > que especifiques en las opciones "listen-on port 53" y "allow-query". > > > Luego busco algo similar para la configuración básica de un autoritativo > (que es un poco más complejo). > > > Saludos, > > Nico > > > > > > > El mar, 9 de feb. de 2021 a la(s) 11:29, SANTIAGO TRUCCO - INTERNET > CORDOBA ([email protected]) escribió: > >> Hola estoy necesitando quien pueda compartir una guía para instalar un >> DNS local, estuve revisando sobre un *bind9* pero necesito si alguien >> tiene una guia paso a paso. >> -- >> >> TRUCCO CARLOS SANTIAGO >> >> CEO - INTERNET CORDOBA >> Email: [email protected] >> Website: www.internetcordoba.com.ar >> Telefono: 0351-5685968 - INT: 501 >> Mobile: 0351-153675710 >> <https://www.facebook.com/Internetcordoba> >> <https://www.instagram.com/internetcordoba> >> >> >> >> _______________________________________________ >> Lista mailing list >> [email protected] >> http://mailmancabase.interdotnet.com.ar/mailman/listinfo/lista >> >
_______________________________________________ Lista mailing list [email protected] http://mailmancabase.interdotnet.com.ar/mailman/listinfo/lista
