Navigazione

Domande? Problemi?

Iscriviti al Google group:

DNS - tinydns

Note

tinydns non è usato dal progetto ReteISI. Il presente laboratorio ha il solo scopo di apprendere i concetti base dei dns. Il progetto ReteISI ha optato dnsmasq.

Scopo

Scopo di questa esperienza è di installare un dns cache ed un dns server per offrire all’interno di una scuola la risoluzione degli ip sulla lan e all’esterno la risoluzione ufficiale

  • tinidns
  • host: comando per interrogare un dns

Setup

il setup di questa esperienza è uguale a quello delle esperienze di Dnat - Destination NAT

  • un firewall che usa una connessione tap che via l’host principale (la vostra macchina) vi permette la connessione ad internet.
  • un client interno alla lan
  • un client esterno alla lan

Tinydns

Per questo esperimento ho preso un dns differente da quello classico spiegato anche nelle pagine di reteisi perché è più semplice da installare ed è noto per essere particolarmente sicuro.

Non ha una caraatteristica che può a volte servire (aggiornamento dinamico da dhcp) e quindi non voglio suggerirlo come soluzione migliore, sicuramente per chi non usa assolutamente il dns questo è un modo più semplice di risolvere il problema di permettere alle macchine interne di risolvere il nome ufficiale del sito web qualora questo sia interno alla scuola.

dnscache vs. tinydns

A differenza di bind tinydns divide in maniera neta le funzioni di

  • cache: (forward per bind) ovvero d risposta ad una interrogazione

    quando si prendano dati da altri dns. Funzione implementata da dnscache

  • dns: risposta ad una interrogazioen quando si è il server

    autoritativo per rispondere . Funziona implementata da tinydns

un altro aspetto che mi convince poco di questo server è che mette i log e la configurazione nella stessa cartella e debian non ha provveduto a installare in modo più appropriato.

I servizi girano controllati da un supervisore supervise, che controlla i servizi che stanno in /var/service (per la configurazione del pacchetto debian runit), per informare il demone che deve controllare un nuovo servizio è sufficente fare un link simbolico che collega la cartella con la configurazione nella cartella /var/service.

Esercizio

  • Attivare sul client, dopo avere guardato cosa fanno, la configurazione:

    sh /root/dnscache-setup
sh /root/tinydns-setup

  • Fate altrettando sul firewall (i file hanno nomi uguali ma sono ovviamente differenti).

  • verificare che il nome www.reteisi.lan vien risolto in modo differente sulle due macchine. Usate host www.reeisi.lan

  • andare sulla macchina pdc e impostare il nameserver nel modo più opportuno

  • combinate questo esercizio con quello del DNAT per fare in modo che il server web venga raggiunto nel modo corretto dll’interno e dall’esterno.

Ricordate che il comando host richiede un argomento (il nome della macchina) ed accetta un secondo argomento: il nome del server da interrogare. Se non mettete il seocndo argomento, che server interrroga?

Come faccio a sapere con certezza chi sta interrogando?

Letture

La documentazione sta nel sito ufficiale

Sito curato da Alessandro Dentella (tel: 039/68.29.713) -- ReteISI versione 2.9.7 creato usando Sphinx 0.6.4.