Qui troverete i file di configurazione del servizio DNS per una intranet scolastica concepita secondo il modello ISI.
Il DNS assicurerà la risoluzione dei nomi delle macchine sulla intranet, comprese quelle ad indirizzo dinamico (aggiornamento del DNS via
DHCP).
Si tenga presente che nelle nostre scuole la segreteria opera in ambiente win2000 server configurato con Active Directory e quindi realizzante un dominio separato. Al momento l´integrazione segreteria resto della intranet è al livello della condivisione dell´accesso internet (magari con l´attivazione della doppia adsl) attraverso un unico firewall e alla connessione permessa solo da client particolari esterne alla sottorete specifica.
Per quanto riguarda il dettaglio tecnico circa la configurazione di Bind9 si rimanda alla documentazione tecnica disponibile in rete, qui ci si limiterà ad illustrare l'organizzazione e il contenuto dei file di configurazione.
L'architettura della intranet sia la seguente:
- vlan1 sottorete di staff e di amministrazione
- vlan2 sottorete di laboratorio (ce ne può essere una per laboratorio)
- vlan5 sottorete della segreteria (si ipotizza che la segreteria sfrutti, per fondamentali ragioni di sicurezza) il firewall principale per l´accesso internet, si tenga presente inoltre che nel modello isi, la segreteria è integrata nella intranet dell'istituto.
Il server DNS può essere ospitato dovunque, ma nel modello isi tale servizio, insieme al DHCP, è in funzione sulla macchina firewall che, grazie al sistema delle vlan, è attestata su tutte le vlan.
il
dominio dns si chiamerà
miascuola.lan. Il che significa, ad esempio, che l'url del server web interno sarà
www.miascuola.lan
In Debian tutti i file di configurazione necessari si trovano sotto
/etc/bind e quelli per noi significativi sono:
/etc/bind/named.conf in cui vengono elencate i
forwarders le
zone dirette del dominio e quelle
inverse
/etc/bind/miascuola.lan in cui sono elencate nomi e ip di tutte le macchine sulla rete
/etc/bind/rev1 e simili che costituiscono le zone inverse, cioè il meccanismo con cui dall'ip si risale al nome
Ma vediamoli in dettaglio:
/etc/bind/named.conf
Si noti la direttiva
forwarders e la direttiva
key DHCP_UPDATER. Si ricordi che il valore di quest´ultima deve essere identico a quella dichiarata nel file di configurazione del server dhcp (
/etc/dhcp3/dhcpd.conf) altrimenti l'aggiornamento dinamico dei record dns non funzionerà.
//----------------------------------------------------------------------------
// This is the primary configuration file for the BIND DNS server named.
//
// Please read /usr/share/doc/bind9/README.Debian for information on the
// structure of BIND configuration files in Debian, *BEFORE* you customize
// this configuration file.
//----------------------------------------------------------------------------
options {
directory "/var/cache/bind";
// If there is a firewall between you and nameservers you want
// to talk to, you might need to uncomment the query-source
// directive below. Previous versions of BIND always asked
// questions using port 53, but BIND 8.1 and later use an unprivileged
// port by default.
// query-source address * port 53;
// If your ISP provided one or more IP addresses for stable
// nameservers, you probably want to use them as forwarders.
// Uncomment the following block, and insert the addresses replacing
// the all-0's placeholder.
// i forwarders sono gli ip dei DNS esterni (quelli del vostro provider)
// qui saranno automaticamente redirette tutte le richieste DNS non soddisfatte
// all´interno del nostro dominio
forwarders {
151.99.125.2;
194.243.154.62;
};
auth-nxdomain no; # conform to RFC1035
};
// prime the server with knowledge of the root servers
zone "." {
type hint;
file "/etc/bind/db.root";
};
// be authoritative for the localhost forward and reverse zones, and for
// broadcast zones as per RFC 1912
zone "localhost" {
type master;
file "/etc/bind/db.local";
};
zone "127.in-addr.arpa" {
type master;
file "/etc/bind/db.127";
};
zone "0.in-addr.arpa" {
type master;
file "/etc/bind/db.0";
};
zone "255.in-addr.arpa" {
type master;
file "/etc/bind/db.255";
};
// add entries for other zones below here
// ddns - key
key DHCP_UPDATER {
algorithm HMAC-MD5.SIG-ALG.REG.INT;
secret NmfU90eVsfpLk2Ht07R2IQ==;
};
zone "miascuola.lan" {
type master;
file "/etc/bind/miascuola.lan";
allow-update { key DHCP_UPDATER; };
};
// staff - reverse - vlan1
zone "1.168.192.in-addr.arpa" {
type master;
file "/etc/bind/rev1";
allow-update { key DHCP_UPDATER; };
};
// lab - reverse - vlan2
zone "2.168.192.in-addr.arpa" {
type master;
file "/etc/bind/rev2";
allow-update { key DHCP_UPDATER; };
};
// segreteria - reverse - vlan5
zone "5.168.192.in-addr.arpa" {
type master;
file "/etc/bind/rev5;
allow-update { key DHCP_UPDATER; };
};
/etc/bind/miascuola.lan
Sono elencati i server, gli apparati di rete ed eventuali pc con ip statico.
Questo file provvede alla fondamentale funzione di risoluzione dei nomi nel corrispondente indirizzo ip.
Visualizzando questo file a server in funzione, vi si troveranno dentro anche gli aggiornamenti effettuati dal server dhcp ogni volta che un client si connette alla rete.
fw-scuola = il firewall della scuola, cioè la macchina interposta fra la nostra rete e internet. Il router adsl è direttamente connesso a questa macchina attraverso una delle sue schede di rete (deve averne infatti almeno due, o tante quante sono le sottoreti che si vogliono gestire nel caso non si disponga di dispositivi 802.1q)
srv-uno = il server principale (quello che fa anche da PDC)
srv-due = un altro server
stp-lx = stampanti laser di rete
sw-xxx = switch managed con gestione VLAN (802.1q)
rt-adslx = router adsl (potrebbe essercene piu' di uno)
xp-xxxxx = client qualificati con ip statico e funzioni amministrative
$ORIGIN .
$TTL 86400 ; 1 day
miascuola.lan IN SOA fw-scuola.miascuola.lan. root.miascuola.lan. (
1 ; serial
28800 ; refresh (8 hours)
14400 ; retry (4 hours)
3600000 ; expire (5 weeks 6 days 16 hours)
86400 ; minimum (1 day)
)
NS fw-scuola.miascuola.lan.
fw-scuola A 192.168.1.1 //sulla vlan1 (sottorete di staff)
srv-uno A 192.168.1.2 //sulla vlan1
srv-due A 192.168.1.3 //sulla vlan1
stp-l1 A 192.168.1.6 //stampante tcp/ip su vlan1
sw-uno A 192.168.1.21 //switch managed su vlan1
sw-due A 192.168.1.22 //switch managed su vlan1
rt-adsl1 A 192.168.200.2 //router adsl
www CNAME srv-uno
xp-admin01 A 192.168.1.25 //pc con funzioni particolari
xp-preside A 192.168.1.26
stp-l2 A 192.168.2.7 //stanpante tcp/ip su vlan2
srv-segreteria A 192.168.5.2 //sulla vlan5 (segreteria)
/etc/bind/rev1.lan
File di risoluzione inversa per la vlan1
$ORIGIN .
$TTL 86400 ; 1 day
1.168.192.in-addr.arpa IN SOA fw-scuola.miascuola.lan. root.miascuola.lan. (
1 ; serial
28800 ; refresh (8 hours)
14400 ; retry (4 hours)
3600000 ; expire (5 weeks 6 days 16 hours)
86400 ; minimum (1 day)
)
NS fw-scuola.miascuola.lan.
1 PTR fw-miascuola.miascuola.lan.
2 PTR srv-uno.miascuola.lan.
3 PTR srv-due.miascuola.lan.
6 PTR stp-l1.miascuola.lan.
10 PTR xp-preside.miascuola.lan.
11 PTR xp-admin01.miascuola.lan.
21 PTR sw-rag.miascuola.lan.
22 PTR sw-due.miascuola.lan.
/etc/bind/rev2.lan
$ORIGIN .
$TTL 86400 ; 1 day
2.168.192.in-addr.arpa IN SOA fw-scuola.miascuola.lan. root.miascuola.lan. (
1 ; serial
28800 ; refresh (8 hours)
14400 ; retry (4 hours)
3600000 ; expire (5 weeks 6 days 16 hours)
86400 ; minimum (1 day)
)
NS fw-scuola.miascuola.lan.
1 PTR fw-scuola.miascuola.lan.
7 PTR stp-l2.miascuola.lan.
/etc/bind/rev5.lan
$TTL 86400 ; 1 day
5.168.192.in-addr.arpa IN SOA fw-scuola.miascuola.lan. root.miascuola.lan. (
1 ; serial
28800 ; refresh (8 hours)
14400 ; retry (4 hours)
3600000 ; expire (5 weeks 6 days 16 hours)
86400 ; minimum (1 day)
)
NS fw-scuola.miascuola.lan.
1 PTR fw-scuola.miascuola.lan.
2 PTR srv-segreteria.miascuola.lan.