Domande? Problemi?

Iscriviti al Google group:

DNS Server

Nota

Con la creazione della interfaccia Interfaccia web si è deciso di unificare i servizi di dns e dhcp usando un solo server: dnsmasq. l’interfaccia web ha una sezione apposita per la gestione di questi servizi, che rende obsoleta questa parte che lasciamo ad uso di chi ha ancora bind e dhcpd

Qui troverete i file di configurazione del servizio DNS per una intranet scolastica concepita secondo il modello ISI. Il DNS assicurerà la risoluzione dei nomi delle macchine sulla intranet, comprese quelle ad indirizzo dinamico (aggiornamento del DNS via DHCP). Si tenga presente che nelle nostre scuole la segreteria opera in ambiente win2000 server configurato con Active Directory e quindi realizzante un dominio separato. Al momento l’integrazione segreteria resto della intranet è al livello della condivisione dell’accesso internet (magari con l’attivazione della doppia adsl) attraverso un unico firewall e alla connessione permessa solo da client particolari esterne alla sottorete specifica.

  • /etc/bind/named.conf.local
  • /etc/bind/named.conf.options
  • /etc/bind/miascuola.lan
  • /etc/bind/rev1.lan
  • /etc/bind/rev2.lan
  • /etc/bind/rev5.lan

Per quanto riguarda i dettagli circa la configurazione di Bind9 si rimanda alla documentazione tecnica disponibile in rete, qui ci si limiterà ad illustrare l’organizzazione e il contenuto dei file di configurazione.

L’architettura della intranet sia la seguente:

  • vlan1 sottorete di staff e di amministrazione
  • vlan2 sottorete di laboratorio (ce ne può essere una per laboratorio)
  • vlan5 sottorete della segreteria (si ipotizza che la segreteria sfrutti, per fondamentali ragioni di sicurezza) il firewall principale per l’accesso internet, si tenga presente inoltre che nel modello isi, la segreteria è integrata nella intranet dell’istituto.

Il server DNS può essere ospitato dovunque, ma nel modello isi tale servizio, insieme al DHCP, è in funzione sulla macchina firewall che, grazie al sistema delle vlan, è attestata su tutte le vlan.

il dominio dns si chiamerà miascuola.lan. Il che significa, ad esempio, che l’url del server web interno sarà www.miascuola.lan

In Debian tutti i file di configurazione necessari si trovano sotto /etc/bind e quelli per noi significativi sono:

  • /etc/bind/named.conf in cui sono elencate le zone standard del domio DNS ALERT! lo si lascia inalterato
  • /etc/bind/named.conf.local in cui sono elencate le zone dirette del dominio e quelle inverse del nostro dominio
  • /etc/bind/named.conf.option in cui vengono elencate i forwarders
  • /etc/bind/miascuola.lan in cui sono elencate nomi e ip di tutte le macchine sulla rete
  • /etc/bind/rev1 e simili che costituiscono le zone inverse, cioè il meccanismo con cui dall’ip si risale al nome

Ma vediamoli in dettaglio:

/etc/bind/named.conf.local

Si noti la direttiva key DHCP_UPDATER. Si ricordi che il valore di quest’ultima deve essere identico a quella dichiarata nel file di configurazione del server dhcp (/etc/dhcp3/dhcpd.conf) altrimenti l’aggiornamento dinamico dei record dns non funzionerà.:

// -*- c++ -*-
// Do any local configuration here
//

// Consider adding the 1918 zones here, if they are not used in your
// organization
//include "/etc/bind/zones.rfc1918";


// Tells the nameserver who to allow updates from, with what keys
controls {
  inet 127.0.0.1 allow { localhost; } keys { DHCP_UPDATER; };
};


// ddns - key
key DHCP_UPDATER {
  algorithm HMAC-MD5.SIG-ALG.REG.INT;
  secret NmfU90eVsfpLk2Ht07R2IQ==;
';

zone "miascuola.lan" {
     type master;
     file "/etc/bind/miascuola.lan";
     allow-update { key DHCP_UPDATER; ';
};


// staff - reverse - vlan1
zone "1.168.192.in-addr.arpa" {
     type master;
     file "/etc/bind/rev1";
     allow-update { key DHCP_UPDATER; ';
};


// lab - reverse - vlan2
zone "2.168.192.in-addr.arpa" {
     type master;
     file "/etc/bind/rev2";
     allow-update { key DHCP_UPDATER; ';
};


// segreteria - reverse - vlan5
zone "5.168.192.in-addr.arpa" {
     type master;
     file "/etc/bind/rev5;
     allow-update { key DHCP_UPDATER; ';
};

/etc/bind/named.conf.options

Qui la cosa importante sono i forwarders. Il concetto è semplice: quando il nostro DNS non riesce a risolvere un nome, perché esterno alle zone locali, passerà la richiesta ai server DNS esterni dichiarati dalla direttiva forwarders. In pratica si tratta dei DNS primario o secondario indicatici dal nostro provider oppure di DNS pubblici.:

options {
   directory "/var/cache/bind";

   // If there is a firewall between you and nameservers you want
   // to talk to, you might need to uncomment the query-source
   // directive below.  Previous versions of BIND always asked
   // questions using port 53, but BIND 8.1 and later use an unprivileged
   // port by default.

   // query-source address * port 53;

   // If your ISP provided one or more IP addresses for stable
   // nameservers, you probably want to use them as forwarders.
   // Uncomment the following block, and insert the addresses replacing
   // the all-0's placeholder.

        // i forwarders sono gli ip dei DNS esterni
        // (quelli del vostro provider)
        // qui saranno automaticamente redirette tutte le richieste DNS
        // non soddisfatte all'interno del nostro dominio

   forwarders {
       151.99.125.2;
       194.243.154.62;
   };

   auth-nxdomain no;    # conform to RFC1035

};

/etc/bind/miascuola.lan

Sono elencati i server, gli apparati di rete ed eventuali pc con ip statico. Questo file provvede alla fondamentale funzione di risoluzione dei nomi nel corrispondente indirizzo ip. Visualizzando questo file a server in funzione, vi si troveranno dentro anche gli aggiornamenti effettuati dal server dhcp ogni volta che un client si connette alla rete.

fw-scuola = il firewall della scuola, cioè la macchina interposta fra la nostra rete e internet. Il router adsl è direttamente connesso a questa macchina attraverso una delle sue schede di rete (deve averne infatti almeno due, o tante quante sono le sottoreti che si vogliono gestire nel caso non si disponga di dispositivi 802.1q) srv-uno = il server principale (quello che fa anche da PDC)

srv-due = un altro server stp-lx = stampanti laser di rete sw-xxx = switch managed con gestione VLAN (802.1q) rt-adslx = router adsl (potrebbe essercene piu’ di uno) xp-xxxxx = client qualificati con ip statico e funzioni amministrative:

$ORIGIN .
$TTL 86400      ; 1 day
miascuola.lan           IN SOA  fw-scuola.miascuola.lan. root.miascuola.lan. (
                                1          ; serial
                                28800      ; refresh (8 hours)
                                14400      ; retry (4 hours)
                                3600000    ; expire (5 weeks 6 days 16 hours)
                                86400      ; minimum (1 day)
                                )
                        NS      fw-scuola.miascuola.lan.
fw-scuola               A       192.168.1.1        //sulla vlan1 (sottorete di staff)
srv-uno                 A       192.168.1.2        //sulla vlan1
srv-due                 A       192.168.1.3        //sulla vlan1
stp-l1                  A       192.168.1.6        //stampante tcp/ip su vlan1
sw-uno                  A       192.168.1.21       //switch managed su vlan1
sw-due                  A       192.168.1.22       //switch managed su vlan1
rt-adsl1                A       192.168.200.2      //router adsl
www                     CNAME   srv-uno
xp-admin01              A       192.168.1.25       //pc con funzioni particolari
xp-preside              A       192.168.1.26
stp-l2                  A       192.168.2.7        //stanpante tcp/ip su vlan2
srv-segreteria          A       192.168.5.2        //sulla vlan5 (segreteria)

/etc/bind/rev1.lan File di risoluzione inversa per la vlan1

$ORIGIN .
$TTL 86400      ; 1 day
1.168.192.in-addr.arpa IN SOA  fw-scuola.miascuola.lan. root.miascuola.lan. (
                                1          ; serial
                                28800      ; refresh (8 hours)
                                14400      ; retry (4 hours)
                                3600000    ; expire (5 weeks 6 days 16 hours)
                                86400      ; minimum (1 day)
                                )
                        NS      fw-scuola.miascuola.lan.
1                       PTR     fw-miascuola.miascuola.lan.
2                       PTR     srv-uno.miascuola.lan.
3                       PTR     srv-due.miascuola.lan.
6                       PTR     stp-l1.miascuola.lan.
10                      PTR     xp-preside.miascuola.lan.
11                      PTR     xp-admin01.miascuola.lan.
21                      PTR     sw-rag.miascuola.lan.
22                      PTR     sw-due.miascuola.lan.

/etc/bind/rev2.lan

$ORIGIN .
$TTL 86400      ; 1 day
2.168.192.in-addr.arpa      IN SOA  fw-scuola.miascuola.lan. root.miascuola.lan. (
                                1          ; serial
                                28800      ; refresh (8 hours)
                                14400      ; retry (4 hours)
                                3600000    ; expire (5 weeks 6 days 16 hours)
                                86400      ; minimum (1 day)
                                )
                        NS      fw-scuola.miascuola.lan.
1                       PTR     fw-scuola.miascuola.lan.
7                       PTR     stp-l2.miascuola.lan.


/etc/bind/rev5.lan

$TTL 86400      ; 1 day
5.168.192.in-addr.arpa     IN SOA  fw-scuola.miascuola.lan. root.miascuola.lan. (
                                1                  ; serial
                                28800      ; refresh (8 hours)
                                14400      ; retry (4 hours)
                                3600000    ; expire (5 weeks 6 days 16 hours)
                                86400      ; minimum (1 day)
                                )
                        NS              fw-scuola.miascuola.lan.
1                       PTR             fw-scuola.miascuola.lan.
2                       PTR             srv-segreteria.miascuola.lan.