relatório do trabalho prático nº 1rnsilva/dns.pdf · relatório do trabalho prático nº 1 dns e...

Relatório do Trabalho Prático nº 1

DNS e DHCP

Documento elaborado pela equipa:Jorge Miguel Morgado Henriques

Ricardo Nuno Mendão da Silva

Data de entrega:22.10.2006

http://www.go2pdf.com

1

Indíce

Introdução ....................................................................................................................... 2

Configuração do servidor de DNS primário.................................................................. 3

Justificação de opções tomadas ........................................................................................................ 5

Configuração do servidor de DNS secundário .............................................................. 6


Configuração do servidor de DHCP ............................................................................... 8


Zonas do domínio.......................................................................................................... 10

Informação adicional .................................................................................................... 13

Testes e resultados ....................................................................................................... 14

Funcionalidades não cumpridas.................................................................................. 18

Conclusão....................................................................................................................... 20


2

Introdução

Este trabalho teve como objectivo a utilização do BIND em dois servidoresLinux para activar o domínio euro2008.pt. A máquina onde seria activado oservidor DNS primário funcionaria igualmente como servidor DHCP para aRede interna e como router.A figura seguinte ilustra o cenário de implementação do trabalho.

É um cenário típico de utilização de um sistema Firewall. Neste cenário arede interna encontra-se protegida do exterior por uma rede designada deDMZ (neste caso prático a rede do LGSR).


3

Configuração do servidor de DNS primário

O servidor de DNS presente na mesma máquina do servidor de DHCP foiconfigurado de forma a ser primário para todas as zonas do domínio. Estenotifica o servidor de DNS secundário sempre que efectua alterações aosmapas de zona. De seguida autoriza a transferência destes mesmos mapasapenas ao servidor secundário, utilizando TSIG.

Neste servidor deve suportar DDNS (Dynamic DNS) de forma a que um clienteDHCP tenha o seu nome e endereço IP registados no DNS primário, durante oprocesso de atribuição de endereço IP pelo servidor de DHCP. Esse registodeve ser feito pelo próprio servidor de DHCP.

#named.conf

options{directory “/var/named”;forwarders{193.136.212.1;};allow-query{192.168.9.0/24;};notify yes;allow-transfer{key “dns1-dns2”;};dump-file “/var/named/data/cache_dump.db”;statistics-file “/var/named/named_stats.db”;dnssec-enable yes;#query-source port 53;

};

controls{inet 127.0.0.1 allow{localhost;} keys{“rndckey”;};

};

zone "." IN {type hint;file "named.ca";

};

zone "localdomain" IN {type master;file "localdomain.zone";allow-update { none; };

};

zone "localhost" IN {type master;file "localhost.zone";allow-update { none; };

};

zone "0.0.127.in-addr.arpa" IN {type master;file "named.local";


4

allow-update { none; };};

zone"0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.ip6.arpa" IN{

type master;file "named.ip6.local";allow-update { none; };

};

zone "255.in-addr.arpa" IN {type master;file "named.broadcast";allow-update { none; };

};

zone "0.in-addr.arpa" IN {type master;file "named.zero";allow-update { none; };

};

Zone “euro2008.pt” IN{Type master;File “named.euro2008.db”;Update-policy {grant dhcp-dns subdomain euro2008.pt. A TXT;};

};

Zone “9.168.192.in-addr.arpa” IN{Type master;File “redeInterna.euro2008.db”;Update-policy {grant dhcp-dns subdomain 9.168.192.in-addr.arpa PTR

TXT;};};

Zone “0.254.10.in-addr.arpa” IN{Type master;File “DMZ.euro2008.db”;

};

Include “/etc/rndc.key”;Server 10.254.0.10{

Keys{dns1-dns2};};

Server 192.168.9.1{Keys{dhcp-dns};

};


5

Justificação de opções tomadas

Para começar, foi definido no ficheiro de configuração do servidor de DNSprimário que caso este não conseguisse resolver uma query, em vez detentar aceder a outros servidores DNS na internet, deveria ir ao servidor doDNS do DEI (193.136.212.1) através do parametro forwarders.

Para que este servidor só aceite querys dos clientes da rede interna foidefinido o parametro allow-query com o valor 192.168.9.0/24.

Para que este servidor de DNS (primário) notifique o servidor de DNSsecundário das alterações aos mapas de zona e para que apenas a esteautorize as transferências das mesmas, foram definidos os seguintesparametros:

notify yes;allow-transfer {key “dns1-dns2”;};

Em seguida foram adicionadas as zonas de mapeamento directoeuro2008.pt e de mapeamento inverso 9.168.192.in-addr.arpa e0.254.10.in-addr.arpa.

O parametro type define que este servidor de DNS é principal ou masterpara estas zonas (type master;).

O parametro file define, para cada zona, qual o ficheiro onde são descritosos parametros dessa zona.

Através do parametro include é incluído o ficheiro que contém as chavesTSIG. Em vez de colocar as chaves no próprio ficheiro de configuração doservidor de DNS optou-se por colocar as mesmas no ficheiro rndc.key compermissões mais restritivas por razões de segurança.

Em seguida são indicadas quais as chaves a utilizar perante os acessos dedeterminadas máquinas (IPs). Assim é indicado que caso seja o servidorcom o IP 10.254.0.10 (servidor de DNS secundário) a comunicar, deve serutilizada a chave “dns1-dns2”; caso seja o servidor 192.168.9.1 (servidor deDHCP) a comunicar, entao será usada a chave “dhcp-dns”.


6

Configuração do servidor de DNS secundário

O servidor de DNS presente na rede DMZ, na máquina dns2, é secundáriopara todas as zonas. Vai conter mapas actualizados das zonas por via detransferência do servidor primário. Estas transferências são encriptadascom TSIG (ambas as partes envolvidas na comunicação têm uma chavesecreta configurada para o efeito).

#named.conf

options{directory “/var/named”;forwarders{193.136.212.1;};allow-query{10.254.0.0/24};allow-transfer{none;};dump-file “/var/named/data/cache_dump.db”;statistics-file “/var/named/named_stats.db”;dnssec-enable yes;#query-source address port 53;

};

controls{inet 127.0.0.1 allow{localhost;} keys{“rndckey”;};

};zone "." IN {

type hint;file "named.ca";

};

zone "localdomain" IN {type master;file "localdomain.zone";allow-update { none; };

};

zone "localhost" IN {type master;file "localhost.zone";allow-update { none; };

};

zone "0.0.127.in-addr.arpa" IN {type master;file "named.local";allow-update { none; };

};

zone"0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.ip6.arpa" IN{

type master;file "named.ip6.local";allow-update { none; };


7

};

zone "255.in-addr.arpa" IN {type master;file "named.broadcast";allow-update { none; };

};

zone "0.in-addr.arpa" IN {type master;file "named.zero";allow-update { none; };

};

Zone “euro2008.pt” IN{Type slave;File “named.euro2008.db”;Masters{10.254.0.9;};

};Zone “9.168.192.in-addr.arpa” IN{

Type slave;File “redeInterna.euro2008.db”;Masters{10.254.0.9;};

};Zone “0.254.10.in-addr.arpa” IN{

Type slave;File “DMZ.euro2008.db”;Masters{10.254.0.9;};

};

Include “/etc/rndc.key”;

Server 10.254.0.10{Keys{dns1-dns2};

};


Na configuração do servidor de DNS secundário, a grande diferençaincide na definição das zonas. Nas declarações destas, o parametro typeé definido como slave de modo que o servidor saiba que é secundáriopara estas zonas; o parametro masters é definido com o IP do servidorDNS primário para que o DNS secundário saiba quem é o servidorprimário daquelas zonas.


8

Configuração do servidor de DHCP

O servidor de DHCP foi configurado de forma a aceitar pedidos deconfiguração apenas de clientes da rede interna e atribuir endereços deuma pool de 20 endereços IP. Estes clientes deverão ser configurados nodomínio euro2008.pt e utilizar o router como servidor DNS.

Conforme ja foi referido anteriormente, este servidor deve registar osclientes DHCP configurados, no servidor DNS primário. Esta operação deregisto utilizará também o protocolo TSIG, da mesma forma que acontececom as comunicações entre servidores de DNS.

#dhcpd.conf

ddns-update-style interim;ignore client-updates;authoritative;subnet 192.168.9.0 netmask 255.255.255.0{

option routers 192.168.9.1;option subnet-mask 255.255.255.0;option domain-name “euro2008.pt”;option domain-name-servers 192.168.9.1;option time-offset -18000; #Eastern Standard Timerange 192.168.9.10 192.168.9.30;default-lease-time 86400; #24hmax-lease-time 90000; #25hhost master{

fixed-address 192.168.9.2;option host-name “master”;

}host condor{

fixed-address 192.168.9.3;option host-name “condor”;

}#dynamic DNS updatesddns-updates on;ddns-domainname “euro2008.pt.”;ddns-rev-domainname “9.168.192.in-addr.arpa.”;

zone euro2008.pt{primary 192.168.9.1;key “dhcp-dns”;

}

zone 9.168.192.in-addr.arpa{primary 192.168.9.1;key “dhcp-dns”;

}

}Include “/etc/rdnc.key”;


9


De forma a que os updates so servidor de DNS primário sejam feitosapenas pelo DHCP, no acto de atribuição de IP, foi adicionado oparametro ignore client-update;

Para a subrede 192.168.9.0 foi definido que o default gatway dos clientesDHCP seria 192.168.9.1, o IP do router; foi definida a mascara de subrede; foi definido o nome do dominio como sendo euro2008.pt; foidefinido o servidor de DNS como sendo o DNS primário nessa mesmamáquina (192.168.9.1); foi definida uma pool de 20 endereços IP aatribuir, entre o IP 192.168.9.10 e o IP 192.168.9.30; foram definidos umtempo de “aluguer” normal e outro máximo; foram definidos doi hostscom IP fixo (master-192.168.9.2 e condor-192.168.9.3); e foram activadasas actualizações automáticas do DNS com os parametros:

Ddns-updates on;Ddns-domainname “euro2008.pt”;Ddns-rev-domainname “9.168.192.in-addr.arpa”;


}


}


10

Zonas do domínio

Zona de mapeamento directo para o domínio euro2008.pt .

#named.euro2008.db

$TTL 86400@ IN SOA pcg5109.euro2008.pt. root.pcg5109.euro2008.pt. (

1997022700 ; Serial28800 ; Refresh14400 ; Retry3600000 ; Expire86400 ) ; Minimum

IN TXT "Dominio Euro2008"IN NS pcg5109.euro2008.pt.IN NS dns2.euro2008.ptIN MX 10 smtpIN MX 20 mail

backups IN CNAME masterdatastore IN CNAME condorwebmail IN CNAME mailpop IN CNAME mailimap IN CNAME mail;localhost IN A 127.0.0.1pcg5109 IN A 192.168.9.1pcg5109 IN A 10.254.0.9mail IN A 10.254.0.2smtp IN A 10.254.0.3www IN A 10.254.0.4dns2 IN A 10.254.0.10master IN A 192.168.9.2condor IN A 192.168.9.3

• registos do tipo TXT (text) permitem fornecer entradas cominformação textual;

• registos do tipo NS (nameserver) definem os servidores de nomes(DNS) que mantêm registos para esta zona;

• registos do tipo MX (mail exchanger) definem os servidores de mailda zona que tratarão destinatários do tipo [email protected];

• registos do tipo CNAME (canonical name)definem aliases paradeterminados nomes de hosts;

• registos do tipo A (address record)fornecem mapeameno entrenomes e os respectivos dendereços IP.


11

Zona de mapeamento inverso para a rede interna (192.168.9.0/24).

#redeInterna.euro2008.db



IN NS pcg5109.euro2008.pt.1 PTR pcg5109.euro2008.pt.2 PTR master.euro2008.pt.3 PTR condor.euro2008.pt.



• registos do tipo PTR (pointer record) fornecem mapeamento inversoentre endereços IP e os respectivos nomes.


12

Zona de mapeamento inverso para a rede DMZ (10.254.0.0/24).

#DMZ.euro2008.db



IN NS pcg5109.euro2008.pt.9 PTR pcg5109.euro2008.pt.2 PTR mail.euro2008.pt.3 PTR smtp.euro2008.pt.4 PTR www.euro2008.pt.10 PTR dns2.euro2008.pt.



• registos do tipo PTR (pointer record) fornecem mapeamento inversoentre endereços IP e os respectivos nomes.

Só é necessário definir estes ficheiros de zona no servidor de DNS primário,visto que depois de bem configurado, o servidor de DNS secundário vaisolicitar ao DNS primário a transferência da informação destas zonas.

http://www.euro2008.pt.


13

Informação adicional

No ficheiro /etc/resolv.conf foi alterado o parametro search paraeuro2008.pt para que o resolver adicione o sufixo euro2008.pt a nomesque não sejam FQDN.

No ficheiro /etc/hosts foi adicionado o nome da propria máquina (pcg5109)e o respectivo endereço IP externo, para além do nome localhost e oendereço IP 127.0.0.1 que já estavam no ficheiro.


14

Testes e resultados

Como é possível observar na duas imagens seguintes, os testes à interacçãoentre os dois servidores de DNS confirmam o seu bom funcionamento.

Pode-se observar o servidor de DNS primário a iniciar (1), a carregar as zonas,e a notificar o secundário acerca de alterações na sua tabela de zonas (2).Em seguida pode-se observar o inicio das transferências das tabelas de zonado servidor de DNS primário para o servidor de DNS secundário utilizando aTSIG com a chave “dns1-dns2”, gerada para o efeito. Todas as transferênciasterminam com sucesso, e no servidor de DNS secundário, que não tinha astabelas de zona definidas, surgem os ficheiros com os detalhes de cada zona.

Nesta segunda imagem pode-se observar o DNS secundário emfuncionamento: a efectuar as transferências das zonas usando a TSIGdefinida.


15

Estes são os ficheiros que o servidor de DNS secundário constroi na directoria/var/named com a descrição das respectivas zonas, depois de transferir osmapas de zona do servidor de DNS primário.

#ficheiro named.euro2008.db que o DNS secundário construiu por via da#transferencia do DNS primário

$ORIGIN .$TTL 86400; 1 day@ IN SOA pcg5109.euro2008.pt. root.pcg5109.euro2008.pt. (

1997022700 ; Serial28800 ; Refresh (8 hours)14400 ; Retry (4 hours)3600000 ; Expire (5 weeks 6 days 16

hours)86400 ) ; Minimum

IN TXT "Dominio Euro2008"IN NS pcg5109.euro2008.pt.IN NS dns2.euro2008.ptIN MX 10 smtpIN MX 20 mail

backups IN CNAME masterdatastore IN CNAME condor


16

webmail IN CNAME mailpop IN CNAME mailimap IN CNAME mail;localhost IN A 127.0.0.1pcg5109 IN A 192.168.9.1pcg5109 IN A 10.254.0.9mail IN A 10.254.0.2smtp IN A 10.254.0.3www IN A 10.254.0.4dns2 IN A 10.254.0.10master IN A 192.168.9.2condor IN A 192.168.9.3

#ficheiro redeInterna.euro2008.db que o DNS secundário construiu por via da#transferencia do DNS primário

$ORIGIN .$TTL 86400 ; 1 day9.168.192.in-addr.arpa IN SOA pcg5109.euro2008.pt. root.pcg5109.euro2008.pt.(


hours)86400 ) ; Minimum (1 day)

IN NS pcg5109.euro2008.pt.$ORIGIN 9.168.192.in-addr.arpa1 PTR pcg5109.euro2008.pt.2 PTR master.euro2008.pt.3 PTR condor.euro2008.pt.

#ficheiro DMZ.euro2008.db que o DNS secundário construiu por via da#transferência do primário.

$ORIGIN .$TTL 86400 ; 1 day0.254.10.in-addr.arpa IN SOA pcg5109.euro2008.pt. root.pcg5109.euro2008.pt.(


hours)86400 ) ; Minimum (1 day)

IN NS pcg5109.euro2008.pt.$ORIGIN 0.254.10.in-addr.arpa.10 PTR dns2.euro2008.pt.2 PTR mail.euro2008.pt.3 PTR smtp.euro2008.pt.4 PTR www.euro2008.pt.9 PTR pcg5109.euro2008.pt.

http://www.euro2008.pt.


17

A imagem seguinte foi retirada de um cliente DHCP que foi ligado à redeinterna. Como tal, recebeu informação do servidor de DHCP e ficou registadono domínio. O que a imagem também permite observar é o pedido deresolução de vários nomes e a sua correcta resolução por parte do servidorde DNS primário.


18

Funcionalidades não cumpridas

Apesar dos bons resultados acima demonstrados, houve um aspecto dotrabalho que nao ficou a funcionar como devia. As DDNS (dynamic DNSupdates) não funcionaram. Ambos os servidores DNS primário e DHCPforam configurados para tal, contudo algo ficou a faltar para que estasactualizações fossem efectuadas com sucesso.

dhcpd.conf

ddns-update-style interim;ddns-updates on;ddns-domainname “euro2008.pt.”;ddns-rev-domainname “9.168.192.in-addr.arpa.”;


}


}

named.conf

zone "euro2008.pt" IN{type master;file "named.euro2008.db";update-policy { grant dhcp-dns subdomain euro2008.pt. A TXT;};

};

zone "9.168.192.in-addr.arpa" IN{type master;file "redeInterna.euro2008.db";update-policy { grant dhcp-dns subdomain 9.168.192.in-addr.arpa. PTR

TXT;};};

include "/etc/rndc.key";server 10.254.0.10{

keys {dns1-dns2;};};server 192.168.9.1{

keys {dhcp-dns;};};


19

O servidor de DHCP envia a informação correcta ao cliente DHCP, masdepois quando tenta registar o novo cliente no servidor de DNS primário,não o consegue fazer. A imagem seguinte retrata a situação.

O servidor de DHCP tenta efectuar a actualização à zona que o servidor deDNS primário tem , de forma a conter o registo do novo cliente DHCP.Contudo, na criação do ficheiro .jnl, diz que não tem permissões para tal e apartir daí falha. Este ficheiro .jnl é o ficheiro utilizado pelo mecanismo deDDNS para fazer os updates dinamicos. Tentou-se alterar as permissõesquer da pasta /var/named onde o ficheiro estava a ser criado mas semsucesso.


20

Conclusão

Este trabalho contribuiu em boa forma para a nossa familiarização com agestão de servidores DNS e DHCP em ambiente Unix. Ambos tínhamos jáalguma experiência na gestão destes servidores mas em Windows 2003Server. Adquirimos também bons conhecimentos sobre o funcionamento dosmecanismos de DDNS, Dynamic Updates, utilizando o protocolo TSIG. Nãoconseguimos que o mecanismo DDNS funcionasse em pleno, ficando com aideia de que, em termos de configurações do servidor de DHCP e servidor deDNS primário, ficámos muito próximo do que se pretendia. Foi um trabalhoenriquecedor e bastante interessante.


relatório do trabalho prático nº 1rnsilva/dns.pdf · relatório do trabalho prático nº 1 dns e...

Documents