9. configuracion dns
Transcription
9. configuracion dns
SERVIDOR DNS BIND CON SOPORTE PARA IPV6 CONFIGURACIÓN EN LINUX RED DE INVESTIGACIÓN DE TECNOLOGÍA AVANZADA [email protected] SERVIDOR DNS BIND SOBRE IPV6 1. IPV6 Y DNS El agotamiento del espacio de direcciones IPv4 no fue inesperado, por supuesto. La Internet Engineering Task Force (IETF) desarrolló IP versión 6 en la década de 1990 en gran parte a la espera de este día. Del mismo modo, el sistema de nombres de dominio se amplió para dar cabida a Direcciones IP más largas de IPv6 mediante la adición de nuevos tipos de registro, y las nuevas versiones de los servidores de nombres, incluyendo BIND, fueron lanzados para apoyar a los nuevos tipos de registro, así como el uso de IPv6 para el transporte de consultas y respuestas. 2. MAPEO INVERSO Y DIRECTO Claramente los registros DNS A, no se acomodan a las direcciones IPv6 de 128 bits; Los datos de un registro A corresponden a una dirección de 32 bit en formado de octetos con puntos. A la IETF se le ocurrió una simple solución a este problema, descrito en la RFC 1886. Un nuevo tipo de registro de direcciones, AAAA, para almacenar direcciones IPv6 de 128 bits, y un nuevo dominio IPv6 de traducción inversa fue introducido, ip6.int. Esta solución fue sencilla lo suficiente como para poner en práctica en BIND 4. Por desgracia, no todo el mundo le gustó está simple solución, por lo que se les ocurrió una mucho más complicada, la cual introdujo los nuevos registros A6 y DNAME y requirió una completa revisión del servidor BIND a implementar. Después de mucho debate en la IETF el nuevo esquema A6/DNAME no fue aprobado. Se trasladó el RFC que describe los registro A6 fuera de los estándares y paso a estado experimental, decayendo su uso en zonas de traducción inversa y trajo el viejo RFC 1886 devuelta. Por ahora, el registro AAAA es la manera de manejar el mapeo directo IPv6. El uso de ip6.int está en desuso, sobre todo por razones políticas, y ha sido reemplazado por ip6.arpa1. 1 Cricket Liu, (2011). DNS and BIND on IPv6 (1 Ed).USA: O´Really Media INC. 3. AAAA Y IPV6.ARPA El registro AAAA (pronunciado "quad A"), se describe en el RFC 1886, es un registro de dirección simple, con registro específico de datos que es cuatro veces más largo que un registro A, de ahí las cuatro letras del registro. El registro AAAA toma como datos de registro específico el formato textual de una dirección IPv6. Así, por ejemplo, se vería registros AAAA como sigue: ipv6-host IN AAAA 2001:db8:1:2:3:4:567:89ab Como se puede ver, es perfectamente aceptable utilizar contracciones en la dirección IPv6, incluida la eliminación de ceros a la izquierda en los cuartetos y reemplazar una o más cuartetos contiguos de ceros con ::. El RFC 1886 también estableció ip6.int, sustituido ahora por ip6.arpa, un nuevo espacio de nombres de resolución inversa para las direcciones ipv6. Cada nivel de subdominio bajo ip6.arpa representa cuatro bits de la dirección de 128 bits, codificados como un dígito hexadecimal en los datos de registro específico del registro AAAA. Los bits menos significativos aparecen en el extremo izquierdo del nombre de dominio. A diferencia del formato de las direcciones IPv6 en los registros AAAA, omitir los ceros iniciales no está permitido, así que siempre hay 32 dígitos hexadecimales y 32 niveles de subdominio en ip6.arpa, para un nombre de dominio correspondiente a una dirección IPv6 completa. El nombre de dominio que corresponde a la dirección en el ejemplo anterior es: b.a.9.8.7.6.5.0.4.0.0.0.3.0.0.0.2.0.0.0.1.0.0.0.8.b.d.0.1.0.0.2.ip6.arpa. Estos nombres de dominio tienen registros PTR adjuntos, así como los nombres de dominio bajo in-addr.arpa: b.a.9.8.7.6.5.0.4.0.0.0.3.0.0.0.2.0.0.0.1.0.0.0.0.8.b.d.1.0.0.2.ip6.arpa. IN PTR mash.ip6.movie.edu. 4. ADICIONANDO REGISTROS AAAA A ZONAS DE TRADUCCIÓN DIRECTA Los registros A y AAAA pueden coexistir lado a lado en cualquier zona directa. Así, por ejemplo, si el host tiene tanto una dirección IPv4 y una dirección IPv6 (comúnmente llamado un host "dualstack"), puede conectar tanto registros A como registros AAAA de su nombre de dominio: Suckerpunch IN IN A 192.249.249.111 AAAA 2001:db8:cafe:f9::d3 5. ZONAS DE RESOLUCION INVERSA IPV6 Una subred IPv6 /64 le corresponde una zona de resolución inversa con 18 elementos separados por puntos, cada uno de los números hexadecimales de la dirección y las palabras ip6 y arpa, con el formato que se había explicado anteriormente. Así para la subred 2001:db8:cafe:f9::/64, que llevamos de ejemplo, le corresponde la zona de resolución inversa 9.f.0.0.e.f.a.c.8.b.d.0.1.0.0.2.ip6.arpa. Así como en las zonas de resolución inversa de IPv4, las zonas de resolución inversa de IPv6, contienen principalmente registros PTR, y como en cualquier zona deben contener un registro SOA y uno o más registros NS. El comienzo en el archivo de configuración de una de estas zonas es como se muestra a continuación: $TTL 1d @ IN SOA terminator.movie.edu. 2011030800 ; Serial number 1h ; Refresh (1 hour) 15m ; Retry (15 minutes) 30d ; Expire (30 days) 10m ) ; Negative-caching TTL (10 minutes) IN NS terminator.movie.edu. IN NS wormhole.movie.edu. 3.d.0.0.0.0.0.0.0.0.0.0.0.0.0.0 PTR 4.d.0.0.0.0.0.0.0.0.0.0.0.0.0.0 PTR hostmaster.movie.edu. ( suckerpunch.v6.movie.edu. super8.v6.movie.edu. Aquí se espera que la mayoría de los host utilicen actualización dinámica para registrar sus propios registros AAAA y PTR. Si se van a añadir muchos registros PTR a una zona de resolución inversa IPv6, es una buena idea usar la sentencia de control $ORIGIN. Por ejemplo se podrían escribir los dos últimos registros PTR como: $ORIGIN 3.d PTR 4.d PTR 0.0.0.0.0.0.0.0.0.0.0.0.0.0.9.f.0.0.e.f.a.c.8.b.d.0.1.0.0.2.ip6.arpa. suckerpunch.v6.movie.edu. super8.v6.movie.edu. La zona se debe añadir en el archivo named.conf.local, para configurar un servidor de nombres primario para una zona de resolución inversa se debe hacer como se muestra a continuación: Zone Type File }; "9.f.0.0.e.f.a.c.8.b.d.0.1.0.0.2.ip6.arpa" { master; "db.2001:db8:cafe:f9"; 6. CONFIGURACION SERVIDOR DNS BIND EN LINUX 6.1 Instalación Instalar el servidor BIND9 con el comando (debían/Ubuntu): apt-get install bind9 La ruta /etc/bind/ contiene los archivos de configuración del servidor. 6.2 Creación de los archivos de configuración para la resolución directa e inversa Se crean los siguientes archivos. Los nombres son libres de escoger. db.midominio.co rev.2001:db8:0:: 6.3 Edicion de forwarders En el archivo named.conf.options se editan los forwarder que son los servidores a los que acudirá el servidor para las consultas de nombres o direcciones que no estén en su dominio. forwarders { 2001:4860:4860::8888; 2001:4860:4860::8844; }; 6.4 Edición del archivo named.conf.local En el archivo de configuración named.conf.local se agregan las zonas de resolución directa e inversa que se van a trabajar. A continuación se muestra una zona de resolución directa con dominio midominio.co, donde se configura en tipo de servidor maestro y se indica la ruta del archivo de configuración para esta zona. zone "midominio.co" { type master; file "/etc/bind/db.midominio.co"; }; Igualmente en este archivo se configura la zona de resolución inversa: zone "0.0.0.0.8.b.d.0.1.0.0.2.ip6.arpa" { type master; file "/etc/bind/rev.2001:db8:0::"; }; 6.5 Ingreso de los registros AAAA en el archivo de configuración db.midominio.co $TTL 86400 @ IN 1 1h 15m 30d 10m ) @ @ IN IN SOA NS AAAA midominio.co. root.midominio.co. ( ; Serial number ; Refresh (1 hour) ; Retry (15 minutes) ; Expire (30 days) ; Negative-caching TTL (10 minutes) midominio.co. ::1 gateway IN AAAA 2001:db8::1 firewall IN AAAA 2001:db8:0:1::1 Para crear el contenido de este archivo se toma como referencia el archivo db.empty que se encuentra en la ruta de configuración del servidor. 6.6 Ingreso de los registros PTR en el archivo rev.2001:db8:0:: para la resolución inversa IPv6 $TTL 86400 @ IN 1 1h 15m 30d 10m ) @ @ IN IN SOA midominio.co. root.midominio.co. ( ; Serial number ; Refresh (1 hour) ; Retry (15 minutes) ; Expire (30 days) ; Negative-caching TTL (10 minutes) NS AAAA midominio.co. ::1 2.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0 IN PTR www.midominio.co. 1.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.8.b.d.0.1.0.0.2.ip6.arpa. IN PTR server.midoninio.co. Como se puede observar los registros PTR se pueden ingresar de varias maneras. La zona de resolución inversa está definida como "0.0.0.0.8.b.d.0.1.0.0.2.ip6.arpa" que equivale a los primeros 12 dígitos hexadecimales de dirección IPv6. El primer registro PTR completa los siguientes 20 dígitos y el segundo registro PTR define la resolución inversa completa mediante ip6.arpa. Para crear el contenido de este archivo se toma como referencia el archivo db.empty que se encuentra en la ruta de configuración del servidor. 6.7 Iniciar el servidor Para arrancar el servidor se utiliza el siguiente comando: /etc/init.d/bind9 restart