DNS / BIND, algunas dudas
Tengo un servidor RedHat Linux 7.2 corriendo detrás de un router en multipuesto (NAT, hardware) y aparte de los servidores web / ftp / mail, me gustaría montar un DNS.
Leí el HOWTO de linuxdoc.org y conseguí crearme unas zonas y un archivo de configuración con mi dominio que funcionan localmente. El problema es que cuando le doy la dirección de mi servidor de nombres a mi registrador de dominios, me dice que no es válido.
Yo únicamente tengo para DNS redireccionado el puerto 53 (tcp y upd) desde el router. Pero además estas dos cosas me tienen en dudas sobre si debo abrir algún puerto más o si realmente es posible o no tener un servidor DNS detrás de un router:
1. (En los comentarios que venían orginalmente con mi named.conf):
/*
* If there is a firewall between you and nameservers you want
* to talk to, you might need to uncomment the query-source
* directive below. Previous versions of BIND always asked
* questions using port 53, but BIND 8.1 uses an unprivileged
* port by default.
*/
// query-source address * port 53;
Yo quité el comentario a esa línea.
2. (En el DNS HOWTO): Leí algo acerca de allow-query y allow-transfer pero realmente no sé exactamente para lo que sirven. Pero tengo en todas las zonas primarias "notify no;".
Un saludo, espero que me puedas ayudar porque he pedido ayuda en foros de todo el mundo y es impresionante los pocos expertos que hay sobre esto.
PD. ¿Se puede comprar el libro DNS & BIND en España -aunque sea en inglés-?
PD2. A mi también me gustan nadasurf y los planetas.
Leí el HOWTO de linuxdoc.org y conseguí crearme unas zonas y un archivo de configuración con mi dominio que funcionan localmente. El problema es que cuando le doy la dirección de mi servidor de nombres a mi registrador de dominios, me dice que no es válido.
Yo únicamente tengo para DNS redireccionado el puerto 53 (tcp y upd) desde el router. Pero además estas dos cosas me tienen en dudas sobre si debo abrir algún puerto más o si realmente es posible o no tener un servidor DNS detrás de un router:
1. (En los comentarios que venían orginalmente con mi named.conf):
/*
* If there is a firewall between you and nameservers you want
* to talk to, you might need to uncomment the query-source
* directive below. Previous versions of BIND always asked
* questions using port 53, but BIND 8.1 uses an unprivileged
* port by default.
*/
// query-source address * port 53;
Yo quité el comentario a esa línea.
2. (En el DNS HOWTO): Leí algo acerca de allow-query y allow-transfer pero realmente no sé exactamente para lo que sirven. Pero tengo en todas las zonas primarias "notify no;".
Un saludo, espero que me puedas ayudar porque he pedido ayuda en foros de todo el mundo y es impresionante los pocos expertos que hay sobre esto.
PD. ¿Se puede comprar el libro DNS & BIND en España -aunque sea en inglés-?
PD2. A mi también me gustan nadasurf y los planetas.
Respuesta de icesoft
1
Ante todo, perdona por haber tardado tanto en contestarte (he estado un poco desconectado).
Sobre los puntos que me indicas, sí, puedes tener un servidor DNS detrás de un router, de hecho, está así en prácticamente en todos los sitios, aunque también dispongan de un FW entre medias.
Ahora voy a comentarte algunas de las cosas que preguntas.
La línea comentada que tenías en el named. Conf configura el puerto por el que escuchará el servidor DNS, por lo que no viene mal descomentarla.
Sobre allow-query y allow-transfer, es necesario indicarlo, sobre todo, para cada zona.
Allow-query indica quién/quiénes pueden hacer "preguntas" a tu servidor DNS, es decir, si el DNS es público, podrías poner:
allow-query { any; };
Para que todos pudieran consultar tus zonas.
Allow-transfer indica quién/quiénes podrán obtener toda la información acerca de tus zonas; aquí debes tener cuidado, puesto que si pones 'any', podrían conocer TODO lo relacionado con tu zona. Idealmente, sólo deberías poner allow-transfer hacia los servidores secundarios (slave). Yo pondría:
allow-transfer { none; };
o, si tuviera hubiera servidores secundarios:
(Al ppio del named. Conf)
acl srvsec {
servidor1;
servidor2;
servidor3;
};
en tu zona:
allow-transfer { srvsec; };
Para dar permisos únicamente a los servidores secundarios.
Otra cosa que deberás probar es, si desde fuera de tu red, puedes hacer consultas DNS hacia tu servidor, mediante nslookup.
Ya me contarás cómo te ha ido y si te he resuelto dudas.
Un saludo,
iCesofT
Sobre los puntos que me indicas, sí, puedes tener un servidor DNS detrás de un router, de hecho, está así en prácticamente en todos los sitios, aunque también dispongan de un FW entre medias.
Ahora voy a comentarte algunas de las cosas que preguntas.
La línea comentada que tenías en el named. Conf configura el puerto por el que escuchará el servidor DNS, por lo que no viene mal descomentarla.
Sobre allow-query y allow-transfer, es necesario indicarlo, sobre todo, para cada zona.
Allow-query indica quién/quiénes pueden hacer "preguntas" a tu servidor DNS, es decir, si el DNS es público, podrías poner:
allow-query { any; };
Para que todos pudieran consultar tus zonas.
Allow-transfer indica quién/quiénes podrán obtener toda la información acerca de tus zonas; aquí debes tener cuidado, puesto que si pones 'any', podrían conocer TODO lo relacionado con tu zona. Idealmente, sólo deberías poner allow-transfer hacia los servidores secundarios (slave). Yo pondría:
allow-transfer { none; };
o, si tuviera hubiera servidores secundarios:
(Al ppio del named. Conf)
acl srvsec {
servidor1;
servidor2;
servidor3;
};
en tu zona:
allow-transfer { srvsec; };
Para dar permisos únicamente a los servidores secundarios.
Otra cosa que deberás probar es, si desde fuera de tu red, puedes hacer consultas DNS hacia tu servidor, mediante nslookup.
Ya me contarás cómo te ha ido y si te he resuelto dudas.
Un saludo,
iCesofT
Gracias. Por lo visto lo tenía bien configurado, porque podía hacerle peticiones DNS. Ahora, eso de allow-query y allow-transfer me ha quedado perfectamente claro.
También me han dicho que si mi registrador no me acepta mi servidor DNS es porque no lo tiene dado de alta en su base de datos de servidores DNS "auténticos".
PD. Ya voy controlando PHP :)
PD2. Icesoft, pasate por www.zonasiete.org dentro de un par de días más o menos (para que me lo redirijan a mi servidor) y me dices si te interesa o que.
Saludos
También me han dicho que si mi registrador no me acepta mi servidor DNS es porque no lo tiene dado de alta en su base de datos de servidores DNS "auténticos".
PD. Ya voy controlando PHP :)
PD2. Icesoft, pasate por www.zonasiete.org dentro de un par de días más o menos (para que me lo redirijan a mi servidor) y me dices si te interesa o que.
Saludos
2 respuestas más de otros expertos
Respuesta de nadasurf
1
A ver si te puedo solucionar algo aunque ya hace tiempo que no trasteo con eso.
En http://bulmalug.net/htdig-bin/htsearch?config=htdig&words=DNS hablan del mismo problema que tienes.
Sobre el notify no:
"The second thing is the notify no; line. It tells named not to notify its secondary (slave) servers when it has gotten a update to one of its zone files. In BIND 8 and later the named can notify the other servers listed in NS records in the zone file when a zone is updated. This is handy for ordinary use. But for private experiments with zones this feature should be off --- we don't want the experiment to pollute the Internet do we?"
DNS va por 53/udp/tcp así que tendría que estar abierto.
Sobre comprar libros:
http://www.cocodrilolibros.com
Algunas URLs:
http://www.arrakis.es/~mikaku/espanol/ISP-Spanish-HOWTO-27.htm
No sé, la verdad es que no te he solucionado nada, pero vaya, que en la primera dirección de arriba hablan de DNS y ADSL...
PD: Por último, recordarte que NS1 y NS2 no pueden ser la misma máquina. Hay sitios gratis como zoneedit.com que te pueden servir para el secundario, por ejemplo.
PD2: Buena música :-)
PD3: Si no te sale a ver si a vuelta de correo puedo decir algo mejor.
En http://bulmalug.net/htdig-bin/htsearch?config=htdig&words=DNS hablan del mismo problema que tienes.
Sobre el notify no:
"The second thing is the notify no; line. It tells named not to notify its secondary (slave) servers when it has gotten a update to one of its zone files. In BIND 8 and later the named can notify the other servers listed in NS records in the zone file when a zone is updated. This is handy for ordinary use. But for private experiments with zones this feature should be off --- we don't want the experiment to pollute the Internet do we?"
DNS va por 53/udp/tcp así que tendría que estar abierto.
Sobre comprar libros:
http://www.cocodrilolibros.com
Algunas URLs:
http://www.arrakis.es/~mikaku/espanol/ISP-Spanish-HOWTO-27.htm
No sé, la verdad es que no te he solucionado nada, pero vaya, que en la primera dirección de arriba hablan de DNS y ADSL...
PD: Por último, recordarte que NS1 y NS2 no pueden ser la misma máquina. Hay sitios gratis como zoneedit.com que te pueden servir para el secundario, por ejemplo.
PD2: Buena música :-)
PD3: Si no te sale a ver si a vuelta de correo puedo decir algo mejor.
La verdad es que no se me ocurre por dónde puede andar mi problema. En cualquier caso la rapidez de respuesat y la molestia se merecen una buena puntuación.
La página de libros muy buena
Pásate dentro de unos días por www.zonasiete.org (un par de días, creo) a ver si te apetece tomar parte.
Un saludo.
La página de libros muy buena
Pásate dentro de unos días por www.zonasiete.org (un par de días, creo) a ver si te apetece tomar parte.
Un saludo.
Respuesta de bankhacker
1
DNS no reconocido:
El problema seguramente está en que el registrador de dominios no tiene dado de alta en su base de datos la IP de tu DNS como DNS oficial. Esto es un error habitual al dar de lata un dominio en networksolutions.com, por ejemplo. Lo primero que debes hacer es rellenar el formulario de alta de servidor de DNS y que te lo admitan en su base de datos. Una vez hecho esto, podrás registrar todos los nombres de dominio que quieras en ese DNS.
El puerto 53 es el único que necesitas para dar servicio de DNS.
No creo que encuentres este libro en España, salvo quizá llamando por teléfono directamente a la sede de la editorial en España.
Suerte!
El problema seguramente está en que el registrador de dominios no tiene dado de alta en su base de datos la IP de tu DNS como DNS oficial. Esto es un error habitual al dar de lata un dominio en networksolutions.com, por ejemplo. Lo primero que debes hacer es rellenar el formulario de alta de servidor de DNS y que te lo admitan en su base de datos. Una vez hecho esto, podrás registrar todos los nombres de dominio que quieras en ese DNS.
El puerto 53 es el único que necesitas para dar servicio de DNS.
No creo que encuentres este libro en España, salvo quizá llamando por teléfono directamente a la sede de la editorial en España.
Suerte!
Según me han dicho, el servidor secundario y el primario de nombres no pueden ser la misma máquina, ¿cierto?
Solo eso, seguramente tengas razón en cuanto al DNS, porque de veras que no encuentro (y la gente que conozco que sabe BIND) ningún fallo a mi configuración.
Un saludo y muchas gracias.
PD. Me parece muy mal que un protocolo como el DNS (para mí es el más importante de todos) esté tan poco documentado.
Solo eso, seguramente tengas razón en cuanto al DNS, porque de veras que no encuentro (y la gente que conozco que sabe BIND) ningún fallo a mi configuración.
Un saludo y muchas gracias.
PD. Me parece muy mal que un protocolo como el DNS (para mí es el más importante de todos) esté tan poco documentado.
Sí, el DNS secundario debe ser otra IP distinta al primario.
Respecto a la documentación del DNS en Linux, no puedes quejarte, puesto que named es un producto de código abierto de alta tecnología, la mayor base de datos distribuida del mundo, y que funciona como la seda. Ya bastante han hecho sus creadores, programándolo, ¿no te parece?
El código abierto es así; de todos modos, puedes colaborar tú mismo y hacer una página web contando tu experiencia con el DNS. Seguro que a alguien le sirve de ayuda. Así es como funciona esto ...
Suerte!
Respecto a la documentación del DNS en Linux, no puedes quejarte, puesto que named es un producto de código abierto de alta tecnología, la mayor base de datos distribuida del mundo, y que funciona como la seda. Ya bastante han hecho sus creadores, programándolo, ¿no te parece?
El código abierto es así; de todos modos, puedes colaborar tú mismo y hacer una página web contando tu experiencia con el DNS. Seguro que a alguien le sirve de ayuda. Así es como funciona esto ...
Suerte!
La verdad es que tienes razón, BIND es una gran herramienta, y de veras que estás en lo cierto.
Esa web la tengo en marcha... es algo bastante bueno y tenemos muchas ganas los que somos, si te sobra tiempo para tu colaboración, o echarle un vistazo, es www.zonasiete.org (ahora está en un server indebido, lo mejor es que pases en un par de días, para que terminemos el desarrollo en PHP y sea funcional).
Bueno que muchísimas gracias por la ayuda.
Un saludo.
Esa web la tengo en marcha... es algo bastante bueno y tenemos muchas ganas los que somos, si te sobra tiempo para tu colaboración, o echarle un vistazo, es www.zonasiete.org (ahora está en un server indebido, lo mejor es que pases en un par de días, para que terminemos el desarrollo en PHP y sea funcional).
Bueno que muchísimas gracias por la ayuda.
Un saludo.