PDF de programación - DNS/BIND

DNS/BIND

Ivan E. Moore II.
[email protected]

3 de febrero de 2000

Versión 1.0, 24/10/2000, JEV
Versión 1.1, 07/01/2001, MAV

Resumen

Esta es la traducción al español del capítulo 8 sobre DNS/BIND del Manual Debian de
Administración de Redes (http://www.debian.org/doc/manuals/network-administrator/). La
traducción al español ha sido realizada por David Charro Ripa <[email protected]>.

(Este artículo ha sido producido por La Espiral y su versión mas reciente se puede encontrar en
http://www.laespiral.org1)

1

Introducción

Bienvenido. El propósito de esta sección es ayudar a configurar BIND en Debian. El documento
empezará desde cero y le llevará a un sistema BIND completo y que funcione realmente. Tal y
como pidieron algunas personas, he incluido instrucciones sobre cómo configurar un Dominio
DNS desde un punto de vista tanto de Servidor Primario como de Servidor Secundario.

Además me he centrado sólo en BIND 8.x, ya que es la versión actual utilizada por Debian y

es mucho mejor usarla. Si está usando BIND 4.x, le recomendaría actualizarse.

Por favor, tenga en cuenta que la mayoría de la gente no necesita tener BIND instalado en su
sistema. De hecho solo los servidores lo necesitan realmente. De vez en cuando surgen ataques

1

Copyright 1998-2000 Ivan E. Moore II. Este manual es software libre. Puede redistribuirlo y/o modificarlo
bajo los términos de la Licencia Pública General de GNU según es publicada por la Free Software Foundation
(http://www.fsf.org), bien de la versión 2 de dicha Licencia o bien (según su elección) de cualquier versión poste-
rior.

Este manual se distribuye con la esperanza de que sea útil, pero SIN NINGUNA GARANTÍA, incluso sin la garantía
MERCANTIL implícita o sin garantizar la CONVENIENCIA PARA UN PROP ÓSITO PARTICULAR. Véase la Li-
cencia Pública General de GNU para más detalles.

Debería haber recibido una copia de la Licencia Pública General junto con este manual. Si no ha sido así, escriba
a la Free Software Foundation, Inc., en 675 Mass Ave, Cambridge, MA 02139, EEUU. Añada también información
sobre cómo contactar con usted mediante correo electrónico y postal.

La Espiral - DNS/BIND

2

(“exploits”) que cualquiera puede hacer, desde ataques por denegación de servicio a verdaderas
situaciones comprometedoras para el root. La mayoría de los servidores DNS están incorrecta-
mente configurados y acaban en estas situaciones. Si está configurando un sistema doméstico, no
necesitará tener instalado BIND. Por favor, piénselo antes de seguir.

NOTA: La versión 8.2.1 de BIND y posteriores tiene una presentación diferente. Todos los
ficheros de configuración relacionados con BIND están ahora en /etc/bind. Estos incluyen
los ficheros de zona.

Por favor, lea 8 para una ayuda avanzada de BIND.

2 Conseguir los ficheros necesarios

Antes de nada, necesitará instalar los ficheros apropiados. Vaya al dselect e instale los siguientes
ficheros:

Ficheros necesarios:
bind
dnsutils
Ficheros opcionales:
bind-doc
bind-dev
dns-browse
libnet-dns-perl
nslint
dhcp-dns
dnscvsutil
Si usa apt-get, entonces basta con ejecutar este comando:

apt-get install bind bind-doc dnsutils

3 Configurar BIND

3.1 bindconfig

Si ya ha instalado BIND y ha contestado a las preguntas durante la instalación, puede reconfig-
urar el sistema BIND básico tecleando bindconfig. Este programa configura sólo las opciones
genéricas básicas. bindconfig es lo que ejecuta dpkg cuando instala BIND, de modo que lo que
vamos a explicar es exactamente lo que se encontrará cuando instale BIND la primera vez. Así es
como aparece.

Este programa no existe en las versiones de BIND 8.2.1 y posteriores. Debería reaparecer de

nuevo en cualquier momento, pero por ahora ignore estos pasos si usa dichas versiones.

3.1.1 Paso 1

(Ignore este paso si es la primera instalación con dselect o con apt-get)

3.1 bindconfig

3

snowcrash:/var/named# bindconfig

It appears that you already have an /etc/named.conf file, suggesting
that you have already configured BIND version 8.X at least once.
If
you proceed, a copy of this file will be saved, but no customizations
that you have made to it will be included in the new configuration.

If this means nothing to you, go ahead and proceed with the remainder
of the configuration process. If you have customized /etc/named.conf,
you probably want to stop now to preserve your customizations.

Proceed to configure BIND, ignoring existing /etc/named.conf? [N]

3.1.2 Paso 2

BIND Configuration
------------------
By answering the following questions, you can configure BIND for your system.
If your system has already been configured, the default values will allow you
to verify your existing configuration.

Press [ENTER]

3.1.3 Paso 3

Forwarder Hosts
---------------
If you are close to a well-connected host or set of hosts which accept
recursive DNS queries, it would be to your advantage to use them as forwarders
in order to reduce traffic over links to outside servers.

Your DNS server will send all queries not in its cache to the forwarders
first. Each forwarder will be asked in turn until an answer is returned or the
list is exhausted. If no answer is forthcoming from a forwarder, the server
will continue as it would have without the forwarders.

To answer this question, separate each address with a space, or answer ‘none’
to eliminate all forwarder hosts.

Forwarder IP addresses? []

Esta opción le permite redirigir cualquier petición DNS a otro servidor DNS. La razón por la
que pudiera querer hacer esto es que se encontrara al otro lado de un cortafuegos y no pudiera
alcanzar la red exterior directamente. Puede apuntar su servidor para que todas sus búsquedas las
haga desde servidores dentro de su red que puedan acceder a la red exterior.

3.2 resolv.conf

3.1.4 Paso 4

4

Localhost Entries
-----------------
With this option, BIND will contain entries for the ‘localhost’ pseudo-host
and its reverse mapping (127.0.0.1). This is recommended.

Enable localhost entries? [Y]

Usted necesita esto. Le permite asociaciones (“mappings”) hacia y desde su servidor local

que es 127.0.0.1.

3.1.5 Paso 5

Configuration Complete
----------------------
Advanced configuration, such as sortlists, xfrnets, limits, and other options
can be accomplished by manually editing the /var/named/boot.options
configuration file and reloading your nameserver. You may wish to refer to
the named(8) man page or review the documentation in /usr/doc/net/named to
assist in further customization.

This automatic configuration does not manipulate zone files; you should ensure
the proper boot entries are made in /var/named/boot.zones for each primary and
secondary zone you are serving. If you leave this file empty, your server will
act conveniently as a caching-only name server.

Saving old /var/named/boot.options to /var/named/boot.options.old ...
Reading boot.zones ...
Reading boot.options ...
Rotated ‘/etc/named.conf’ at Mon Dec
Reload named now with the new configuration? [Y]

7 06:34:58 EST 1998.

Toda su configuración básica ya está completa. Siga adelante y diga sí (“yes”) aquí para que

se reinicie BIND.

3.2 resolv.conf

/etc/resolv.conf es el fichero que busca Linux para saber cómo debería realizar las búsquedas
DNS. El formato es como sigue:

domain sudominio.com
search sudominio.com otrosdominios.com
nameserver 192.168.100.1
nameserver 127.0.0.1

La Espiral - DNS/BIND

5

La primera línea le dice en qué dominio está. Se puede omitir si quiere, pero recomendaría su
uso. La segunda es un patrón de búsqueda. También puede omitirse, pero también recomendaría
su utilización. Sin ella no podría buscar el nombre de una máquina sin tener que escribir su
nombre de dominio completamente calificado, p.e. no podría buscar “beavis”. Debería buscar
“beavis.otrodominio.com” (a menos que lo haya especificado en su fichero /etc/hosts).

Las líneas “nameserver” le dicen un orden de búsqueda de servidores DNS. Ya que estamos
configurando BIND en su sistema, necesitará cambiar este fichero. Querrá que se parezca más al
siguiente:

domain sudominio.com
search sudominio.com
nameserver 127.0.0.1
nameserver x.x.x.x

Reemplace “sudominio.com” con cualquier dominio que esté usando y sustituya la “x.x.x.x”
con un servidor DNS de respaldo que pueda usar. (De este modo, si falla el suyo, aún podrá
realizar búsquedas).

Guarde este fichero, y debería haberlo conseguido. Lo que esto le ofrece es la capacidad para

buscar información DNS en Internet.

Por favor, diríjase a 5 para informarse sobre cómo preparar un Dominio DNS que funcione.

4 Configuración avanzada

4.1 named.conf

named.conf es el lugar donde le dice a BIND qué, dónde y cómo. Se trata del fichero de
configuración principal de BIND. Antes de BIND 8.x este fichero se llamaba named.boot.
Más abajo está el fichero named.conf que se crea tras la primera instalación de BIND.

// generated by named-bootconf.pl

options {

directory "/var/named";
/*

* If there is a firewall between you and nameservers you want
* to talk to, you might need to uncomment the query-source
* directive below. Previous versions of BIND always asked
* questions using port 53, but BIND 8.1 uses an unprivileged
* port by default.
*/

// query-source address * port 53;

};

//
// Boot file for name server

4.1 named.conf

//
// type
zone "." {

domain

source

file

type hint;
file "named.root";

};

6

// Zone boot information and daemon options are kept in other files
// (autoincluded from boot.zones)
//
// Name server zone boot file
// See named(8) for syntax and further information
//
// type
// (autoincluded from boot.options)
//
// Options for name server
// Use ‘bindconfig’ to automatically configure this file
//
// type
zone "localhost" {

domain

domain

source

file

source

file

type master;
file "named.local";

};

zone "127.in-addr.arpa" {

type master;
file "named.rev-local";

};

// Custom configurations below (will be preserved