[root@fw ~] yum install caching-nameserver
Agora entre no script do firewall e libere o acesso da rede interna ao nosso servidor.
[root@fw ~]# vim /root/bin/firewall.sh
Abaixo da linha
iptables -A INPUT -p tcp --dport 22 -m state --state NEW -j ACCEPT
inclua
iptables -A INPUT -p udp --dport 53 -i $INT_IF -m state --state NEW -j ACCEPT
Salve, saia e recarregue o firewall
[root@fw ~]# firewall.sh
Edite o arquivo de configuração de cache do servidor de nomes para liberar as requisições vindas da rede interna.
[root@fw ~]# vim /etc/named.caching-nameserver.conf
Na linha onde tem
listen-on { 127.0.0.1; };
mude para
listen-on { 127.0.0.1; 192.168.0.1; };
Isto fará o nosso serviço esperar requisições na interface de rede 192.168.0.1, nossa rede interna.
Comente a linha listen-on-v6 colocando os caracteres // na frente desta.
Para liberar consultas vindas da rede interna mude as linhas
allow-query { localhost; };
allow-query-cache { localhost; };
allow-query-cache { localhost; };
para
allow-query { localhost; 192.168.0.0/24; };
allow-query-cache { localhost; 192.168.0.0/24; };
allow-query-cache { localhost; 192.168.0.0/24; };
Isto fará o serviço de nomes aceitar as requisições vindas da rede 192.168.0.0/24.
Vamos criar uma vista interna, onde definiremos as regras de como o servidor de cache de nomes irá se comportar.
Ao final do arquivo adicione as linhas abaixo.
view interna {
match-clients { 192.168.0.0/24; };
recursion yes;
include "/etc/named.rfc1912.zones";
};
match-clients { 192.168.0.0/24; };
recursion yes;
include "/etc/named.rfc1912.zones";
};
Isto permitira requisições vindas da rede interna, desde que os clientes sejam da rede 192.168.0.0/24.
Colocar um forwarders.
Uma opção interessante de ser colocada é fazer nosso servidor de nomes perguntar ao servidor de nomes mais próximo sobre nomes que não estejam no cache do nosso servidor.
Isto agilizará o tempo de resposta para nossas máquinas clientes.
Supondo que os servidores que estejam mais próximos sejam os servidores 10.2.0.1 e 10.2.0.3, colocamos a regra abaixo de allow-query-cache, a seguinte opção:
forwarders { 10.2.0.1; 10.2.0.3; };
Isto irá repassar todas as requisições que ainda não estejam em nosso cache para estess servidores.
Habilite para que o serviço de cache de nomes (named) inicie durante o boot.
[root@fw ~]# chkconfig named on
Toda vez que alterar o arquivo de configuração devemos recarregar o serviço named.
Podemos fazê-lo do seguinte modo:
/etc/init.d/named stop
/etc/init.d/named start
/etc/init.d/named start
Teste de Resolução de Nomes
Inicie uma máquina virtual que seja cliente deste nosso servidor, por exmplo uma máquina virtual com windows XP e IP 192.168.0.10 e servido de nomes o IP 192.168.0.1, e tente resolver o nome com o comando a seguir.
nslookup testescombr.blogspot.com
isto deve ter o serguinte retorno
Servidor: UnKnown
Address: 192.168.0.1
Não é resposta de autorização:
Nome: blogspot.l.google.com
Address: 64.233.163.191
Aliases: testescombr.blogspot.com
Address: 192.168.0.1
Não é resposta de autorização:
Nome: blogspot.l.google.com
Address: 64.233.163.191
Aliases: testescombr.blogspot.com
Aluno: Fernando Lucas
ResponderExcluirMarcos vlw ótimo material, só que tem algumas coisas que eu acho que está erradas.
na regra do firewall está como port 538, que seria dns "53"
Na ultima configuração do named ele não aceita clientes, tem que ser em ingles "clients"
que ficaria assim;
view interna {
match-clients { 192.168.0.0/24; };
};
Realmente ficou errado, obrigado, vou corrigir.
ResponderExcluirAluno: Agmar
ResponderExcluirMarcos, ótimo seu compartilhamento de conhecimento, esse passo a passo está muito claro, gostei muito... obrigado.
Aluno: Agmar
ResponderExcluirSobre o forwarders, no meu named.caching-nameserver.conf, fica desta forma?
allow-query { localhost; 192.168.0.0/24; };
allow-query-cache { localhost; 192.168.0.0/24; };
forwarders{ 200.187.175.1; 200.187.175.2; 200.225.197.37; 200.225.197.34; };
No caso de repasse de requisições dns, coloca-se em forwarders os IPs dos servidores de nomes disponíveis para sua rede.
ResponderExcluirNo seu caso se os servidores de nomes de seu provedor for 200.187.175.1 e 200.187.175.1, então deixe somente estes.
Os IPs 200.225.197.37 e 200.225.197.34 seriam para quem está na rede da CTBC.