Ferramentas de Utilizador

Ferramentas de Site


Barra Lateral

Traduções para esta página?:
 


Servidor Debian 8 'Jessie'




pt:jessie:intranet:dns:cache

3.1.2 Cache DNS

Embora os endereços Internet tenham nomes “legíveis” (www.google.com), estes devem ser traduzidos para o endereço IP (213.129.232.18) do respetivo servidor. Essa conversão é efetuada realizando uma pesquisa no Sistema de Nomes de Domínios ou DNS (Domain Name System).

Uma cache DNS guarda localmente os resultados dessa pesquisa para utilização futura, evitando a repetição de pesquisas e aumentando drasticamente a velocidade de resposta.

Instalação

root@server:~# apt-get install bind9 bind9-doc dnsutils

Configuração

A configuração gerada durante a instalação é perfeitamente funcional sem qualquer alteração. No entanto, vamos personalizar a instalação em 2 aspetos principais: a que servidores é que o nosso vai pedir ajuda na resolução de nomes, caso não o consiga fazer localmente (forwarders) e alguns aspetos de segurança.

Como forwarders podemos optar por várias hipóteses: uma é utilizamos os servidores DNS do nosso fornecedor de acesso à Internet.

Outra possibilidade muito interessante é utilizar um dos diversos serviços públicos de DNS atualmente disponíveis, tais como:

Estes serviços alegam fornecer não só resoluções mais rápidas, mas também diversos serviços adicionais de segurança, tais como filtragem de endereços maliciosos, etc.

Neste caso, serão utilizados os servidores Gooogle (Google Public DNS). Por redundância, acrescentaremos também os servidores OpenDNS e o router ADSL.

Por segurança só serão aceites ligações recebidas pela interface local ou pela destinada à rede interna (listen-on { 127.0.0.1; 192.168.1.100; };). Também só serão respondidos os pedidos de resolução que partirem do próprio posto ou da rede interna (allow-query { 127.0.0.1; 192.168.1.0/24; };). Todos os outros serão ignorados, de modo a evitar eventuais utilizações abusivas do nosso servidor DNS por parte de terceiros.

A configuração é guardada no ficheiro /etc/bind/named.conf.options:

/etc/bind/named.conf.options
options {
        directory "/var/cache/bind";

        // If there is a firewall between you and nameservers you want
        // to talk to, you may need to fix the firewall to allow multiple
        // ports to talk.  See http://www.kb.cert.org/vuls/id/800113

        // If your ISP provided one or more IP addresses for stable
        // nameservers, you probably want to use them as forwarders.
        // Uncomment the following block, and insert the addresses replacing
        // the all-0's placeholder.

        forwarders {

                // Google Public DNS
                8.8.8.8;
                8.8.4.4;

                // OpenDNS servers
                208.67.222.222;
                208.67.220.220;

                // ADSL router
                192.168.1.1;
        };

        // Security options
        listen-on port 53 { 127.0.0.1; 192.168.1.100; };
        allow-query { 127.0.0.1; 192.168.1.0/24; };
        allow-recursion { 127.0.0.1; 192.168.1.0/24; };
        allow-transfer { none; };

        //========================================================================
        // If BIND logs error messages about the root key being expired,
        // you will need to update your keys.  See https://www.isc.org/bind-keys
        //========================================================================
        dnssec-validation auto;

        auth-nxdomain no;    # conform to RFC1035
        // listen-on-v6 { any; };
};

Verificar se o ficheiro de configuração foi corretamente editado:

root@server:~# named-checkconf

Actualizar o ficheiro /etc/resolv.conf para que a resolução de nomes passe a ser feita localmente:

/etc/resolv.conf
nameserver 127.0.0.1

Verificar também no ficheiro /etc/nsswitch.conf que a resolução de nomes passa também pelo serviço DNS:

/etc/nsswitch.conf
# [...]
hosts:	files dns
# [...]

Reiniciar o serviço DNS:

root@server:~# service bind9 restart

Verificação

Como verificação, basta procurar o endereço IP de qualquer sítio Internet. O servidor DNS deverá ser o nosso (127.0.0.1) e o ou os endereços IP do sítio deverão ser corretamente mostrados:

root@server:~# nslookup www.debian.org
Server:         127.0.0.1
Address:        127.0.0.1#53
 
Non-authoritative answer:
Name:   www.debian.org
Address: 5.153.231.4
Name:   www.debian.org
Address: 130.89.148.14

O processo inverso, ou seja, procurar o nome a partir do endereço IP também deverá funcionar:

root@server:~# nslookup 5.153.231.4
Server:         127.0.0.1
Address:        127.0.0.1#53
 
Non-authoritative answer:
4.231.153.5.in-addr.arpa        name = senfter.debian.org.
 
Authoritative answers can be found from:
.       nameserver = g.root-servers.net.
.       nameserver = a.root-servers.net.
.       nameserver = l.root-servers.net.
.       nameserver = j.root-servers.net.
.       nameserver = b.root-servers.net.
.       nameserver = k.root-servers.net.
.       nameserver = m.root-servers.net.
.       nameserver = f.root-servers.net.
.       nameserver = c.root-servers.net.
.       nameserver = d.root-servers.net.
.       nameserver = h.root-servers.net.
.       nameserver = e.root-servers.net.
.       nameserver = i.root-servers.net.

Configuração dos clientes

A configuração dos clientes consiste em indicar o endereço do nosso servidor (192.168.1.100) como o servidor DNS. Por redundância, iremos também acrescentar o endereço do nosso router de acesso à Internet (192.168.1.1)

Linux

No caso de sistemas Linux, editar o ficheiro /etc/resolv.conf e acrescentar ou substituir o nameserver com o endereço IP do nosso servidor DNS:

/etc/resolv.conf
# [...]
search home.lan
nameserver 192.168.1.100
nameserver 192.168.1.1
# [...]

Para que estas alterações se tornem permanentes, é necessário alterar também o ficheiro /etc/network/interfaces:

/etc/network/interfaces
# [...]
# The primary network interface
allow-hotplug eth0
iface eth0 inet static
        address 192.168.1.100
        netmask 255.255.255.0
        network 192.168.1.0
        broadcast 192.168.1.255
        gateway 192.168.1.1
        # dns-* options are implemented by the resolvconf package, if installed
        dns-nameservers 192.168.1.100 192.168.1.1
        dns-search home.lan
# [...]

Windows

Para sistemas Windows indicar, nas propriedades do protocolo Internet (TCP/IPv4)) da ligação de rede, o endereço do nosso servidor DNS (192.168.1.100) como sendo o servidor DNS preferido.

Configuração do servidor DNS no Microsoft Windows 7

A partir deste momento, a resolução de nomes passará a ser efetuada pelo nosso servidor de cache DNS.

Configuração automática de clientes

O servidor DNS também pode ser atribuído automaticamente aos clientes através do protocolo DHCP. Para tal, basta acrescentar a opção domain-name-servers com o ou os endereços dos servidores DNS ao ficheiro /etc/dhcp/dhcpd.conf do 3.2.2 Servidor DHCP:

/etc/dhcp/dhcpd.conf
# [...]
option domain-name-servers 192.168.1.100 192.168.1.1;
# [...]

Referências

pt/jessie/intranet/dns/cache.txt · Esta página foi modificada pela última vez em: 2016-05-02 20:26 por Fernando Ribeiro

Ferramentas de Página