Ferramentas de Usuário

Ferramentas de Site


Action disabled: source
pt:wheezy:intranet:dns:cache

Página desactualizada Esta página contém uma versão anterior deste guia que pode estar desatualizada. Para a consultar a versão mais recente clique aqui.

3.1.2 Cache DNS

Objetivo

Embora os endereços Internet tenham nomes “legíveis” (www.google.com), estes devem ser traduzidos para o endereço IP (213.129.232.18) do respetivo servidor. Essa conversão é efetuada realizando uma pesquisa no Sistema de Nomes de Domínios ou DNS (Domain Name System).

Uma cache DNS guarda localmente os resultados dessa pesquisa para utilização futura, evitando a repetição de pesquisas e aumentando drasticamente a velocidade de resposta.

Instalação

root@server:~# aptitude install bind9 bind9-doc dnsutils

Configuração

A configuração gerada durante a instalação é perfeitamente funcional sem qualquer alteração. No entanto, vamos personalizar a instalação em 2 aspetos principais: a que servidores é que o nosso vai pedir ajuda na resolução de nomes, caso não o consiga fazer localmente (forwarders) e alguns aspetos de segurança.

Como forwarders podemos optar por várias hipóteses: uma é utilizamos os servidores DNS do nosso fornecedor de acesso à Internet.

Outra possibilidade muito interessante é utilizar um dos diversos serviços públicos de DNS atualmente disponíveis, tais como:

Estes serviços alegam fornecer não só resoluções mais rápidas, mas também diversos serviços adicionais de segurança, tais como filtragem de endereços maliciosos, etc.

Neste caso, serão utilizados os servidores OpenDNS (http://www.opendns.com). Por redundância, acrescentar também o do router ADSL.

Por segurança só serão aceites ligações recebidas pela interface local ou pela destinada à rede interna (listen-on { 127.0.0.1; 192.168.1.100; };). Também só serão respondidos os pedidos de resolução que partirem do próprio posto ou da rede interna (allow-query { 127.0.0.1; 192.168.1.0/24; };). Todos os outros serão ignorados, de modo a evitar eventuais utilizações abusivas do nosso servidor DNS por parte de terceiros.

A configuração é guardada no ficheiro /etc/bind/named.conf.options:

/etc/bind/named.conf.options
options {
        directory "/var/cache/bind";

        // If there is a firewall between you and nameservers you want
        // to talk to, you may need to fix the firewall to allow multiple
        // ports to talk.  See http://www.kb.cert.org/vuls/id/800113

        // If your ISP provided one or more IP addresses for stable
        // nameservers, you probably want to use them as forwarders.
        // Uncomment the following block, and insert the addresses replacing
        // the all-0's placeholder.

        forwarders {
             // OpenDNS servers
             208.67.222.222;
             208.67.220.220;
             // ADSL router
             192.168.1.1;
        };

        // Security options
        listen-on port 53 { 127.0.0.1; 192.168.1.100; };
        allow-query { 127.0.0.1; 192.168.1.0/24; };
        allow-recursion { 127.0.0.1; 192.168.1.0/24; };
        allow-transfer { none; };

        //========================================================================
        // If BIND logs error messages about the root key being expired,
        // you will need to update your keys.  See https://www.isc.org/bind-keys
        //========================================================================
        dnssec-validation auto;

        auth-nxdomain no;    # conform to RFC1035
        // listen-on-v6 { any; };
};

Verificar se o ficheiro de configuração foi corretamente editado:

root@server:~# named-checkconf

Actualizar o ficheiro /etc/resolv.conf para que a resolução de nomes passe a ser feita localmente:

/etc/resolv.conf
nameserver 127.0.0.1

Verificar também no ficheiro /etc/nsswitch.conf que a resolução de nomes passa também pelo serviço DNS:

/etc/nsswitch.conf
# [...]
hosts:	files dns
# [...]

Reiniciar o serviço DNS:

root@server:~#  /etc/init.d/bind9 restart

Verificação

Como verificação, basta procurar o endereço IP de qualquer sítio Internet. O servidor DNS deverá ser o nosso (127.0.0.1) e o ou os endereços IP do sítio deverão ser corretamente mostrados:

root@server:~# nslookup www.debian.org
Server:         127.0.0.1
Address:        127.0.0.1#53

Non-authoritative answer:
Name:   www.debian.org
Address: 5.153.231.4
Name:   www.debian.org
Address: 130.89.148.14

O processo inverso, ou seja, procurar o nome a partir do endereço IP também deverá funcionar:

root@server:~# nslookup 5.153.231.4
Server:         127.0.0.1
Address:        127.0.0.1#53

Non-authoritative answer:
4.231.153.5.in-addr.arpa        name = senfter.debian.org.

Authoritative answers can be found from:
5.in-addr.arpa  nameserver = pri.authdns.ripe.net.
5.in-addr.arpa  nameserver = sec1.apnic.net.
5.in-addr.arpa  nameserver = sec3.apnic.net.
5.in-addr.arpa  nameserver = sns-pb.isc.org.
5.in-addr.arpa  nameserver = tinnie.arin.net.
5.in-addr.arpa  nameserver = ns3.nic.fr.

Configuração dos clientes

Linux

No caso de sistemas Linux, editar o ficheiro /etc/resolv.conf e acrescentar ou substituir o nameserver com o endereço IP do nosso servidor:

/etc/resolv.conf
# [...]
nameserver 192.168.1.100
# [...]

Windows

Para sistemas Windows indicar, nas propriedades do protocolo Internet (TCP/IPv4)) da ligação de rede, o endereço do nosso servidor DNS (192.168.1.100) como sendo o servidor DNS preferido.

Configuração do servidor DNS no Microsoft Windows 7

A partir deste momento, a resolução de nomes passará a ser efetuada pelo nosso servidor de cache DNS.

Configuração automática de clientes

O servidor DNS também pode ser atribuído automaticamente aos clientes através do protocolo DHCP. Para tal, basta acrescentar a opção domain-name-servers com o ou os endereços dos servidores DNS ao ficheiro /etc/dhcp/dhcpd.conf do servidor DHCP:

/etc/dhcp/dhcpd.conf
# [...]
option domain-name-servers 192.168.1.100;
# [...]

Referências

pt/wheezy/intranet/dns/cache.txt · Última modificação em: 2024-02-15 01:05 por 127.0.0.1