[FUG-BR] DNS reverso ... ajuda
Ciro Cardoso de Meneses
cirodemeneses em gmail.com
Sexta Setembro 20 10:40:30 BRT 2013
blocos ip menores que /24 devem ser configurados de acordo com a RFC 2317,
entre em contato com o detentor do bloco /24 de veja como é feito a
configuração do reverso com ele. Para a embratel, veja abaixo:
"DNS Reverso Slave
Definição
O DNS Reverso é utilizado na autenticação dos
endereços IP's utilizados na Internet. Através de
um endereço IP o sistema deve retornar um nome
associado a esse endereço. Ao contrário do que
acontece numa pesquisa por nome, onde um nome
consultado retorna um endereço IP.
Como funciona?
A pesquisa percorre uma hierarquia idêntica à dos
domínios. Inicia-se nos root servers e segue até
encontrar o servidor que de fato contém a
informação consultada.
A facilidade
A Embratel oferece a configuração de um servidor
de DNS, para responder a consultas referentes a
uma zona reversa (associada a um bloco de IP's).
Esse servidor será configurado como "SLAVE", isto
é, ele terá a função de copiar a tabela de
informações sobre uma determinada zona.
Na alocação de um bloco de endereços para um
cliente, a Embratel realiza a DESIGNAÇÃO desse
bloco no Registro.br, que é a entidade gestora dos
blocos na Internet brasileira.
A designação associa o bloco ao cliente que pode
ser consultada através da ferramenta WHOIS por
qualquer usuário da grande rede.
Cliente tem o bloco designado à sua empresa
através do Registro.br. Com essa designação o ID
Técnico da entidade passa a poder efetuar algumas
atividades sobre o bloco.
Atualmente o cliente pode ter alocado para seu uso
blocos /26 (sub-redes de 64 endereços IP, com
máscara 255.255.255.192) ou blocos /24 (classe C
completa, com máscara 255.255.255.0 e 256
endereços). A configuração da zona reversa para
esses blocos tem diferenças e restrições definidas
na estrutura atual do DNS e descritas em RFC.s.
Abaixo faremos um detalhamento das duas
abordagens.
1 - Blocos /24
Neste caso o cliente DEVE realizar a DELEGAÇÃO.
Esta ação permite ao cliente definir quais os
servidores responderão àquela zona reversa, isto
é, quais servidores estarão configurados com as
informações dos IP.s desse bloco que estão sendo
utilizados.
2 - Blocos /26
Neste caso o cliente não pode realizar a
DELEGAÇÃO, pois não é permitida a delegação de
blocos menores que /24 (RFC 2317). Desta forma a
delegação será feita na configuração do bloco /24
que foi sub-dividido. Este bloco /24 é
administrado pela Embratel sendo então, de sua
responsabilidade a configuração.
Como solicitar a facilidade DNS Reverso Slave?
1.Configurar o seu servidor de DNS com a zona
reversa (veja abaixo em Dicas de configuração).
2.Ligar para o nosso centro de atendimento no
número 0800 701 0121.
3.Solicitar a facilidade DNS Reverso Slave.
4.O Atendente solicitará algumas informações de
identificação do cliente.
5.O Atendente executará o teste de XFER
(transferência de zona).
5.1.Se OK efetuará a solicitação da facilidade.
5.2.Se NÃO OK, o cliente deve corrigir a
configuração e fazer novamente o pedido.
6.FIM
Como configurar o reverso?
Os sistemas gerenciadores de DNS podem ser
divididos em dois grupos. Sistemas com interface
gráfica e sistemas baseados em arquivos texto de
configuração.
No primeiro grupo o gerenciador do Windows
predomina, enquanto o BIND tem a preferência da
maioria dos usuários de sistemas Linux/Unix.
Regra Geral
1.Adicionar a zona reversa.
Observe na tabela abaixo o formato da zona que
deve ser configurada, dependendo do bloco
associado.
Bloco
Zona
XXX.YYY.ZZZ.0/24
ZZZ.YYY.XXX.in-addr.arpa
XXX.YYY.ZZZ.0/26
0-63.ZZZ.YYY.XXX.in-addr.arpa
XXX.YYY.ZZZ.64/2
64-127.ZZZ.YYY.XXX.in-addr.arpa
XXX.YYY.ZZZ.128/26
128-191.ZZZ.YYY.XXX.in-addr.arpa
XXX.YYY.ZZZ.192/26
192-255.ZZZ.YYY.XXX.in-addr.arpa
Atenção na inversão dos octetos onde, XXX.YYY.ZZZ
no bloco se transformam em ZZZ.YYY.XXX na zona.
2.Adicionar os registros SOA, NS e PTR a essa zona
reversa
2.1.SOA . Este registro determina a forma de
funcionamento da zona, isto é, a comunicação do
servidor master com o servidor slave e o tempo que
a informação consultada vai permanecer no cache de
quem consultou.
a)Mail . admin at dom
<https://eng.registro.br/mailman/listinfo/masoch-l>ínio.net.br
<http://xn--nio-qma.net.br>
E-mail do administrador do DNS.
b)Serial . AAAAMMDDVV 2004052701
Número que identifica a versão da configuração.
c)Refresh - 1H
Frequência da consulta por novas atualizações no
servidor master.
d)Retry - 15M
Frequência das tentativas de comunicação com o
servidor master a partir de uma falha.
e)Expiry - 1W
Tempo máximo em que o servidor slave permanece com
o status Autoritatívo depois de uma falha de
comunicação com o master f)Minimum TTL - 20M Tempo
máximo de permanência no cache da informação dessa
zona consultada por um resolver.
2.2.NS
Este registro indica quais servidores respondem
com autoridade para esta zona reversa.
Adicione um registro NS para cada servidor que
responde com autoridade para esta zona reversa.
Neste caso como o DNS da Embratel vai estar
configurado como slave, deve existir um registro
NS apontando para o servidor NS.EMBRATEL.NET.BR
2.3.PTR
Este registro é responsável pela tradução do
endereço IP no respectivo hostname. Todas as
máquinas configuradas na rede do cliente, que
possuem endereços válidos (diferentes de
192.168.0.0 e 10.0.0.0) precisam ter um registro
PTR associando seu endereço IP ao respectivo
hostname.
Cada endereço IP utilizado precisa de somente um
registro PTR, mesmo que existam vários hostnames
associados a ele no domínio.
Na configuração do registro PTR na zona reversa
basta utilizar o último octeto do endereço IP para
referenciá-lo.
3. Permitir a trasnferência de zona
Na configuração da zona, deve existir a permissão
de transferência para o endereço IP
200.255.125.214.
Essa permissão deve estar prevista tanto no
gerenciador de DNS quanto em qualquer outro
dispositivo de segurança que faça filtro de
pacotes. Lembrando que o serviço de DNS utiliza a
porta 53( TCP para XFER e UDP para consultas).
Ex.: Temos o bloco 200.255.125.0/24 e queremos
configurar o reverso. Devemos então adicionar a
zona 125.255.200.in-addr.arpa.
Queremos agora configurar o IP 200.255.125.206
apontando para o hostname www.embratel.net.br
nessa zona. Usando somente o último octeto (206) e
o hostname (www.embratel.net.br) montaremos o
registro PTR.
Dicas de Configuração
Windows NT
O servidor de DNS nativo do Windows NT, quando
configurado atraves do DNS Manager (interface
grafica), gera registros de reverso associados a
blocos /24 (por limitacao do aplicativo da
Microsoft). Para evitar essa configuracao
"default" a criacao da ZONA REVERSA do bloco /26
deve ser feita "manualmente" (sem utilizar a
interface gráfica - DNS Manager).
1.Aplique o ultimo Microsoft Windows NT Service
Pack.
2.Execute um reboot quando solicitado.
3.Clique Start, selecione Programs, selecione
Administrative Tools e então clique DNS Manager.
4.No menu DNS, clique New Server, digite o
endereço IP ou nome do seu servidor DNS e então
clique OK.
5.Crie a zona reversa de uma sub-rede seguindo os
seguintes passos (para o caso, por exemplo, do
bloco IP XXX.YYY.ZZZ.0/26, IPs de XXX.YYY.ZZZ.0 `a
XXX.YYY.ZZZ.63):
a).Clique no seu servidor DNS e então clique New
Zone no menu DNS.
b).Selecione o botão de radio Primary na caixa de
dialogo Creating New Zone e então clique Next.
c).Digite o nome da zona descritiva do reverso na
caixa de texto Zone Name.
No caso deste exemplo:
0-63.ZZZ.YYY.XXX.in-addr.arpa
Em seguida pressione Tab
d).A caixa de texto Zone File devera ser
automaticamente populada com
0-63.ZZZ.YYY.XXX.in-addr.arpa.dns.
e).Clique Finish.
6.A seguir use um dos seguintes métodos para
iniciar o serviço DNS :
6.a Clique Start, selecione Settings, clique
Control Panel e então de um duplo clique no ícone
Services. Selecione "Microsoft DNS Server" na
lista de serviços e clique Stop.
6.b Digite o seguinte em uma linha de comando
(command prompt) e pressione Enter:
NET STOP DNS
7.Abra o arquivo de procura de zona reversa usando
um editor de texto. Agora é necessário criar os
registros PTR para cada endereço na faixa de
subrede delegada. Adicione um registro para cada
IP do bloco que estiver sendo usado.
1 PTR seu_host_1.seu_dominio.com.br.
2 PTR seu_host_2.seu_dominio.com.br.
3 PTR seu_host_3.seu_dominio.com.br.
...
63 PTR seu_host_63.seu_dominio.com.br.
8.Depois que os registros PTR forem criados, grave
e saia do editor.
9.Inicie novamente o serviço DNS usando um dos
seguintes métodos :
9.a - Clique Start, aponte para Settings, clique
Control Panel e então de um duplo clique no ícone
Services Selecione "Microsoft DNS Server" na
lista Service e clique Start
9.b - Digite o seguinte em uma linha de comando
(command prompt) e pressione Enter:
NET START DNS
A partir deste ponto a aplicação DNS estará ativa.
Windows (2000 . XP . 2003)
A interface é bem intuitiva e seguindo a Regra
Geral (descrita neste documento) a configuração
pode ser realizada sem problemas.
Atenção para a configuração do bloco /26, pois o
nome da zona reversa tem uma modificação.
Linux/Unix - Bind
Adicione ao arquivo named.conf a linha abaixo:
zone "<zona reversa>" {type master; file
"<nome do arquivo";};
Onde:
Zona reversa deve seguir o padrão mostrado na
tabela na seção 1 da Regra Geral.
Nome do arquivo deve conter os registros básicos
da zona como é descrito na seção 2 da Regra Geral.
----
Tenho um bloco /24 e solicitei a configuração na
Embratel do DNS Reverso Slave. Depois de
configurado e funcionando, há mais alguma coisa a
fazer?
Resposta.
SIM. O cliente deve visitar o site do Registro.br
e fazer a DELEGAÇÃO do bloco para os servidores
quer foram configurados e estão respondendo com
autoridade para a zona reversa.
Para quaisquer outros esclarecimentos, sugestões
ou dúvidas entre em contato com nosso centro de
atendimento ao cliente no número
0800 701 0121
"
Em 20 de setembro de 2013 07:29, Vinícius Zavam
<egypcio em googlemail.com>escreveu:
> 2013/9/19 Nilton Jose Rizzo <rizzo em i805.com.br>
>
> >
> > Pessoal ... não sei o que estou fazendo de errado mas o meu reverso
> > não está funcionando. o Bind sobe ok, mas o dig não retorna
> corretamente
> >
> > no named.conf
> > zone "106-105.97.BBB.AAA.IN-ADDR.ARPA" {
> > type master;
> > file "XXXX.com.br.rev";
> > };
> >
> >
> > no arquivo XXXX.com.br.rev
> >
> > $TTL 3600
> > @ IN SOA server.XXXX.com.br. root.server.XXXX.com.br. (
> > 2013091901 ; Serial
> > 3600 ; Refresh
> > 900 ; Retry
> > 3600000 ; Expire
> > 3600 ) ; Minimum
> >
> >
> > 106-105.97.BBB.AAA.in-addr.arpa. IN NS ns1.XXXX.com.br.
> > 106-105.97.BBB.AAA.in-addr.arpa. IN NS ns2.XXXX.com.br.
> >
> > ;$ORIGIN .97.BBB.AAA.in-addr.arpa.
> > 105 IN PTR mailhost.XXXX.com.br.
> > 105 IN PTR ns1.XXXX.com.br.
> > 106 IN PTR ns2.XXXX.com.br.
> > 105 IN PTR www.XXXX.com.br.
> > 105 IN PTR server.XXXX.com.br.
> >
> >
> eu, particularmente, adicionaria/utilizaria apenas um único reverso por IP.
> registros PTR não são como CNAME. outra coisa que alteraria era a $ORIGIN
> (sim, vim que está comentada); passaria a utilizá-la... por mania de
> organização, talvez.
>
> btw... PTR deve ser mapeado para um registro A existente; ou AAAA, para
> zonas do tipo ip6.arpa.
>
>
> >
> > Rodando o dig
> >
> > root em server:/etc/namedb # dig -x AAA.BBB.97.105 @ns1.XXXX.com.br
> >
> > ; <<>> DiG 9.8.4-P2 <<>> -x AAA.BBB.97.105 @ns1.XXXX.com.br
> > ;; global options: +cmd
> > ;; Got answer:
> > ;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 53826
> > ;; flags: qr rd ra; QUERY: 1, ANSWER: 2, AUTHORITY: 5, ADDITIONAL: 9
> >
> > ;; QUESTION SECTION:
> > ;105.97.BBB.AAA.in-addr.arpa. IN PTR
> >
> > ;; ANSWER SECTION:
> > 105.97.BBB.AAA.in-addr.arpa. 85989 IN CNAME
> > 105.64-26.97.BBB.AAA.in-addr.arpa.
> > 105.64-26.97.BBB.AAA.in-addr.arpa. 85989 IN PTR mailhost.XXXX.com.br.
> >
> > ;; AUTHORITY SECTION:
> > 97.BBB.AAA.in-addr.arpa. 85988 IN NS NS4.HE.NET.
> > 97.BBB.AAA.in-addr.arpa. 85988 IN NS NS3.HE.NET.
> > 97.BBB.AAA.in-addr.arpa. 85988 IN NS NS1.HE.NET.
> > 97.BBB.AAA.in-addr.arpa. 85988 IN NS NS2.HE.NET.
> > 97.BBB.AAA.in-addr.arpa. 85988 IN NS NS5.HE.NET.
> >
> > ;; ADDITIONAL SECTION:
> > NS1.HE.NET. 85988 IN A 216.218.130.2
> > NS2.HE.NET. 85988 IN A 216.218.131.2
> > NS2.HE.NET. 85988 IN AAAA 2001:470:200::2
> > NS3.HE.NET. 85988 IN A 216.218.132.2
> > NS3.HE.NET. 85988 IN AAAA 2001:470:300::2
> > NS4.HE.NET. 85988 IN A 216.66.1.2
> > NS4.HE.NET. 85988 IN AAAA 2001:470:400::2
> > NS5.HE.NET. 85988 IN A 216.66.80.18
> > NS5.HE.NET. 85988 IN AAAA 2001:470:500::2
> >
> > ;; Query time: 0 msec
> > ;; SERVER: AAA.BBB.97.105#53(AAA.BBB.97.105)
> > ;; WHEN: Thu Sep 19 22:47:46 2013
> > ;; MSG SIZE rcvd: 389
> >
> >
> esse teu servidor de nomes que responde pela zona reversa do /30 em questão
> está realmente sendo consultado? normalmente não vejo zonas tão pequenas;
> acredito que alguma delegação de /26 ou /24 "a sua frente" possa estar
> zicando o cenário que vc gostaria de ter.
>
> % dig +trace -x AAA.BBB.97.105
> % dig +trace -x AAA.BBB.97.105 @4.2.2.2
> % dig +trace -x AAA.BBB.97.105 @8.8.4.4
> % dig +trace -x AAA.BBB.97.105 @208.67.222.222
>
> saídas de `whois` para o bloco também devem/deveriam mostrar os ns
> utilizados. procure inetrev.
>
>
> >
> > O que estou fazendo de errado ... não consigo pensar em nada de útil ...
> > estou
> > achabdo
> > que é a configuração:dessa linha aquimas o provedor da maquina virtual
> > disse
> > que está
> > ok.
> >
> > Alguma luz no fim do tunel .. deve ser uma besteira mas se puderem me dar
> > uma mão
> > agradeceria de montão ....
> >
> >
> > Rizzo
> >
>
> salto tudo isso, não existe nenhuma acl ou filtro de query que possa estar
> a negar a resposta para a Internet? qual "dica" nos registros/log tu tens
> quando faz os testes?
>
>
> --
> Vinícius Zavam
> profiles.google.com/egypcio
> -------------------------
> Histórico: http://www.fug.com.br/historico/html/freebsd/
> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
>
--
_______________________________________________________________________________
Ciro Cardoso de Meneses
Analista de TI
(79) 9894-8250 (vivo)
(79) 9115-0561 (tim)
(79) 8151-1390 (claro)
(79) 8853-0017 (oi)
Mais detalhes sobre a lista de discussão freebsd