Syshelp: parcijalne reverzne domene u DNS-u

pročitaj cijeli članak      Nedjelja, 27. Travanj 2008. 21:46

Svi znamo je IP adresni prostor ograničen, i u našoj mreži sve više institucija dobiva samo pola, četvrtinu ili čak manji dio standardno dodijeljenih 256 adresa. Ovo je razumno, jer nije potrebno da svaki PC korisnika bude direktno dostupan s Interneta, dapače, povećava se sigurnost ukoliko upotrijebimo neku od NAT tehnika. Uz uporabu vatrozida (ili drugog specijaliziranog mrežnog uređaja), broj potrebitih IP adresa se smanjuje na svega nekoliko, uglavnom za poslužitelje (web, mail i slično), koji moraju biti dostupni na Internetu. Problem nastaje kod reverznog DNS-a (rDNS, pretvaranje IP adrese u ime računala), jer u početku nije bilo predviđeno da se reverzne zone autoritativnosti dijele na manje dijelove. Reverzni DNS je dosta bitan, jer će mnogi mail i SSH poslužitelji i servisi odbiti mail sa poslužitelja koji nema reverzni DNS zapis. No, postoje načini za rješavanje ovog problema. Jedan način je da postoji samo jedan autoritativni poslužitelj za reverznu zonu, koji će opsluživati sve segmente te zone. Kako segmenti obično bivaju dodijeljeni drugim institucijama, ovaj pristup nije osobito fleksibilan, jer to znači da ćete morati prepustiti brigu o vašem segmentu nekome drugome (a to uključuje i dodavanje i brisanje hostova iz zonskih datoteka). U suprotnom slučaju, vi ćete se morati brinuti o tuđim zapisima. Drugi način rješavanja ovog problema, koji ćemo ovdje opisati, je uporaba CIDR notacije (Classless Inter-Domain Routing) u zonskim datotekema. Pretpostavimo da imate dodijeljen segment 193.198.XXX.0 do 193.198.XXX.64. CIDR notacija za ovaj segment je 193.198.XXX.0/26 (kako si olakšati izračun, pogledajte u članku http://sistemac.carnet.hr/node/330). Ostala tri segmenta su 193.198.XXX.64/26, 193.198.XXX.128/26 i 193.198.XXX.192/26. Pretpostavimo da imate domenu (zonu odgovornosti) "institucija.hr". S forward DNS rezolucijom nemamo problema, jer zonu "institucija.hr" najčešće ne dijelimo s nijednom drugom institucijom. Reverznu zonu, u ovom slučaju, dijelimo s drugim institucijama. Iz tog razloga ćemo podijeliti reverznu zonu, i umjesto: zone "XXX.198.198.in-addr.arpa" ...pišemo zone "0/26.XXX.198.193.in-addr.arpa" ...Ovime smo rekli "odgovoran sam za reverzni DNS za adrese 193.198.XXX.0 do 193.198.XXX.63". Uvijek se možete poslužiti naredbom ipcalc za izračun točnih vrijednosti, jer adresni prostor može biti bilo koji segment mreže, npr. 193.198.XXX.192 do 193.198.XXX.255 (što pišemo kao 193.198.XXX.192/26, odnosno zona je 192/26.XXX.198.193.in-addr.arpa). Postupak je dalje jednostavan i možemo ga prikazati u svega nekoliko točaka: 1. U datoteci /etc/bind/named.conf.local reverzna zona treba biti konfigurirana ovako: zone "0/26.XXX.198.193.in-addr.arpa" in { type master; file "/etc/bind/193.198.XXX.institucija.rev"; allow-transfer { 161.53.XXX.YYY; // dosadasnji sekundardni DNS poslužitelji 193.198.XXX.YYY; // neki drugi sekundarni DNS - neobavezno }; allow-query { any; };};Ime datoteke nije bitno, sve dok vam je iz samog imena jasno sto se u njoj nalazi, jer vaš DNS poslužitelj može biti odgovoran za više segmenata, dakle dolazi u obzir i oblik "193.198.XXX.0-26.institucija.rev" ili kraće "institucija.0-26.rev". 2. u datoteku s reverznim zapisima /etc/bind/193.198.XXX.institucija.rev upišite slijedeće: $TTL 14400@ IN SOA dns.institucija.hr. hostmaster.institucija.hr. ( 2008050101 ; Serial (yyyymmddxx) 10800 ; Refresh 3600 ; Retry 2419200 ; Expire 14400) ; Minimum@ NS dns.institucija.hr.@ NS postojeci.sekundarni.server.1 PTR prvihost.institucija.hr. // ovdje upišite ostale hostove iz vaše zone62 PTR zadnjihost.institucija.hr. Imena hostova su manje-više proizvoljna, i ne moraju biti u obliku "dns.institucija.hr", već može ostati i stari naziv (primjerice, "knjiga.institucija.hr"). Imena hostova u PTR zapisima možete skratiti i pisati samo "prvihost" umjesto "prvihost.institucija.hr.". Točka na kraju je obavezna ukoliko rabite dulji oblik (inače ćete dobiti imena poput "prvihost.institucija.hr.institucija.hr"!). 3. Treba restartati BIND, odnosno natjerati ga da prihvati novu konfiguraciju: # rndc reload4. Također, treba provjeriti radi li sustav kako bi trebao: # host -t any 0/26.XXX.198.193.in-addr.arpa dns.institucija.hrZnak da je sve u redu bi trebao biti ispis poput ovog: # host -t any 0/26.XXX.198.193.in-addr.arpa dns.institucija.hrUsing domain server:Name: dns.institucija.hrAddress: 193.198.XXX.3#53Aliases:0/26.XXX.198.193.in-addr.arpa SOA dns.institucija.hr. hostmaster.institucija.hr. 2008050101 10800 3600 2419200 144000/26.XXX.198.193.in-addr.arpa name server glavni.dns.server.hr.0/26.XXX.198.193.in-addr.arpa name server dns.institucija.hr.Ne bi trebalo biti ovakvih poruka: Host 0/26.XXX.198.193.in-addr.arpa not found: 3(NXDOMAIN)5. S konfiguracijom smo gotovi, no valja javiti administratorima nadređenih poslužitelja da je konfiguracija gotova. Zasad, najbolje je da se javite na sistemac@carnet.hr i priložite ispis (pomoću naredbe iz točke 4) koji pokazuje da je konfiguracija ispravno napravljena kako bi se cijeli proces ubrzao. KEYWORDS: reverzni DNS BIND

Tagovi: carnet  IT  računala 
Izvor vijesti: sistemac.carnet.hr | sysadmin portal

Vezani članci

DNS: razlike između domene i zone

Syshelp: "Dangling symlinks"

Syshelp: naredba ipcalc

Syshelp: Unix epoch

Syshelp: naredba script - korisna alatka

Syshelp: novi spamassassin 3.1.7 donosi neke novosti

Komentari