Ajustes finos no Bind (servidor DNS)

Neste artigo não pretendo ensinar a configurar o Bind, até porque aqui no VOL existem excelentes artigos e dicas que o fazem e de forma brilhante, mas sim ajudar a entender um pouco mais sobre os arquivos de configuração e erros que aparecem quando as configurações não estão 100% corretas.

[ Hits: 79.594 ]

Por: Jakson Galeti em 09/02/2009


named.conf - O principal arquivo de configuração



named.conf

Este é o principal arquivo de configuração do BIND, é nele que vamos dispor as informações sobre quais zonas e reverso teremos autoridade.

É importante lembrar que não adianta configurar uma zona e esquecer de declará-la no named.conf.

Para administrar o servidor temos que ter um pouco mais de informações sobre este arquivo, nele podemos adicionar cláusulas que ajudam na administração.

Os valores representados abaixo são meramente ilustrativos e servem somente aqui para exemplificar, coloque os seus valores se for conveniente adicioná-los.

Veja abaixo algumas cláusulas que servem ao named e suas funcionalidades:

Cláusula options

Aqui se definem as configurações globais para o Bind, lembre-se que se nada for alterado o Bind usará as configurações padrões.

directory

Diretório onde estão os arquivos do BIND.

Obs.: Esta opção já é definida quando instalamos o BIND, caso queira trocar as localidades ou em uma configuração em CHROOT, lembre-se de trocá-la.

version

Indica a versão do bind.

Obs.: Nunca coloque qual é a versão verdadeira do seu servidor, recomendo isso para evitar possíveis tentativas de explorar vulnerabilidades do serviço, como é de conhecimento público o BIND tem o seus bugs e não seria inteligente de nossa parte dizer ao possível atacante a versão, isso seria um passaporte para o infeliz e desocupado atrapalhar o nosso dia de serviço.

Exemplo:

version "Versão indisponível"

allow-query

IPs que podem fazer consulta no servidor.

Obs.: Essa sessão pode ser definida na cláusula options ou no arquivo de zona.

Seria interessante aqui você colocar os endereços do range de ip da sua rede que vai usar o servidor, lembre-se, se o servidor estiver em uma DMZ, coloque também o ip do host provedor do serviço ou o range da sua DMZ.

Exemplo desta entrada:

allow-query {
   192.168.1.0/24 192.168.10.1/24;
};

Ou no lugar do ip colocar: any;

allow-recursion

IPs que podem fazer consultas recursivas em seu servidor.

Obs.: Cuidado com essa cláusula, lembre-se de que alguns servidores precisam fazer essa checagem para ter certeza de que um host aponta para um endereço válido, muitos MTAs fazem essa verificação, tendo um reverso cadastrado em sua ISP e configurado no seu servidor. Isso abaixa consideravelmente as chances de seu ip e domínio não serem vinculados em blacklists e por final, introduza na zona do seu domínio as entradas do spf.

As entradas SPF você pode fazer no site: http://www.openspf.org/

Um exemplo de entrada SPF segue abaixo, lembrando que este arquivo deve estar na zona pertinente a ele.

linuxinside.srv.br. IN TXT "v=spf1 ip4:192.168.1.0/24 ip4:192.168.10.0/24 ptr ~all"

Exemplo de entrada recursiva:

allow-recursion {
   any;
};

allow-transfer

IPs que podem solicitar transferência de zona, lembre-se sua ISP precisa fazer a transferência da zona para cadastrar os seus reversos e mantê-los atualizados. Nessa entrada podem ser definidos os IPs ou pode ser colocado a entrada "any".

Exemplo desta entrada:

allow-transfer {
   192.168.1.0/24;
};

Ou no lugar do ip colocar: any;

transfer-in

O máximo de transferência aceita pelo servidor.

Exemplo de configuração:

allow-transfer-in {
   7;
};

Página anterior     Próxima página

Páginas do artigo
   1. Introdução
   2. named.conf - O principal arquivo de configuração
   3. Os demais arquivos
   4. Separando o log e analizando os erros
   5. Referências e agradecimentos
Outros artigos deste autor
Nenhum artigo encontrado.
Leitura recomendada

wpa_supplicant.conf - Configuração para WPA2-PSK

Cheops: uma ótima ferramenta de rede

Aspecto de segurança para uma arquitetura web

Alta Disponibilidade com LVS

Antivírus ClamAV com proteção em tempo real

  
Comentários
[1] Comentário enviado por dfsantos em 10/02/2009 - 08:46h

Parabens, jakao fico muito bom o artigo, ainda nao testei mas aparenta muita qualidade.

[2] Comentário enviado por jgaleti em 10/02/2009 - 08:59h

Obrigado cara. Que bom que uma pessoa qualificada como você gostou do artigo. Fico feliz e motivado a outras experiências como essa.

[3] Comentário enviado por richardandrade em 10/02/2009 - 09:59h

Eu já conhecia boa parte do bind9 e mesmo assim acabo aprendendo mais alguma coisa, é isso ae a comunidade software livre sempre crescendo junto, parabéns pelo seu artigo.

[4] Comentário enviado por jgaleti em 10/02/2009 - 10:19h

Valeu, richardandrade.
É isso que fomenta a comunidade "o prazer de aprender mais" ou mesmo "reaprender".

[5] Comentário enviado por tatototino em 11/02/2009 - 16:41h

Legal, só para incrementar seu artigo eu uso o comando named-checkconf -z para olhar os possiveis erros de configuração, esse comando verifica a sintaxe do arquivo de configuração named.conf e tenta carregar suas zonas, caso encontre alguma irregularidade ele nos informa.

[6] Comentário enviado por jgaleti em 11/02/2009 - 16:49h

É isso ae tatototino, obrigado pelo comentário que enriquece mais o artigo.

[7] Comentário enviado por pogo em 12/02/2009 - 10:38h

cara,

parabéns, pelo artigo! muito boas as dicas.

[]'s

pogo

[8] Comentário enviado por jgaleti em 12/02/2009 - 10:51h

Obrigado pogo, é legal ver o reconhecimento e as criticas.
Vida longa ao LINUX.

[9] Comentário enviado por elgio em 04/03/2009 - 10:20h

E ai rapaz!

Transformaste tua dica em artigo e ainda ganhaste uma camiseta!

Meus parabéns!

[10] Comentário enviado por jgaleti em 04/03/2009 - 10:59h

Valeu elgio, obrigado por ser disponível, responder duvidas e ainda dar dicas.


Contribuir com comentário




Patrocínio

Site hospedado pelo provedor RedeHost.
Linux banner

Destaques

Artigos

Dicas

Tópicos

Top 10 do mês

Scripts