Ajustes finos no Bind (servidor DNS)
Neste artigo não pretendo ensinar a configurar o Bind, até porque aqui no VOL existem excelentes artigos e dicas que o fazem e de forma brilhante, mas sim ajudar a entender um pouco mais sobre os arquivos de configuração e erros que aparecem quando as configurações não estão 100% corretas.
Parte 2: named.conf - O principal arquivo de configuração
named.conf
Este é o principal arquivo de configuração do BIND, é nele que vamos dispor as informações sobre quais zonas e reverso teremos autoridade.É importante lembrar que não adianta configurar uma zona e esquecer de declará-la no named.conf.
Para administrar o servidor temos que ter um pouco mais de informações sobre este arquivo, nele podemos adicionar cláusulas que ajudam na administração.
Os valores representados abaixo são meramente ilustrativos e servem somente aqui para exemplificar, coloque os seus valores se for conveniente adicioná-los.
Veja abaixo algumas cláusulas que servem ao named e suas funcionalidades:
Cláusula options
Aqui se definem as configurações globais para o Bind, lembre-se que se nada for alterado o Bind usará as configurações padrões.directory
Diretório onde estão os arquivos do BIND.Obs.: Esta opção já é definida quando instalamos o BIND, caso queira trocar as localidades ou em uma configuração em CHROOT, lembre-se de trocá-la.
version
Indica a versão do bind.Obs.: Nunca coloque qual é a versão verdadeira do seu servidor, recomendo isso para evitar possíveis tentativas de explorar vulnerabilidades do serviço, como é de conhecimento público o BIND tem o seus bugs e não seria inteligente de nossa parte dizer ao possível atacante a versão, isso seria um passaporte para o infeliz e desocupado atrapalhar o nosso dia de serviço.
Exemplo:
version "Versão indisponível"
allow-query
IPs que podem fazer consulta no servidor.Obs.: Essa sessão pode ser definida na cláusula options ou no arquivo de zona.
Seria interessante aqui você colocar os endereços do range de ip da sua rede que vai usar o servidor, lembre-se, se o servidor estiver em uma DMZ, coloque também o ip do host provedor do serviço ou o range da sua DMZ.
Exemplo desta entrada:
allow-query {
192.168.1.0/24 192.168.10.1/24;
};
192.168.1.0/24 192.168.10.1/24;
};
Ou no lugar do ip colocar: any;
allow-recursion
IPs que podem fazer consultas recursivas em seu servidor.Obs.: Cuidado com essa cláusula, lembre-se de que alguns servidores precisam fazer essa checagem para ter certeza de que um host aponta para um endereço válido, muitos MTAs fazem essa verificação, tendo um reverso cadastrado em sua ISP e configurado no seu servidor. Isso abaixa consideravelmente as chances de seu ip e domínio não serem vinculados em blacklists e por final, introduza na zona do seu domínio as entradas do spf.
As entradas SPF você pode fazer no site: http://www.openspf.org/
Um exemplo de entrada SPF segue abaixo, lembrando que este arquivo deve estar na zona pertinente a ele.
linuxinside.srv.br. IN TXT "v=spf1 ip4:192.168.1.0/24 ip4:192.168.10.0/24 ptr ~all"
Exemplo de entrada recursiva:
allow-recursion {
any;
};
any;
};
allow-transfer
IPs que podem solicitar transferência de zona, lembre-se sua ISP precisa fazer a transferência da zona para cadastrar os seus reversos e mantê-los atualizados. Nessa entrada podem ser definidos os IPs ou pode ser colocado a entrada "any".Exemplo desta entrada:
allow-transfer {
192.168.1.0/24;
};
192.168.1.0/24;
};
Ou no lugar do ip colocar: any;
transfer-in
O máximo de transferência aceita pelo servidor.Exemplo de configuração:
allow-transfer-in {
7;
};