Discussione:
[?][DNS/BIND] bind e dns how-to
(troppo vecchio per rispondere)
Giuseppe Della Bianca
2009-08-28 16:10:16 UTC
Permalink
Intanto grazie per la documentazione consigliata e grazie a Davide per
http://www.soft-land.org/articoli/dns.


Ho alcuni dubbi/commenti:

Nell'how-to si consiglia di installare due dns server, uno per la zona
esterna e una per la zona interna, se ho capito bene questo dovrebbe
servire per evitare che la cache del dns interno venga corrotta
dall'esterno.

Ma da quel che visto non dovrebbe servire perché di solito bind viene
configurato per consentire la modifica della cache della zona interna solo
in riferimento con i localhost e localnets.

A meno che il consiglio non si riferisca a possibili exploit di bind che
consentano la corruzione diretta della cache della zona interna.


Poi si consiglia di non usare nslockup e ping per testare la risoluzione dei
nomi perché usano un proprio metodo di risoluzione.

Però mi risulta che sia ping che nslookup rispettano le impostazione in
nsswitch.conf e quindi usano correttamente il resolver di sistema, mentre è
dig che interroga solo il dns server non rispettando le impostazioni del
resolver di sistema, consentendo quindi di evitare che altri sistemi di
risoluzione impostati nel resolver del sistema interferiscano con i test
del dns server.


Poi non sarebbe male avere nell'how-to anche la descrizione del dns dynamic
via dhcp, visto che una funzionalità utile che completata l'uso del dns
server.
whiplash
2009-08-28 16:49:08 UTC
Permalink
Post by Giuseppe Della Bianca
Intanto grazie per la documentazione consigliata e grazie a Davide per
http://www.soft-land.org/articoli/dns.
Nell'how-to si consiglia di installare due dns server, uno per la zona
esterna e una per la zona interna, se ho capito bene questo dovrebbe
servire per evitare che la cache del dns interno venga corrotta
dall'esterno.
E perchè non un bind per ogni zona, allora? :-)
Post by Giuseppe Della Bianca
Ma da quel che visto non dovrebbe servire perché di solito bind viene
configurato per consentire la modifica della cache della zona interna
solo in riferimento con i localhost e localnets.
Appunto: le acl ci sono apposta.
Post by Giuseppe Della Bianca
Poi si consiglia di non usare nslockup e ping per testare la risoluzione
dei nomi perché usano un proprio metodo di risoluzione.
Però mi risulta che sia ping che nslookup rispettano le impostazione in
nsswitch.conf e quindi usano correttamente il resolver di sistema
Ma certo che sì.
Lanciali con strace e guarda le open().
Post by Giuseppe Della Bianca
mentre è dig che interroga solo il dns server non rispettando le
impostazioni del resolver di sistema, consentendo quindi di evitare che
altri sistemi di risoluzione impostati nel resolver del sistema
interferiscano con i test del dns server.
Sì, dig interroga i resolver indicati in resolv.conf o quello che
Post by Giuseppe Della Bianca
Poi non sarebbe male avere nell'how-to anche la descrizione del dns
dynamic via dhcp, visto che una funzionalità utile che completata l'uso
del dns server.
Continuo a consigliare i libri della O' Reilly...

Un esempio di update dinamico:

zone "_msdcs.mia.lan." {
type master;
file "/etc/bind/db._msdcs.mia.lan";
allow-query { internal-net; };
allow-update { domain-controllers; };
};

(ovviamente, dovrai aver definito gli oggetti internal-net e
domain-controllers)
Giuseppe Della Bianca
2009-08-29 12:46:13 UTC
Permalink
Post by whiplash
Post by Giuseppe Della Bianca
Intanto grazie per la documentazione consigliata e grazie a Davide per
http://www.soft-land.org/articoli/dns.
]zac[
Post by whiplash
Continuo a consigliare i libri della O' Reilly...
]zac[

... ehm ... il mio era principalmente un invito a correggere/estendere
alcune parti dell'how-to sul dns che, secondo il mio non esperto parere,
non erano corrette o soggette a essere comprese male, o mancanti.



----------------
Mi aggancio per una richiesta di conferma, usando samba con wins non c'era
nessuna difficoltà a risolvere i nomihost o nomihost.nomedominio della rete
locale, a risolverne nomi con ip assegnato da dhcp o staticamente nella
rete locale, e senza dover variare qualche configurazione.

Mentre usando il dns server (dinamico con dhcp), se ho compreso bene, si può
risolvere solo nomihost.nomedomino della rete locale, è il dns dinamico non
vale per gli ip assegnati staticamente, e quindi bisogna variare la
configurazione della zona locale.
Giuseppe Della Bianca
2009-08-31 11:56:03 UTC
Permalink
Giuseppe Della Bianca wrote:

]zac[
Post by Giuseppe Della Bianca
Mentre usando il dns server (dinamico con dhcp), se ho compreso bene, si
può risolvere solo nomihost.nomedomino della rete locale, è il dns
dinamico non vale per gli ip assegnati staticamente, e quindi bisogna
variare la configurazione della zona locale.
Mi rispondo da solo:

- Non veniva risolta il solo nome dell'host della rete locale perché alcune
operazioni avevano rimosso in resolv.conf l'indirizzo ip del nameserver.
Poi alcuni distribuzione linux richiedono di impostare il nome dell'host
(per esempio DHCP_HOSTNAME=nomehost nella configurazione della scheda di
rete) che il dhcpclient invia al dhcpserver (che il dhcpserver usa per il
dynamic dns).

- Per quanto riguarda gli indirizzi ip statici in base a quanto ho
verificato devo essere tenuti allineati manualmente sul dns server, a meno
di non utilizzare programmi come nsupdate per forzare l'aggiornamento del
dns server.
E questa, a parte che il dns server deve essere configurato e gestito con
molta attenzione e prudenza, è l'unica cosa che è fastidiosa rispetto
all'uso di wins.
Giuseppe Della Bianca
2009-08-31 12:31:58 UTC
Permalink
Giuseppe Della Bianca wrote:

]zac[
Post by Giuseppe Della Bianca
Mentre usando il dns server (dinamico con dhcp), se ho compreso bene, si
può risolvere solo nomihost.nomedomino della rete locale, è il dns
dinamico non vale per gli ip assegnati staticamente, e quindi bisogna
variare la configurazione della zona locale.
Mi rispondo da solo:

- Non veniva risolta il solo nome dell'host della rete locale perché alcune
operazioni avevano rimosso in resolv.conf l'indirizzo del nameserver.
Poi alcuni distribuzione linux richiedono di impostare il nome dell'host che
il dhcpclient invia al dhcpserver (che il dhcpserver usa per dynamic dns).

- Per quanto riguarda gli indirizzi ip statici a quanto
Giuseppe Della Bianca
2009-09-02 13:04:22 UTC
Permalink
Post by Giuseppe Della Bianca
Intanto grazie per la documentazione consigliata e grazie a Davide per
http://www.soft-land.org/articoli/dns.
]zac[

Grazie ai vari suggerimenti, ai vari how-to, documentazione ho raggiunto il
mio obbiettivo di spegnere definitivamente wins e di utilizzare solo samba
+ bind + dhcpd + dinamyc dns ... quindi grazie a tutti.

E grazie anche ad alcuni post di Davide sul resolv.conf posso fare
funzionare il sistema con il dns sia con connessione permanente che in
dialup ad internet, fare una installazione e configurazione veloce con
samba + wins (è un modo molto veloce, privo di qualsiasi fastidio, e di
facilissima manutenzione,di avere una risoluzione dei nomi locale
(naturalmente per reti di dimensioni non grandi)) e poi eventualmente
passare ad utilizzare il dns, senza nessuna modifica, anzi volendo
potrebbero perfino funzionare insieme (naturalmente ha uno scopo pratico
farlo).

Continua a leggere su narkive:
Loading...