Laboratorio di Reti Esercitazione N 2-DNS Gruppo 9. Laboratorio di Reti Relazione N 2. Mattia Vettorato Alberto Mesin

Transcript

1 Laboratorio di Reti Relazione N 2 Gruppo N 9 Mattia Vettorato Alberto Mesin

2 Scopo dell'esercitazione Configurare un Name Server per un dominio, in particolare il nostro dominio sarà gruppo9.labreti.it. Materiale usato: Una macchina con sistema operativo GNU/Linux ( Unix-Like ) ed il pacchetto BIND. Configurazione del server. Il demone che offrirà il servizio di risoluzione dei nomi si chiama named ed utilizza database su files di testo. Anche la configurazione avviene attraverso un file di testo: /etc/named/named.conf (1) //A options { directory "/var/named"; controls { inet allow { localhost; } ; //B zone "." { type hint; file "named.ca"; //C zone " in-addr.arpa" { file "named.local"; zone "localhost" { file "localhost.zone"; //D zone per il dominio gruppo9.labreti.it zone "gruppo9.labreti.it" { file "zone/gruppo9.labreti.it"; //E zone " in-addr.arpa" { file "zone/ ";

3 In questo file vengono definite le zone che interesseranno il nostro server ed i relativi files che le descrivono. A) Con questa direttiva si attribuisce a named una directory di lavoro principale ( da qui in poi lavorerà come se fosse stato avviato da lì ), tutti i path espressi in seguito sono realtivi a questa radice. B) Questa direttiva specifica al server dove può trovare il file di zona che contiene le indicazioni per raggiungere i servizi di risoluzione dei nomi del dominio principale ( tipicamente gli IP e i nomi dei root name server ). Se la rete locale dovesse essere isolata da quella pubblica questa direttiva andrebbe rimossa. C) Le due direttive si occupano della risoluzione dei nomi per il dominio della macchina locale: in pratica, insieme ai due file named.local e named.zone, queste direttive servono solamente a tradurre in localhost e vice versa. Fin qui si è costruito un DNS minimale in grado di fare solo caching. D) Questa direttiva informa named di dove si trova il file che contiene le informazioni per la risoluzione dei nomi nel dominio gruppo9.labreti.it: nel nostro caso si è deciso di chiamarlo gruppo9.labreti.it e di porlo sotto la directory zone, scelta del tutto arbitraria. E) Questa direttiva è del tutto simile alla prima, solo che indica il file per la risoluzione dei numeri in nomi. Infatti per un DNS servono due righe nel database per poter associare un nome ad un numero in maniera bidirezionale. Inoltre ci si trova a dover creare un'altra zona visto che tutti gli IPv4 vengono considerati come appartenenti ad un sottodomino di in-addr.arpa. File di zona zone/gruppo9.labreti.it //A $TTL IN SOA dns.gruppo9.labreti.it. root.dns.gruppo9.labreti.it. ( ;seriale 6h ;refresh 1h ;retry 3d ;expire 12h ;minimun ) //B NS dns.gruppo9.labreti.it. //$ORIGIN gruppo9.labreti.it. //C ;traduzione nome --> IP dns.gruppo9.labreti.it. A mail.gruppo9.labreti.it. A

4 web.gruppo9.labreti.it. A cl1.gruppo9.labreti.it. A cl2.gruppo9.labreti.it. A cl3.gruppo9.labreti.it. A //D ;alias CNAME web.gruppo9.labreti.it. mail.gruppo9.labreti.it. CNAME mail.gruppo9.labreti.it. pippo CNAME dns.gruppo9.labreti.it. //E ;definizione mail server gruppo9.labreti.it. MX 10 mail.gruppo9.labreti.it. A) Per prima cosa viene definito il Time To Live ($TTL), ossia il tempo massimo per cui un'altro name server può ritenere valide queste informazioni una volta messe in cache. Viene inoltre definita la Start of Autority della zona, ossia il NS autoritativo, ed in seguito, la mail di chi lo gestisce (va notato che è sostituita dal punto per non creare confusione nella sintassi del file). B) Viene definito il name server per la zona. C) Una serie di record di tipo A, atti a fornire le informazioni per trasformare i nomi in IP. D) Una serie di record CNAME usati per definire gli alias, ossia per dare più nomi ad una stessa macchina. Qundi, nel nostro caso, ci si può riferire alla macchina dns.gruppo9.labreti.it anche come pippo.gruppo9.labreti.it. E) Un record MX: questo tipo di record ci permette di definire il o i mail server per il dominio e la loro priorità. zone/ $TTL IN SOA dns.gruppo9.labreti.it. root.dns.gruppo9.labreti.it. ( ;seriale 6h ;refresh 1h ;retry 3d ;expire 12h ;minimun ) NS dns.gruppo9.labreti.it. //A //$ORIGIN in.addr.arpa. ;traduzione IP --> nome in-addr.arpa. PTR dns.gruppo9.labreti.it in-addr.arpa. PTR mail.gruppo9.labreti.it in-addr.arpa. PTR web.gruppo9.labreti.it in-addr.arpa. PTR cl1.gruppo9.labreti.it in-addr.arpa. PTR cl2.gruppo9.labreti.it.

5 in-addr.arpa. PTR cl3.gruppo9.labreti.it. Il file nella parte superiore è analogo a quello precedente. A) Una serie di record di tipo PTR per la traduzione dei numeri in indirizzi. Si è scelto di scrivere tutti i numeri in maniera assoluta (terminati con un punto) anche se non è necessario; infatti a tutti i nomi (e qui un numero è considerato come un nome) non assoluti viene automaticamente appesa l'origine. Preparazione degli host Ora gli host che vogliono sfruttare il servizio che stiamo offrendo devono modificare il loro file resolv.conf (che di norma sta sotto la directory /etc/) come pure la macchina dove gira il server. Per gli host: nameserver Per la macchina dove gira il servizio: nameserver localhost Avvio del server Escludendo certi script, che le varie distribuzioni possono includere per il nostro scopo, la maniera più facile di avviare named è digitare il suo nome. Ci si rende subito conto che named è un programma di poche parole, infatti, il suo output, buono o cattivo che sia, non lo dirige allo stderr e tanto meno allo stdout. Si rende allora necessario dare un'occhiata alle ultime righe del file /var/log/messages dove finalmente si possono trovare delle informazioni, anche abbastanza precise, su come è andato il boot del demone. ~$ named -c /etc/named/named.conf Non avendo compilato il pacchetto personalmente abbiamo preferito specificare, tramite l'opzione -c, l'esatto percorso del file di configurazione. Firewall Su certe distribuzioni il firewall è già preimpostato al momento dell'installazione. Come è noto il servizio DNS resta in ascolto sulla porta 53 che può essere chiusa o bloccata. Escludendo sempre l'uso di particolari tool, grafici o meno, per la configurazione del firewall, di cui non tutte le distribuzioni sono fornite, si può fare riferimento ad iptables per risolvere il problema. ~$ iptables -A INPUT -i eth0 -p UDP --dport 53 -j ACCEPT ~$ iptables -A OUTPUT -o eth0 -p UDP --sport 53 -j ACCEPT Fin qui basterebbe se il nostro server accettasse solo connessioni di tipo UDP ma, visto che i moderni NS, lavorano anche col TCP a volte: ~$ iptables -A INPUT -i eth0 -p TCP --dport 53 -j ACCEPT ~$ iptables -A OUTPUT -o eth0 -p TCP --sport 53 -j ACCEPT Test del server Il server è stato testato con i tool dig e host sia sulla macchina dove il demone girava che su un host della rete.

6 Note (1) Il nome del file e il suo path sono del tutto arbitrari e possono variare a seconda della distribuzione o della versione usata.