Ejercicios DNS, NTP

Mnica Corts Dpto. de Ingeniera de Sistemas Telemticos

UPM

ndice
!

DNS
! ! ! ! ! ! !

Ejercitar y comprender la configuracin del resolver Usar y comprender la herramienta dig Instalar servidor BIND en iquitos, lima y servidor Comprender los ficheros de /etc/named Configurar los servidores Configurar las zonas Arrancar y modificar zonas Entender el fichero de configuracin Comprender las utilidades Monitorizar el servicio

NTP
! ! !

UPM

EJERCICIOS DE DNS

UPM

Resolver
!

Ver el contenido de los ficheros /etc/host.conf y /etc/nsswitch.conf Ver el contenido de /etc/resolv.conf Modificar /etc/resolv.conf y ver las consecuencias
$ ping www.google.com $ cp /etc/resolv.conf /etc/resolv.conf-bak $ ping www.google.com $ hostname $ hostname -f

! !

Crear un nuevo resolv.conf

domain search nameserver adminlibre.org google.com 138.4.2.10
UPM

Resolver
!

Ejecutar ping, que ocurre?

! $ ping www $ ping sanson

Restituir el fichero original

$ cp /etc/resolv.conf-bak /etc/resolv.conf

Ejecutar ping, que ocurre?

! $ ping www $ ping sanson

UPM

dig
! !

dig @servidor zona informacion Averiguar direccin de www.ubuntu.com

$ dig www.ubuntu.com a

Averiguar los servidores autoritarios de tuenty.com

$ dig tuenty.com soa

Averiguar el nombre de 217.76.128.129

$ dig 217.76.128.129 ptr

Averiguar los servidores de correo de gmail.com

$ dig gmail.com mx

UPM

dig
! !

dig @servidor zona informacion Averiguar los servidores de correo de gmail.com preguntando a los servidores autoritarios
$ dig @<ip> gmail.com mx

Errores de bsqueda
$ dig lima. A $ dig ditupm.es soa

Encontrar los servidores de nombres de un dominio

$ dig dominio ns

UPM

Instalar BIND
!

Instalar en iquitos, lima y servidor $ apt-get install bind9 Contenido del directorio /etc/bind
!

named.conf
Incluye ficheros con opciones, configuracin local y zonas por defecto

! ! !

named.conf.options named.conf.local
Aqu se configurarn las zonas de adminlibre

named.conf.default-zones
Aqu estn las zonas reservadas: 0.0.0.0/8, 127.0.0.0/8, Y el fichero hints: db.hints

! !

rndc.key la clave para rndc Ficheros de zonas

UPM

Ficheros de zonas instaladas por defecto

!

Ficheros de zonas
! ! ! ! ! ! !

zones.rfc1918
Todas las zonas de IPs privados apuntan a db.empty

db.empty
Fichero sin registros de recursos

db.0 db.127 db.255 db.local db.root

dns inverso dns inverso dns inverso dns directo dns directo, hits

0.0.0.0 no tiene datos solo se usa en DHCP y se llama localhost Slo hay una entrada para el loopback 127.0.0.1 Broadcast 255.255.255.255 Dominio local para localhost Contiene todos los servidores de la raz

UPM

Zona de hints
!

Comparar la zona de hints que viene con el paquete BIND con el que se obtiene en vivo $ dig . ns $ dig @<IP_RAIZ> . ns > /tmp/root.hints
!

Ver si hay cambios en los IPs de los servidores

10

UPM

Configurar BIND
!

En iquitos y lima y servidor

! ! ! !

Incluir en named.conf.options las opciones globales y las definiciones de logging Todas las sentencias estn entre {} y acaban en ; Grupos de sentencias acaban en };
options { sentencia; };

Comentarios
/* comentarios aqu */ // comentario hasta el final de la lnea # comentario hasta el final de la lnea

11

UPM

Configurar BIND
options { directory "/etc/bind"; recursion yes; }; logging { channel registros_dns { file "/tmp/trazas-dns.log" versions 2 size 1m; print-time yes; print-category yes; }; category default { registros_dns; default_syslog; }; };

! !

Chequear
$ named-checkconf

Arrancar servidor y parar con ^C

$ named -g
UPM

12

Configurar zonas en el servidor

!

Servidor: en named.conf.local
! ! ! !

Master de la zona adminlibre.dit.upm.es. Master de la zona 10.in-addr.arpa. Slave de las zonas delegadas Delega los dominios:
imasd.adminlibre.dit.upm.es. a lima servicios.adminlibre.dit.upm.es. a iquitos 2.0.10.in-addr.arpa. a iquitos 3.0.10.in-addr.arpa. a lima

Iquitos: en named.conf.local
! ! !

Master de la zona servicios.adminlibre.dit.upm.es. Master de la zona 2.0.10.in-addr.arpa. Slave de las zonas del primario Master de la zona imasd.adminlibre.dit.upm.es. Master de la zona 3.0.10.in-addr.arpa. Slave de las zonas del primario

Lima: en named.conf.local
! ! !

$ named-checkconf
13

UPM

Editar ficheros de zonas

!

Servidor:
!

db.adminlibre
Asignar IP a servidor, lima e iquitos Delegar los subdominios Crear un alias de servidor llamado www.adminlibre.dit.upm.es Crear un alias de servidor llamado ns1.adminlibre.dit.upm.es Crear alias para lima e iquitos: ns2 y ns3

db.10
Inverso de servidor, lima e iquitos Delegacin de 2.0.10.in-addr.arpa y 3.0.10.in-addr.arpa

Iquitos
!

db.servicios.adminlibre
Asignar IP a iquitos, nauta, requena y yurimaguas Crear un alias ns.servicios.adminlibre de iquitos

db.2.0.10
Inverso de los equipos

14

UPM

Editar ficheros de zonas

!

Lima
!

db.imasd.adminlibre db.3.0.10

Asignar IP a lima, cuzco, ica y huaraz Crear un alias ns.imasd.adminlibre de lima Inverso de los equipos

Verificar correccin de los ficheros editados

$ named-checkzone zona fichero_de_zona

Arrancar el servidor !!!!

$ /etc/init.d/named start

Verificar con dig que los servidores responden correctamente a queries de los dominios primarios y secundarios Verificar es estado del servidor
! $ rndc status

15

UPM

Modificar alguna de las zonas

!

Actualizar siempre el primario

! ! !

Si se actualiza el secundario se pierde el cambio con la siguiente actualizacin Actualizar el nmero de serie Aadir los registros nuevos

! !

Relanzar el servidor de nombres

! rndc $ rndc reload zona_cambiada

El primario (master) se encarga de notificar a los servidores secundarios (slaves)

!

Con mensajes NOTIFY

Verificar con dig que el servidor ha cargado la nueva configuracin y que los secundarios tambin han transferido los datos nuevos

16

UPM

Modificar la configuracin
!

Hacer una transferencia de zona desde cuzco y requena de la zona adminlibre.dit.upm.es.

$ dig @10.0.1.1 adminlibre.dit.upm.es. axfr

Restringir la transferencia de zona en los servidores primarios a los servidores secundarios

!

Aadir a cada zona la sentencia Rearrancar el servidor y comprobar que la transferencia anterior no puede realizarse

allow-transfer { direccion_servidores; };
!

Modificar /etc/resolv.conf para incluir a servidor, iquitos y lima como nameservers

17

UPM

Ver trazas
! !

Ver las trazas dejadas en /tmp/trazas-dns.log Eliminar de las categorias el canal de trazas a fichero en /etc/bind/named.conf.options
category default { default_syslog; };

Rearrancar el servidor

18

UPM

EJERCICIOS DE NTP

19

UPM

Configuracin de NTP
!

Instalar el servidor ntp

$ apt-get install ntp

! !

Ver el fichero de configuracin: /etc/ntp.conf Crear una relacin de peers entre servidor, iquitos y lima
!

Para servidor

peer peer
!

10.0.1.2 10.0.1.3

Rearrancar el servicio Usar la utilidad ntpq para visualizar el estado del servicio, los servidores y los peers
UPM

20

EJERCICIOS DE IPTABLES

21

UPM

Cortafuegos con iptables

!

Premitir el trfico de las sesiones establecidas

$ iptables -A INPUT i eth0 -m conntrack --ctstate ESTABLISHED,RELATED \ -j ACCEPT ! Permitir trfico entrante en puertos especficos $ iptables -A INPUT -p PROTOCOLO --dport PUERTO -j ACCEPT
! ! ! !

Sustituir PROTOCOLO por tcp o udp segn corresponda Sustituir PUERTO por el nombre o nmero del servicio Por ejemplo: servidor ssh, www o dns

$ iptables -A INPUT -i eth0 -p tcp --dport ssh -j ACCEPT $ iptables -A INPUT -i eth0 -p tcp --dport www -j ACCEPT $ iptables -A INPUT -i eth0 -p udp --dport 53 -j ACCEPT $ iptables -A INPUT -i eth0 -p tcp --dport 53 -j ACCEPT !

Tirar el resto del trfico no deseado

UPM

$ iptables -A INPUT -i eth0 -j DROP

22