Syshelp: parcijalne reverzne domene u DNS-u

Svi znamo je IP adresni prostor ograničen, i u našoj mreži sve više institucija dobiva samo pola, četvrtinu ili čak manji dio standardno dodijeljenih 256 adresa (samo numerički mogućih, sve se obično svodi na 254 adrese). Ovo je razumno, jer nije potrebno da svaki PC korisnika bude direktno dostupan s Interneta, dapače, povećava se sigurnost ukoliko upotrijebimo neku od NAT tehnika. Uz uporabu vatrozida (ili drugog specijaliziranog mrežnog uređaja), broj potrebitih IP adresa se smanjuje na svega nekoliko, uglavnom za poslužitelje (web, mail i slično), koji moraju biti dostupni na Internetu.

Problem nastaje kod reverznog DNS-a (rDNS, pretvaranje IP adrese u ime računala), jer u početku nije bilo predviđeno da se reverzne zone autoritativnosti dijele na manje dijelove. Reverzni DNS je dosta bitan, jer će mnogi mail i SSH poslužitelji i servisi odbiti mail sa poslužitelja koji nema reverzni DNS zapis. No, postoje načini za rješavanje ovog problema. Jedan način je da postoji samo jedan autoritativni poslužitelj za reverznu zonu, koji će opsluživati sve segmente te zone. Kako segmenti obično bivaju dodijeljeni drugim institucijama, ovaj pristup nije osobito fleksibilan, jer to znači da ćete morati prepustiti brigu o vašem segmentu nekome drugome (a to uključuje i dodavanje i brisanje hostova iz zonskih datoteka). U suprotnom slučaju, vi ćete se morati brinuti o tuđim zapisima.

Drugi način rješavanja ovog problema, koji ćemo ovdje opisati, je uporaba CIDR notacije (Classless Inter-Domain Routing) u zonskim datotekema, što je definirano kao "Classless IN-ADDR.ARPA delegation" u RFC-u 2317. Pretpostavimo da imate dodijeljen segment 193.198.XXX.0 do 193.198.XXX.64. CIDR notacija za ovaj segment je 193.198.XXX.0/26 (kako si olakšati izračun, pogledajte u članku http://sistemac.carnet.hr/node/330). Ostala tri segmenta su 193.198.XXX.64/26, 193.198.XXX.128/26 i 193.198.XXX.192/26. Pretpostavimo da imate domenu (zonu odgovornosti) "institucija.hr". S forward DNS rezolucijom nemamo problema, jer zonu "institucija.hr" najčešće ne dijelimo s nijednom drugom institucijom. Reverznu zonu, u ovom slučaju, dijelimo s drugim institucijama.

Iz tog razloga ćemo podijeliti reverznu zonu, i umjesto:

zone "XXX.198.198.in-addr.arpa" ...


pišemo

zone "0/26.XXX.198.193.in-addr.arpa" ...

Ovime smo rekli "odgovoran sam za reverzni DNS za adrese 193.198.XXX.0 do 193.198.XXX.63". Uvijek se možete poslužiti naredbom ipcalc za izračun točnih vrijednosti, jer adresni prostor može biti bilo koji segment mreže, npr. 193.198.XXX.192 do 193.198.XXX.255 (što pišemo kao 193.198.XXX.192/26, odnosno zona je 192/26.XXX.198.193.in-addr.arpa).

Postupak je dalje jednostavan i možemo ga prikazati u svega nekoliko točaka:

1. U datoteci /etc/bind/named.conf.local reverzna zona treba biti konfigurirana ovako:

zone "0/26.XXX.198.193.in-addr.arpa" in {
        type master;
        file "/etc/bind/193.198.XXX.institucija.rev";
        allow-transfer {
                161.53.XXX.YYY;   // dosadasnji sekundardni DNS poslužitelji
                193.198.XXX.YYY; // neki drugi sekundarni DNS - neobavezno
        };
        allow-query { any; };
};

Ime datoteke nije bitno, sve dok vam je iz samog imena jasno što se u njoj nalazi. Vaš DNS poslužitelj može biti odgovoran za više segmenata, pa si na ovaj način olakšajte snalaženje. Primjerice, dolazi u obzir i oblik "193.198.XXX.0-26.institucija.rev" ili kraće "institucija.0-26.rev", kao i bilo koji oblik koji vama odgovara.


2. u datoteku s reverznim zapisima /etc/bind/193.198.XXX.institucija.rev upišite sljedeće:

$TTL 1D
@    SOA     dns.institucija.hr. hostmaster.institucija.hr. (
      2008050101      ; Serial (yyyymmddxx)
      10800           ; Refresh
      3600            ; Retry
      2419200         ; Expire
      14400)          ; Minimum

@     NS      dns.institucija.hr.
@     NS      postojeci.sekundarni.server.

1     PTR     prvihost.institucija.hr. 
; ovdje upišite ostale hostove iz vaše zone
62    PTR     zadnjihost.institucija.hr.

 

Oblik "dns.institucija.hr" je samo primjer, najbolje je ostaviti što je već bilo (primjerice, "knjiga.ffos.hr", "oliver.efri.hr" itd). Komentare u zonskim datotekama označavajte isključivo sa znakom ";" i ne zaboravite ostaviti točke na kraju naziva hostova!


3. Treba restartati BIND, odnosno natjerati ga da prihvati novu konfiguraciju:

# rndc reload


4. Također, treba provjeriti radi li sustav kako bi trebao:

# host -t any 0/26.XXX.198.193.in-addr.arpa dns.institucija.hr


Znak da je sve u redu bi trebao biti ispis poput ovog:

# host -t any 0/26.XXX.198.193.in-addr.arpa dns.institucija.hr
Using domain server:
Name: dns.institucija.hr
Address: 193.198.XXX.3#53
Aliases:

0/26.XXX.198.193.in-addr.arpa SOA dns.institucija.hr. hostmaster.institucija.hr.
        2008050101 10800 3600 2419200 14400
0/26.XXX.198.193.in-addr.arpa name server glavni.dns.server.hr.
0/26.XXX.198.193.in-addr.arpa name server dns.institucija.hr.


Ne bi trebalo biti ovakvih poruka:

Host 0/26.XXX.198.193.in-addr.arpa not found: 3(NXDOMAIN)


5. S konfiguracijom smo gotovi, no valja javiti administratorima nadređenih poslužitelja da je konfiguracija gotova. Zasad, najbolje je da se javite na helpdesk@carnet.hr i priložite ispis (pomoću naredbe iz točke 4) koji pokazuje da je konfiguracija ispravno napravljena kako bi se cijeli proces ubrzao.

 

ned, 2008-04-27 21:46 - Željko Boroš
Vijesti: 
Linux
Kuharice: 
Za sistemce
Kategorije: 
Servisi
Vote: 
0
No votes yet
story_tag: 
reverzni zapisi
DNS
BIND
reverzna zona