DNS y forwarders
A ver si me puedes echar una mano.
Quiero montar un servidor de correo en linux y tengo una serie de dudas:
Primero le comento el escenario:
Tengo un firewall en linux que tiene dos tarjetas de red, una con la ip pública y otra con la ip de la red interna (privada). En esta máquina sólo esta corriendo el software del firewall y un redireccionador (el demonio rinetd).
La duda es sobre cómo configurar el dns del servidor de correo para que resuelva las direcciones que no son locales a través del firewall, puesto que las peticiones al puerto 53 de la ip pública tengo claro que tengo que reenviarlas al servidor de correo.
De ahí lo de los forwardes. ¿Cómo se configuran y que direcciones ip tengo que poner en el servidor de correo para que resuelva nombres que no constan en sus zonas locales?
Quiero montar un servidor de correo en linux y tengo una serie de dudas:
Primero le comento el escenario:
Tengo un firewall en linux que tiene dos tarjetas de red, una con la ip pública y otra con la ip de la red interna (privada). En esta máquina sólo esta corriendo el software del firewall y un redireccionador (el demonio rinetd).
La duda es sobre cómo configurar el dns del servidor de correo para que resuelva las direcciones que no son locales a través del firewall, puesto que las peticiones al puerto 53 de la ip pública tengo claro que tengo que reenviarlas al servidor de correo.
De ahí lo de los forwardes. ¿Cómo se configuran y que direcciones ip tengo que poner en el servidor de correo para que resuelva nombres que no constan en sus zonas locales?
1 respuesta
Respuesta
1
Supongo que el servidor de correo / DNS estará en una máquina diferente, que no es la del firewall.
Lo que tienes que trabajar es el tema del NAT, tiene que hacer que se redirija la petición al puerto 53 de tu IP publica hacia el puerto 53 de la maquina interna. Para ello tienes que utilizar NAT, te recomiendo un pequeño manual sobre el tema (utilizando IPTables) que puedes encontrar en http://www.gnusec.com/modules.php?name=Downloads&d_op=getit&lid=7 )
Una vez que hayas resuelto el tema del NAT para la entrada de peticiones a tu servidor DNS tendrás que resolver otros problemas, pero esos son a nivel de aplicación con tu DNS, como son la correcta configuración del SOA, NS y los registros MX adecuados.
Lo que tienes que trabajar es el tema del NAT, tiene que hacer que se redirija la petición al puerto 53 de tu IP publica hacia el puerto 53 de la maquina interna. Para ello tienes que utilizar NAT, te recomiendo un pequeño manual sobre el tema (utilizando IPTables) que puedes encontrar en http://www.gnusec.com/modules.php?name=Downloads&d_op=getit&lid=7 )
Una vez que hayas resuelto el tema del NAT para la entrada de peticiones a tu servidor DNS tendrás que resolver otros problemas, pero esos son a nivel de aplicación con tu DNS, como son la correcta configuración del SOA, NS y los registros MX adecuados.
Hola, muy buenas.
Lo de redireccionar las peticiones entrantes ya lo sabía, el tema es que mi servidor dns interno resuelva las direcciones que no son internas, es decir, que si no sabe resolver una dirección interna consulte a otro servidor dns, por ejemplo el de mi proveedor de internet.
De ahí el tema de los forwarders, ¿sabes a que me refiero?
Gracias.
Un saludo.
Lo de redireccionar las peticiones entrantes ya lo sabía, el tema es que mi servidor dns interno resuelva las direcciones que no son internas, es decir, que si no sabe resolver una dirección interna consulte a otro servidor dns, por ejemplo el de mi proveedor de internet.
De ahí el tema de los forwarders, ¿sabes a que me refiero?
Gracias.
Un saludo.
Mmm, si, pero eso ya es un tema de configuración de bind :), bueno, en el archivo named. Conf, en la sección options, incluye unos resolvers de DNS conocidos, yo tengo cuatro, la sintaxis es esta (bind 8.3):
forwarders { 194.179.1.100;194.179.1.101;195.235.113.3;195.235.96.90 };
Yo que tu utilizaría ademas varios DNS de reserva en la opción de tus clientes, utilizar uno o dos externos para evitar que la red se te colapse en el caso de que se te caiga el DNS.
forwarders { 194.179.1.100;194.179.1.101;195.235.113.3;195.235.96.90 };
Yo que tu utilizaría ademas varios DNS de reserva en la opción de tus clientes, utilizar uno o dos externos para evitar que la red se te colapse en el caso de que se te caiga el DNS.
Hola de nuevo, entonces metiendo esos forwarders cuando mi dns interno no pueda resolver una dirección, ¿preguntará a esos dns externos?
¿Puedo entonces quitar la zona .? ¿Para que sirve entonces el fichero root.hint?
Muchísimas gracias.
Un saludo.
¿Puedo entonces quitar la zona .? ¿Para que sirve entonces el fichero root.hint?
Muchísimas gracias.
Un saludo.
Pero la zona raíz se la baja y la actualiza para tener una referencia para tus clientes de los DNS raíces. También puedes hacer referencia a ella tu mismo (utilizando los nombres) como forwarders. Yo uso DNS más próximos para los forwarders para hacer que vaya más rapido mi DNS, ya que cache de los servidores de timofonica es enorme y me evita muchos saltos extra ademas que mi canuto no es como el suyo :)
Sin la zona "." te va a petar el bind, así que espero haberte resuelto las dudas.
Sin la zona "." te va a petar el bind, así que espero haberte resuelto las dudas.