Bom dia,Boa Tarde,Boa Noite Galera
Galera é o seguinte de vez enquanto vejo o pessoal aqui idolatrando o unbound,já utilizei e não gostei alem de ser trabalhoso pra colocar pra funcionar,muitos dizem que é mais rápido balela pura não muda nada,vamos lá primeiramente pra quem nao sabe como funciona o dns deixo este vídeo do nosso amigo Rafael do nic.br,galera os passos que vou deixar aqui são tão simples que vocês vão colocar seu server dns funcionando em apenas 5 minutos,lembrando que vamos utilizar o bind,por que escolhi o bind por que a vantagem sobre o unbound é simples de instalar e possui a opção de configurar dns reveso (reveso deixo pra depois) coisa que o unbound não tem,vamos lá
primeiramente vamos atualizar o sistema com
apt-get update
em seguida vamos instalar o bind com o comando
apt-get install bind
depois de instalado vamos instalar o dnsutils que servira para fazermos testes no noss servidor dns
apt-get install dnsutils
agora vamos colocar nosso mkauth está como servidor dns mas nao 100%,vamos agora colocar nosso sistema para buscar por ele mesmo os dns para isso editamos o arquivo resolv.conf
nano /etc/resolv.conf
vai abrir uma tela onde você digitará o servidor que deseja melhor colocar assim
nameserver 127.0.0.1
se sua maquina está conectada na internet é só digitar o comando para ver seu server esta respodendo a requisição de dns
ex dig globo.com
se der tudo certo vai aprecer isso/;
;; ANSWER SECTION:
globo.com. 129276 IN A 186.192.90.5
;; AUTHORITY SECTION:
globo.com. 172472 IN NS ns02.globo.com.
globo.com. 172472 IN NS ns03.globo.com.
globo.com. 172472 IN NS ns04.globo.com.
globo.com. 172472 IN NS ns01.globo.com.
;; ADDITIONAL SECTION:
ns01.globo.com. 172472 IN A 201.7.180.171
ns01.globo.com. 172472 IN AAAA 2804:294:0:800::5
ns02.globo.com. 172472 IN A 64.151.87.25
ns03.globo.com. 172472 IN A 186.192.89.5
ns03.globo.com. 172472 IN AAAA 2804:294:4000:8001::5
ns04.globo.com. 172472 IN A 177.53.95.213
ns04.globo.com. 129272 IN AAAA 2804:294:8000:200::5
este passo é somente se seu mkauth possui ippublico e esta aberto na internet,se ele estiver com o ip 172.31.255.2 pule esta parte.
Agora vem a parte chata se o seu mkauth possui um ip publico e esta aberto a internet você terá que configurar alguns parâmetros de segurança definido quem pode utiliza lo,que no caso é sua rede basta editar o seguinte arquivo
nano /etc/bind/named.conf.options
e deixar assim
options {
directory "/var/cache/bind";
// If there is a firewall between you and nameservers you want
// to talk to, you may need to fix the firewall to allow multiple
// ports to talk. See http://www.kb.cert.org/vuls/id/800113
// If your ISP provided one or more IP addresses for stable
// nameservers, you probably want to use them as forwarders.
// Uncomment the following block, and insert the addresses replacing
// the all-0's placeholder.
// forwarders {
// 0.0.0.0; //
//};
//Opções de Segurança
listen-on port 53 { any; };
allow-query { 127.0.0.0/8 ; 172.16.0.0/12 ; 10.0.0.0/8 ; 192.168.0.0/16 ; }; //Rede Habilitada
allow-recursion { 127.0.0.0/8 ; 172.16.0.0/12 ; 10.0.0.0/8 ; 192.168.0.0/16; };
allow-transfer { none; };//pode se colocar o servidor dns secundario
//========================================================================
// If BIND logs error messages about the root key being expired,
// you will need to update your keys. See https://www.isc.org/bind-keys
//========================================================================
dnssec-validation auto;
auth-nxdomain no; # conform to RFC1035
listen-on-v6 { any; };
};
lembrando que se você possui um bloco de ip publico você pode colocar junto aos ip privados que la se encontra
terminando esta etapa é so mandar o comando
service bind9 restart
pronto seu serve está pronto
Agora vamos a uma etapa muito importante para que seu server dns funcione bem que é o ntp funcionando adequadamente,algumas paginas hoje só resolve dns se o horario do sistema do bind estiver correto,então vamos a instalação do ntp
apt-get install ntp
depois de instalado vamos criar o arquivo drift com o seguinte comando
touch /etc/ntp.drift
agora vamos editar o arquivo ntp.conf
nano /etc/ntp.conf
deixando assim
# /etc/ntp.conf, configuration for ntpd; see ntp.conf(5) for help
driftfile /etc/ntp.drift
# Enable this if you want statistics to be logged.
#statsdir /var/log/ntpstats/
statistics loopstats peerstats clockstats
filegen loopstats file loopstats type day enable
filegen peerstats file peerstats type day enable
filegen clockstats file clockstats type day enable
# You do need to talk to an NTP server or two (or three).
#server ntp.your-provider.example
# pool.ntp.org maps to about 1000 low-stratum NTP servers. Your server will
# pick a different set every time it starts up. Please consider joining the
# pool: <http://www.pool.ntp.org/join.html>;
#server 0.debian.pool.ntp.org iburst
#server 1.debian.pool.ntp.org iburst
#server 2.debian.pool.ntp.org iburst
#server 3.debian.pool.ntp.org iburst
# estatisticas do ntp que permitem verificar o histórico
# de funcionamento e gerar graficos
statsdir /var/log/ntpstats/
statistics loopstats peerstats clockstats
filegen loopstats file loopstats type day enable
filegen peerstats file peerstats type day enable
filegen clockstats file clockstats type day enable
# servidores publicos do projeto ntp.br
server a.st1.ntp.br iburst
server b.st1.ntp.br iburst
server c.st1.ntp.br iburst
server d.st1.ntp.br iburst
server gps.ntp.br iburst
server a.ntp.br iburst
server b.ntp.br iburst
server c.ntp.br iburst
# Access control configuration; see /usr/share/doc/ntp-doc/html/accopt.html for
# details. The web page <http://support.ntp.org/bin/view/Support/AccessRestrictions>;
# might also be helpful.
#
# Note that "restrict" applies to both servers and clients, so a configuration
# that might be intended to block requests from certain clients could also end
# up blocking replies from your own upstream servers.
# By default, exchange time with everybody, but don't allow configuration.
restrict -4 default kod notrap nomodify nopeer noquery
restrict -6 default kod notrap nomodify nopeer noquery
# Local users may interrogate the ntp server more closely.
restrict 127.0.0.1
restrict ::1
# Clients from this (example!) subnet have unlimited access, but only if
# cryptographically authenticated.
#restrict 192.168.123.0 mask 255.255.255.0 notrust
# If you want to provide time to your local subnet, change the next line.
# (Again, the address is an example only.)
#broadcast 192.168.123.255
# If you want to listen to time broadcasts on your local subnet, de-comment the
# next lines. Please do this only if you trust everybody on the network!
#disable auth
#broadcastclient
salve
e em seguida
service ntp start
pronto,
nao mensionei que o editor nano possui o seguinte criterio de salvar e sair que é crtlo para salvar e crtlx para sair
fontes/;
arquivo name.conf.options = Tiago Almeida do viva o linux
ntp = nic.br
duvidas comentem ai.valeu
Respostas
Pessoal só pra atualizar o tópico pois algumas versoes do bind9 não aceita mais aquela configuração basica que está no tutorial, substitua aqueles parâmetros do arquivo named.conf.options que está localizado em cd/etc/bind/.
// caso tenha ASN coloque abaixo seus ips v4 e v6 da forma que aqui estão.
acl autorizados {
127.0.0.1;
::1;
192.168.0.0/16;
172.16.0.0/12;
100.64.0.0/10;
10.0.0.0/8;
};
options {
directory "/var/cache/bind";
dnssec-enable yes;
dnssec-validation auto;
auth-nxdomain no;
listen-on { any; };
listen-on-v6 { any; };
minimal-responses yes;
allow-recursion {
autorizados;
};
allow-query-cache {
autorizados;
};
allow-query { any; };
allow-transfer {
127.0.0.1;
::1;
};
also-notify {
127.0.0.1;
::1;
};
masterfile-format text;
version "WWW DNS Server";
};
//duvidas, me procure no watsapp 33998346635
me chame no watsapp 33 998346635
Edu Marques disse:
Olá Waldemir blz, obrigado pela resposta!
Instalei tudo ontem conforme o tutorial, bind9 ativado más nos testes não faz cache dos DNS.
Vou refazer tudo novamente assim que puder.
Está com DNSSEC ou não?
waldemir santos gomes disse:
Fico feliz que mesmo depois de 5 anos da postagem ainda ajuda muita gente, logo estarei tentando fazer um tutorial de zabbix com aviso via watsapp, digo tentando por que é um processo bem chato e complicado.
Parabéns !!
Implementando hoje agosto 2021
Teve alguma mudança de configs?
otimo
Essas Regras Funcionam no Bind9? pois fiz
APT-GET Update
APT-GET Install Bind9
Aparentemente esta Funcionando de boa como servidor DNS, Notei uma Minima melhora na resposta dos Sites..
gilson_msc@hotmail.com
Vinicius Ramos disse:
passa seu skype
GILSON - NetFacil disse:
pode fazer a instalação aqui amigo?
-
1
-
2
de 2 Próximo