Entender implementação de Servidor DNS / Implementação DNS CentOS 6.5
249 views
Skip to first unread message
Murilo Nunes da Silva
Sep 23, 2014, 8:16:11 AM9/23/14
to tche...@googlegroups.com
Pessoal, bom dia!
Tudo bem?
Como já perceberam sou novo nesse
grande mundo Linux para Servidores, trabalho com Linux desde a época da
faculdade, mas focado em servidores trabalho a pouco tempo. Toda a
dúvida desse tópico surgiu com o seguinte questionamento: Como fazer um
ping em uma máquina de minha rede através de seu nome?
Pesquisando vi que deveria ter no servidor o DNS. Mas, surgiram mais e mais dúvidas sobre o assunto. Pesquisei mas não
encontrei alguma material o suficientemente claro explicando cada tipo
de servidor de DNS. Consegui entender o mais simples que é o de Cache,
mas para mim ficou confuso toda essa parte de DNS de Autoridade,
reverso, Slave, e etc.
Gostaria de entender melhor, saber o porque
estou fazendo X ou Y, e não só inserir linhas xpto por que é assim que
dá certo, como muitos tutoriais dizem.
Cheguei a implementar um
servidor DNS no CentOS, porém ainda não consigo fazer o ping como
ocorreu no tópico:
https://groups.google.com/forum/#!searchin/tchelinux/servidor$20dns/tchelinux/We7C81EECUI/k_1XYv4qJiwJ
Para
muitos aqui isso tudo pode ser bobeira, pode ser simples demais, mas
acredito que se tivessemos um tutorial simples dizendo o uso de cada
servidor, e o por que desse uso(Ex.: o servidor DNS reverso serve para x
y z se não, não ocorrerá WYX), facilitaria a vida de muitas pessoas
Começando a ajudar, segue o que eu fiz:
Minha estrutura de rede:
A Placa eth0 recebe o ip do load ballance: 192.0.168.0.2
E a placa eth1 tem o ip 192.168.50.1, e é usada para distribuir o DHCP para toda a rede
# cat /etc/hosts
127.0.0.1 localhost localhost.localdomain localhost4 localhost4.localdomain4
::1 localhost localhost.localdomain localhost6 localhost6.localdomain6
192.168.50.1 srv01producao
192.168.51.1 srv01producao
Arquivo named.conf
//
// named.conf
//
// Provided by Red Hat bind package to configure the ISC BIND named(8) DNS
// server as a caching only nameserver (as a localhost DNS resolver only).
//
// See /usr/share/doc/bind*/sample/ for example named configuration files.
//
options {
listen-on port 53 { any; };
# listen-on-v6 port 53 { ::1; };
directory "/var/named";
dump-file "/var/named/data/cache_dump.db";
statistics-file "/var/named/data/named_stats.txt";
memstatistics-file "/var/named/data/named_mem_stats.txt";
allow-query { any; };
recursion yes;
dnssec-enable yes;
dnssec-validation yes;
dnssec-lookaside auto;
/* Path to ISC DLV key */
bindkeys-file "/etc/named.iscdlv.key";
managed-keys-directory "/var/named/dynamic";
};
logging {
channel default_debug {
file "data/named.run";
severity dynamic;
};
};
zone "." IN {
type hint;
file "named.ca";
};
zone "zonalocal.com.br" IN {
type master;
file "zonalocal.com.br.db";
};
include "/etc/named.rfc1912.zones";
include "/etc/named.root.key";
Arquivo da zona zonalocal.com.br.db:
# cat /var/named/zonalocal.com.br.db
$TTL 36000
@ IN SOA @ webmaster.zonalocal.com.br.. (
2014092201 ; serial
1H ; refresh
1800 ; retry
1W ; expire
3600 ) ; minimum
NS ns1
ns1 A 192.168.50.1
www A 192.168.50.1
O que fazer para que os nomes dos computadores locais e servidor sejam resolvidos, e ter um cache de DNS? o Ip do servidor deve ser o da placa que distribui os ips na rede (eth1)? Se sim, o por que?
Qualquer outra informação que vocês precisarem, eu postarei aqui
Obrigado desde já pela atenção
Marcos Carraro
Sep 23, 2014, 4:16:20 PM9/23/14
to tche...@googlegroups.com
buenas,
tu deseja pingar via hostname para a maquina1 com ip 192.168.50.2 e que ele resolva?
Se sim, tu precisa fazer a integração do DHCP com DNS que se torna DDNS.
Para fazer o cache ele já estaria fazendo, seria so a máquina ter o ip do teu DNS setado.
--
Mensagem enviada para <http://groups.google.com/group/tchelinux>.
Regras de Conduta para o grupo: <http://tchelinux.org/regras>.
---
Você recebeu essa mensagem porque está inscrito no grupo "TcheLinux" dos Grupos do Google.
Para cancelar inscrição nesse grupo e parar de receber e-mails dele, envie um e-mail para tchelinux+...@googlegroups.com.
Para mais opções, acesse https://groups.google.com/d/optout.
Israel Ziegler
Sep 24, 2014, 8:21:39 AM9/24/14
to tche...@googlegroups.com
Bom dia Senhores,
Eu acho que o que ele quer, é mais simples, Marcos, acho que não é via hostname, mas sim qualquer nome que ele definir, .. aí não integra o dhcpd.
Murilo,
Eu tenho isso funcionando na minha empresa, e eu utilizo reverso sim ..
Toda tua configuração, me parece estar correta (passei os olhos rapidamente), mas falta a zona reversa!
Coloca no teu named.conf a seguinte entrada:
zone"1.168.192.in-addr.arpa" IN {
type master;
file "zona.reversa";
allow-update { none; };
};
################################
Daqui por diante, é o arquivo la no /var/named/
nome do arquivo: zona.reversa
Conteúdo:
$TTL 86400
@ IN SOA dns1.tuarede.local. root.tuarede.local. (
2011071001 ;Serial
3600 ;Refresh
1800 ;Retry
604800 ;Expire
86400 ;Minimum TTL
)
@ IN NS dns1.tuarede.local.
@ IN PTR tuarede.local.
gw IN A 192.168.1.254
mac IN A 192.168.1.10
vaio IN A 192.168.1.13
254 IN PTR dns1.tuarede.local.
10 IN PTR mac.tuarede.local.
13 IN PTR vaio.tuarede.local.
Onde no caso, mac vai ser o nome a ser pingado .... vaio também ... e assim por diante.
A entrada PTR é o apontamento reverso (pointer)
Esse é só um exemplo, que tu adapta a tua realidade ai ...
Abraços, espero ter ajudado.
--
Israel Ziegler
--------------------
Analista de Sistemas;
Bacharel em Sistemas de Informação;
Linux User #472496
Israel Ziegler
--------------------
Analista de Sistemas;
Bacharel em Sistemas de Informação;
Linux User #472496
Murilo Nunes da Silva
Sep 24, 2014, 10:43:53 AM9/24/14
to tche...@googlegroups.com
Marcos, bom dia
Mudei o endereço de DNS na conexão de minha máquina com o ip do servidor DNS, ele consegue acessar sites normalmente. Porém se tento pingar através do nome do servidor ele não retorna.
Israel, bom dia
Desculpe a pergunta tonta, mas onde está tuarede.local, no meu exemplo seria o nome do domínio(zonalocal.com.br) adicionando o .local no final?
Não entendi o por que de dns1..... em seus exemplos, poderia explicar?
Obrigado
Mudei o endereço de DNS na conexão de minha máquina com o ip do servidor DNS, ele consegue acessar sites normalmente. Porém se tento pingar através do nome do servidor ele não retorna.
Israel, bom dia
Desculpe a pergunta tonta, mas onde está tuarede.local, no meu exemplo seria o nome do domínio(zonalocal.com.br) adicionando o .local no final?
Não entendi o por que de dns1..... em seus exemplos, poderia explicar?
Obrigado
Israel Ziegler
Sep 25, 2014, 2:15:58 PM9/25/14
to tche...@googlegroups.com
Desculpa cara,
Acho que fui pouco didático!! ehehe
Sim, o tuare.local seria sim o teu domínio ... pode-ser murilo.local ou murilo.com.br .. enfim, teu domain.
o dns1 é uma máquina minha, mas tu não precisa ter aquela linha nas tuas confs ...
Murilo Nunes da Silva
Sep 25, 2014, 5:03:15 PM9/25/14
to tche...@googlegroups.com
Boa tarde
Entendi Israel
Olha como ficaram meus arquivos
# cat /etc/named.conf
Entendi Israel
Olha como ficaram meus arquivos
# cat /etc/named.conf
//
// named.conf
//
// Provided by Red Hat bind package to configure the ISC BIND named(8) DNS
// server as a caching only nameserver (as a localhost DNS resolver only).
//
// See /usr/share/doc/bind*/sample/ for example named configuration files.
//
options {
listen-on port 53 { any; };
# listen-on-v6 port 53 { ::1; };
directory "/var/named";
dump-file "/var/named/data/cache_dump.db";
statistics-file "/var/named/data/named_stats.txt";
memstatistics-file "/var/named/data/named_mem_stats.txt";
allow-query { any; };
recursion yes;
forwarders { 8.8.8.8; 8.8.4.4; };
dnssec-enable yes;
dnssec-validation yes;
dnssec-lookaside auto;
/* Path to ISC DLV key */
bindkeys-file "/etc/named.iscdlv.key";
managed-keys-directory "/var/named/dynamic";
};
logging {
channel default_debug {
file "data/named.run";
severity dynamic;
};
};
zone "." IN {
type hint;
file "named.ca";
};
//Zona pesquisa direta
zone "zona.local" IN {
type master;
file "zona.local.db";
};
//Zona reversa
zone "50.168.192.in-addr.arpa" IN {
type master;
file "zona.reversa";
};
zona.local.db
# cat /var/named/zona.local.db
$TTL 36000
@ IN SOA @ srv01producao.zona.local. (
zone "zona.local" IN {
type master;
file "zona.local.db";
};
//Zona reversa
zone "50.168.192.in-addr.arpa" IN {
type master;
file "zona.reversa";
};
zona.local.db
# cat /var/named/zona.local.db
$TTL 36000
@ IN SOA @ srv01producao.zona.local. (
2014092201 ; serial
1H ; refresh
1800 ; retry
1W ; expire
3600 ) ; minimum
NS ns1
ns1 A 192.168.50.1
www A 192.168.50.1
zona.reversa
cat /var/named/zona.reversa
$TTL 86400
@ IN SOA srv01producao.zona.local. root.zona.local. (
2014092401 ;Serial
cat /var/named/zona.reversa
$TTL 86400
@ IN SOA srv01producao.zona.local. root.zona.local. (
2014092401 ;Serial
3600 ;Refresh
1800 ;Retry
604800 ;Expire
86400 ;Minimum TTL
)
@ IN NS srv01producao.zona.local.
@ IN PTR zona.local
srv01producao IN A 192.168.50.1
1 IN PTR srv01producao.zona.local.
Servidor
cat /etc/resolv.conf
# Generated by NetworkManager
nameserver 192.168.0.1
nameserver 8.8.8.8
nameserver 8.8.8.4
# cat /etc/hosts
192.168.50.1 zona.local srv01producao
192.168.51.1 srv01producao
@ IN PTR zona.local
srv01producao IN A 192.168.50.1
1 IN PTR srv01producao.zona.local.
Servidor
cat /etc/resolv.conf
# Generated by NetworkManager
nameserver 192.168.0.1
nameserver 8.8.8.8
nameserver 8.8.8.4
# cat /etc/hosts
192.168.50.1 zona.local srv01producao
192.168.51.1 srv01producao
127.0.0.1 localhost localhost.localdomain localhost4 localhost4.localdomain4
127.0.0.1 arcertfacil.com.br.srv01producao srv01producao
::1 localhost localhost.localdomain localhost6 localhost6.localdomain6
# cat /etc/sysconfig/network
NETWORKING=yes
HOSTNAME=srv01producao
NM_BOND_BRIDGE_VLAN_ENABLED=yes
VLAN=yes
NETWORKING_IPV6=no
Mas mesmo assim não faz o ping, tenho que verificar algo mais?
NETWORKING=yes
HOSTNAME=srv01producao
NM_BOND_BRIDGE_VLAN_ENABLED=yes
VLAN=yes
NETWORKING_IPV6=no
Mas mesmo assim não faz o ping, tenho que verificar algo mais?
Israel Ziegler
Sep 25, 2014, 6:19:47 PM9/25/14
to tche...@googlegroups.com
Eu tiraria os forwarders pros IPS do google, lá do conf ... removeria também os ips do google no resolv.conf .. deixaria somente o primeiro ou até substituiria por 127.0.0.1, se bem que vai dar na mesma coisa.
e alteraria esses parametros aqui ... senao fica dando um monte de erro no messages e nao deixa o named funcionar direito:
dnssec-enable yes;
dnssec-validation yes;
dnssec-lookaside auto;
dnssec-validation yes;
dnssec-lookaside auto;
deixa ele assim:
dnssec-enable no;
//dnssec-validation yes;
//dnssec-lookaside auto;
dnssec-enable no;
//dnssec-validation yes;
//dnssec-lookaside auto;
Murilo Nunes da Silva
Sep 26, 2014, 1:16:33 PM9/26/14
to tche...@googlegroups.com
Entendi :D
No dhcp.conf eu teria que fazer alguma modificação?
# cat /etc/dhcp/dhcpd.conf
#
# DHCP Server Configuration file.
# see /usr/share/doc/dhcp*/dhcpd.conf.sample
# see 'man 5 dhcpd.conf'
#
#option domain-name "localhost";
option domain-name-servers 8.8.8.8, 8.8.4.4;
#tempo de concessao padrao
default-lease-time 600;
#tempo maximo de concessao
max-lease-time 7200;
ddns-update-style none;
#informa que esse DHCP Server e valido
authoritative;
#Define a sbnet, mascaras e opcoes
#Rede para a vLAN do setor1
subnet 192.168.50.0 netmask 255.255.255.0 {
ddns-updates on;
#especifica o tamanhp do range de IPs
range dynamic-bootp 192.168.50.2 192.168.50.254;
#especifica o endereceo de broadcast
option broadcast-address 192.168.50.255;
#especifica o gateway padrao
option routers 192.168.50.1;
#IP Fixo para o switch
host switch {
hardware ethernet B8:AF:67:99:C5:B5;
fixed-address 192.168.50.3;
}
}
#rede para a vLAN Geral (vLAN 2)
subnet 192.168.51.0 netmask 255.255.255.0 {
ddns-updates on;
range dynamic-bootp 192.168.51.2 192.168.51.254;
option broadcast-address 192.168.51.255;
option routers 192.168.51.1;
No dhcp.conf eu teria que fazer alguma modificação?
# cat /etc/dhcp/dhcpd.conf
#
# DHCP Server Configuration file.
# see /usr/share/doc/dhcp*/dhcpd.conf.sample
# see 'man 5 dhcpd.conf'
#
#option domain-name "localhost";
option domain-name-servers 8.8.8.8, 8.8.4.4;
#tempo de concessao padrao
default-lease-time 600;
#tempo maximo de concessao
max-lease-time 7200;
ddns-update-style none;
#informa que esse DHCP Server e valido
authoritative;
#Define a sbnet, mascaras e opcoes
#Rede para a vLAN do setor1
subnet 192.168.50.0 netmask 255.255.255.0 {
ddns-updates on;
#especifica o tamanhp do range de IPs
range dynamic-bootp 192.168.50.2 192.168.50.254;
#especifica o endereceo de broadcast
option broadcast-address 192.168.50.255;
#especifica o gateway padrao
option routers 192.168.50.1;
#IP Fixo para o switch
host switch {
hardware ethernet B8:AF:67:99:C5:B5;
fixed-address 192.168.50.3;
}
}
#rede para a vLAN Geral (vLAN 2)
subnet 192.168.51.0 netmask 255.255.255.0 {
ddns-updates on;
range dynamic-bootp 192.168.51.2 192.168.51.254;
option broadcast-address 192.168.51.255;
option routers 192.168.51.1;
Israel Ziegler
Sep 29, 2014, 8:56:55 AM9/29/14
to tche...@googlegroups.com
Eu acho que não cara....
funcionou aí?
Abcs..
Murilo Nunes da Silva
Sep 29, 2014, 9:42:42 AM9/29/14
to tche...@googlegroups.com
Ainda não :(
Ele faz com o nslookup o reverso e o normal, mas o ping pelo nome não faz
Segue algumas regras do meu firewall:
#!/bin/sh
# Configuracao de um firewall usando o IPTABLES e duas interfaces ( uma externa
# e uma interna ).
# Para endereco IP fixo ou dinamico na interface externa.
echo -e "\n Carregando rc.firewall...\n"
LSMOD=/sbin/lsmod
DEPMOD=/sbin/depmod
MODPROBE=/sbin/modprobe
INSMOD=/sbin/insmod
GREP=/bin/grep
AWK=/bin/awk
SED=/bin/sed
CUT=/bin/cut
IFCONFIG=/sbin/ifconfig
IPTABLES=/sbin/iptables
UNIVERSE="0.0.0.0/0" #significa qualquer endereco
EXTIF0="p4p1" #conectado no roteador
#IPEXTIF0=192.168.1.49 #ip para telefonica
IPEXTIF0=192.168.0.2 #IP NET
INTNET0=192.168.50.0/24
INTIF0="em1" #conectado no switch, distribuindo a rede
INTNET1=192.168.51.0/24
INTIF1="em1.2" #vlan geral
echo -en "Carregando modulos: \n"
echo "\n Carregando e verificando se os modulos do kernel estao ok... \n"
$DEPMOD -a
echo "\n Habilitando forwarding...\n"
echo 1 > /proc/sys/net/ipv4/ip_forward
echo "\n Limpando as regras existentes e configurando a politica default para drop...\n"
$IPTABLES -P INPUT DROP
$IPTABLES -F INPUT
$IPTABLES -P OUTPUT DROP
$IPTABLES -F OUTPUT
$IPTABLES -P FORWARD DROP
$IPTABLES -F FORWARD
$IPTABLES -F -t nat
# Esvazia a drop-it chain... se ela existe.
if [ -n "`$IPTABLES -L | $GREP drop-it`" ]; then
$IPTABLES -F drop-it
fi
# Remove todas as chains definidas pelos usuarios.
$IPTABLES -X
#
# Zera todos os contadores do IPTABLES.
$IPTABLES -Z
echo "\n Protecao contra Ping of dead...\n"
$IPTABLES -A INPUT -p icmp --icmp-type echo-request -m limit --limit 1/s -j ACCEPT
echo "\n Criando um DROP chain...\n"
$IPTABLES -N drop-it
$IPTABLES -A drop-it -j LOG --log-level info
$IPTABLES -A drop-it -j REJECT
echo "\n Carregando regras INPUT...\n"
# A interfaces loopback é valida.
#
$IPTABLES -A INPUT -i lo -j ACCEPT
#ssh somente para a rede interna
#$IPTABLES -A INPUT -p tcp --dport 20022 -i $INTIF0 -j ACCEPT #ssh
$IPTABLES -A INPUT -p tcp --dport 20022 -j ACCEPT #ssh
$IPTABLES -A INPUT -p tcp --dport 10000 -j ACCEPT #webmin
$IPTABLES -A INPUT -p tcp --dport 901 -j ACCEPT #swat(samba)
#portas dns
$IPTABLES -A INPUT -i $INTIF0 -p tcp --dport 53 -j ACCEPT
$IPTABLES -A INPUT -i $INTIF0 -p udp --dport 53 -j ACCEPT
#portas Squid
$IPTABLES -A INPUT -i $INTIF0 -p tcp --dport 3128 -j ACCEPT
$IPTABLES -A INPUT -i $INTIF0 -p tcp --dport 3129 -j ACCEPT
$IPTABLES -A INPUT -i $INTIF1 -p tcp --dport 3128 -j ACCEPT
$IPTABLES -A INPUT -i $INTIF1 -p tcp --dport 3129 -j ACCEPT
#portas para o Samba
$IPTABLES -A INPUT -p udp --dport 137 -j ACCEPT
$IPTABLES -A INPUT -p udp --dport 138 -j ACCEPT
$IPTABLES -A INPUT -p tcp --dport 139 -j ACCEPT
#porta para o phpldap
$IPTABLES -A INPUT -p tcp --dport 80 -i $INTIF0 -j ACCEPT
#permitir conexoes ao openldap
$IPTABLES -A INPUT -p tcp --dport 389 -i $INTIF0 -j ACCEPT
#Permitindo acesso interno ao srvadmin da dell
$IPTABLES -A INPUT -i $INTIF0 -p tcp --dport 1311 -j ACCEPT
$IPTABLES -A INPUT -i $INTIF1 -p tcp --dport 1311 -j ACCEPT
# Permite acesso externo ao servico OPENVPN
$IPTABLES -A INPUT -i $INTIF0 -p udp --dport 1195 -j ACCEPT
# Permite algum trafego relacionado retornando para o servidor.
$IPTABLES -A INPUT -s $UNIVERSE -m state --state ESTABLISHED,RELATED -j ACCEPT
# Todas as regras nao explicitas e todas as outras entradas
# sao negadas e registradas no log.
#
$IPTABLES -A INPUT -j drop-it
echo "\n Carregando regras OUTPUT...\n"
# A interface loopback é valida.
#
$IPTABLES -A OUTPUT -o lo -j ACCEPT
# Qualquer pacote saindo da interface externa para algum lugar e valido.
#
$IPTABLES -A OUTPUT -o $EXTIF0 -j ACCEPT
$IPTABLES -A OUTPUT -o $INTIF0 -j ACCEPT
$IPTABLES -A OUTPUT -o $INTIF1 -j ACCEPT
# Todas as regras nao explicitas e todas as outras saidas
# sao negadas e registradas no log.
#
$IPTABLES -A OUTPUT -j drop-it
echo "\n Carregando regras FORWARD...\n"
$IPTABLES -A FORWARD -i $INTIF0 -o $EXTIF0 -s $INTNET0 -j ACCEPT
$IPTABLES -A FORWARD -i $INTIF1 -o $EXTIF0 -s $INTNET1 -j ACCEPT
#novo
$IPTABLES -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
$IPTABLES -A OUTPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
$IPTABLES -A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT
#openLDAP
$IPTABLES -A INPUT -m state --state NEW -m tcp -p tcp -s 192.168.50.0/24 --dport 389 -j ACCEPT
$IPTABLES -A INPUT -m state --state NEW -m tcp -p tcp -s 192.168.50.0/24 --dport 636 -j ACCEPT
$IPTABLES -A INPUT -m state --state NEW -m tcp -p tcp -s 192.168.50.0/24 --dport 80 -j ACCEPT
#
$IPTABLES -t nat -A POSTROUTING -s 192.168.51.0/24 -o $EXTIF0 -j MASQUERADE
#Usado para libera a conexão da rede interna em1
$IPTABLES -t nat -A POSTROUTING -o $EXTIF0 -j MASQUERADE
$IPTABLES -t nat -A POSTROUTING -s 192.168.50.0/24 -j MASQUERADE
#roteamento para a VLAN geral em1.2
$IPTABLES -t nat -A POSTROUTING -s 192.168.51.0/24 -j MASQUERADE
#bloquear de um rede para a outra
$IPTABLES -A FORWARD -s 192.168.50.0/24 -d 192.168.51.0/24 -j DROP
$IPTABLES -A FORWARD -s 192.168.51.0/24 -d 192.168.50.0/24 -j DROP
#liberar para o servidor
$IPTABLES -A FORWARD -s 192.168.50.0/24 -d 192.168.50.1 -j ACCEPT
$IPTABLES -A FORWARD -s 192.168.51.0/24 -d 192.168.51.1 -j ACCEPT
#Roteamento para o squid
$IPTABLES -t nat -A PREROUTING -i $INTIF0 -p tcp --dport 80 -j REDIRECT --to-port 3129
#$IPTABLES -t nat -A PREROUTING -i $INTIF0 -p tcp --dport 443 -j REDIRECT --to-port 3129
#$IPTABLES -t nat -A PREROUTING -i $INTIF1 -p tcp --dport 80 -j REDIRECT --to-port 3128
#$IPTABLES -t nat -A PREROUTING -i $EXTIF0 -p tcp --dport 80 -j REDIRECT --to-port 3128
#
$IPTABLES -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT
echo "\n Protecao contra Ping of dead...\n"
$IPTABLES -A FORWARD -p icmp --icmp-type echo-request -m limit --limit 1/s -j ACCEPT
$IPTABLES -A FORWARD -p icmp --icmp-type echo-reply -m limit --limit 1/s -j ACCEPT
# Todas as regras nao explicitas e todos os outros direcionamentos ( forwards )
# sao negados e registradas no log.
$IPTABLES -A FORWARD -j drop-it
Ele faz com o nslookup o reverso e o normal, mas o ping pelo nome não faz
Segue algumas regras do meu firewall:
#!/bin/sh
# Configuracao de um firewall usando o IPTABLES e duas interfaces ( uma externa
# e uma interna ).
# Para endereco IP fixo ou dinamico na interface externa.
echo -e "\n Carregando rc.firewall...\n"
LSMOD=/sbin/lsmod
DEPMOD=/sbin/depmod
MODPROBE=/sbin/modprobe
INSMOD=/sbin/insmod
GREP=/bin/grep
AWK=/bin/awk
SED=/bin/sed
CUT=/bin/cut
IFCONFIG=/sbin/ifconfig
IPTABLES=/sbin/iptables
UNIVERSE="0.0.0.0/0" #significa qualquer endereco
EXTIF0="p4p1" #conectado no roteador
#IPEXTIF0=192.168.1.49 #ip para telefonica
IPEXTIF0=192.168.0.2 #IP NET
INTNET0=192.168.50.0/24
INTIF0="em1" #conectado no switch, distribuindo a rede
INTNET1=192.168.51.0/24
INTIF1="em1.2" #vlan geral
echo -en "Carregando modulos: \n"
echo "\n Carregando e verificando se os modulos do kernel estao ok... \n"
$DEPMOD -a
echo "\n Habilitando forwarding...\n"
echo 1 > /proc/sys/net/ipv4/ip_forward
echo "\n Limpando as regras existentes e configurando a politica default para drop...\n"
$IPTABLES -P INPUT DROP
$IPTABLES -F INPUT
$IPTABLES -P OUTPUT DROP
$IPTABLES -F OUTPUT
$IPTABLES -P FORWARD DROP
$IPTABLES -F FORWARD
$IPTABLES -F -t nat
# Esvazia a drop-it chain... se ela existe.
if [ -n "`$IPTABLES -L | $GREP drop-it`" ]; then
$IPTABLES -F drop-it
fi
# Remove todas as chains definidas pelos usuarios.
$IPTABLES -X
#
# Zera todos os contadores do IPTABLES.
$IPTABLES -Z
echo "\n Protecao contra Ping of dead...\n"
$IPTABLES -A INPUT -p icmp --icmp-type echo-request -m limit --limit 1/s -j ACCEPT
echo "\n Criando um DROP chain...\n"
$IPTABLES -N drop-it
$IPTABLES -A drop-it -j LOG --log-level info
$IPTABLES -A drop-it -j REJECT
echo "\n Carregando regras INPUT...\n"
# A interfaces loopback é valida.
#
$IPTABLES -A INPUT -i lo -j ACCEPT
#ssh somente para a rede interna
#$IPTABLES -A INPUT -p tcp --dport 20022 -i $INTIF0 -j ACCEPT #ssh
$IPTABLES -A INPUT -p tcp --dport 20022 -j ACCEPT #ssh
$IPTABLES -A INPUT -p tcp --dport 10000 -j ACCEPT #webmin
$IPTABLES -A INPUT -p tcp --dport 901 -j ACCEPT #swat(samba)
#portas dns
$IPTABLES -A INPUT -i $INTIF0 -p tcp --dport 53 -j ACCEPT
$IPTABLES -A INPUT -i $INTIF0 -p udp --dport 53 -j ACCEPT
#portas Squid
$IPTABLES -A INPUT -i $INTIF0 -p tcp --dport 3128 -j ACCEPT
$IPTABLES -A INPUT -i $INTIF0 -p tcp --dport 3129 -j ACCEPT
$IPTABLES -A INPUT -i $INTIF1 -p tcp --dport 3128 -j ACCEPT
$IPTABLES -A INPUT -i $INTIF1 -p tcp --dport 3129 -j ACCEPT
#portas para o Samba
$IPTABLES -A INPUT -p udp --dport 137 -j ACCEPT
$IPTABLES -A INPUT -p udp --dport 138 -j ACCEPT
$IPTABLES -A INPUT -p tcp --dport 139 -j ACCEPT
#porta para o phpldap
$IPTABLES -A INPUT -p tcp --dport 80 -i $INTIF0 -j ACCEPT
#permitir conexoes ao openldap
$IPTABLES -A INPUT -p tcp --dport 389 -i $INTIF0 -j ACCEPT
#Permitindo acesso interno ao srvadmin da dell
$IPTABLES -A INPUT -i $INTIF0 -p tcp --dport 1311 -j ACCEPT
$IPTABLES -A INPUT -i $INTIF1 -p tcp --dport 1311 -j ACCEPT
# Permite acesso externo ao servico OPENVPN
$IPTABLES -A INPUT -i $INTIF0 -p udp --dport 1195 -j ACCEPT
# Permite algum trafego relacionado retornando para o servidor.
$IPTABLES -A INPUT -s $UNIVERSE -m state --state ESTABLISHED,RELATED -j ACCEPT
# Todas as regras nao explicitas e todas as outras entradas
# sao negadas e registradas no log.
#
$IPTABLES -A INPUT -j drop-it
echo "\n Carregando regras OUTPUT...\n"
# A interface loopback é valida.
#
$IPTABLES -A OUTPUT -o lo -j ACCEPT
# Qualquer pacote saindo da interface externa para algum lugar e valido.
#
$IPTABLES -A OUTPUT -o $EXTIF0 -j ACCEPT
$IPTABLES -A OUTPUT -o $INTIF0 -j ACCEPT
$IPTABLES -A OUTPUT -o $INTIF1 -j ACCEPT
# Todas as regras nao explicitas e todas as outras saidas
# sao negadas e registradas no log.
#
$IPTABLES -A OUTPUT -j drop-it
echo "\n Carregando regras FORWARD...\n"
$IPTABLES -A FORWARD -i $INTIF0 -o $EXTIF0 -s $INTNET0 -j ACCEPT
$IPTABLES -A FORWARD -i $INTIF1 -o $EXTIF0 -s $INTNET1 -j ACCEPT
#novo
$IPTABLES -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
$IPTABLES -A OUTPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
$IPTABLES -A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT
#openLDAP
$IPTABLES -A INPUT -m state --state NEW -m tcp -p tcp -s 192.168.50.0/24 --dport 389 -j ACCEPT
$IPTABLES -A INPUT -m state --state NEW -m tcp -p tcp -s 192.168.50.0/24 --dport 636 -j ACCEPT
$IPTABLES -A INPUT -m state --state NEW -m tcp -p tcp -s 192.168.50.0/24 --dport 80 -j ACCEPT
#
$IPTABLES -t nat -A POSTROUTING -s 192.168.51.0/24 -o $EXTIF0 -j MASQUERADE
#Usado para libera a conexão da rede interna em1
$IPTABLES -t nat -A POSTROUTING -o $EXTIF0 -j MASQUERADE
$IPTABLES -t nat -A POSTROUTING -s 192.168.50.0/24 -j MASQUERADE
#roteamento para a VLAN geral em1.2
$IPTABLES -t nat -A POSTROUTING -s 192.168.51.0/24 -j MASQUERADE
#bloquear de um rede para a outra
$IPTABLES -A FORWARD -s 192.168.50.0/24 -d 192.168.51.0/24 -j DROP
$IPTABLES -A FORWARD -s 192.168.51.0/24 -d 192.168.50.0/24 -j DROP
#liberar para o servidor
$IPTABLES -A FORWARD -s 192.168.50.0/24 -d 192.168.50.1 -j ACCEPT
$IPTABLES -A FORWARD -s 192.168.51.0/24 -d 192.168.51.1 -j ACCEPT
#Roteamento para o squid
$IPTABLES -t nat -A PREROUTING -i $INTIF0 -p tcp --dport 80 -j REDIRECT --to-port 3129
#$IPTABLES -t nat -A PREROUTING -i $INTIF0 -p tcp --dport 443 -j REDIRECT --to-port 3129
#$IPTABLES -t nat -A PREROUTING -i $INTIF1 -p tcp --dport 80 -j REDIRECT --to-port 3128
#$IPTABLES -t nat -A PREROUTING -i $EXTIF0 -p tcp --dport 80 -j REDIRECT --to-port 3128
#
$IPTABLES -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT
echo "\n Protecao contra Ping of dead...\n"
$IPTABLES -A FORWARD -p icmp --icmp-type echo-request -m limit --limit 1/s -j ACCEPT
$IPTABLES -A FORWARD -p icmp --icmp-type echo-reply -m limit --limit 1/s -j ACCEPT
# Todas as regras nao explicitas e todos os outros direcionamentos ( forwards )
# sao negados e registradas no log.
$IPTABLES -A FORWARD -j drop-it
Israel Ziegler
Sep 30, 2014, 12:47:31 PM9/30/14
to tche...@googlegroups.com
O DNS das tuas máquinas, são este servidor?!
Murilo Nunes da Silva
Sep 30, 2014, 1:28:54 PM9/30/14
to tche...@googlegroups.com
Sim era
Mas agora testei de outra forma
mudei o /etc/resolv.conf e deixei como 127.0.0.1 e deu certo
cat /etc/resolv.conf
# Dynamic resolv.conf(5) file for glibc resolver(3) generated by resolvconf(8)
# DO NOT EDIT THIS FILE BY HAND -- YOUR CHANGES WILL BE OVERWRITTEN
nameserver 127.0.1.1
Obrigado por toda ajuda Israel/Marcos
Ótimo que irá ficar para tantos outros consultarem
Então, postarei logo abaixo como ficaram todos os arquivos envolvidos:
No Servidor:
# cat /etc/sysconfig/network
NETWORKING=yes
HOSTNAME="NOME DE SEU SERVIDOR"
Mas agora testei de outra forma
mudei o /etc/resolv.conf e deixei como 127.0.0.1 e deu certo
cat /etc/resolv.conf
# Dynamic resolv.conf(5) file for glibc resolver(3) generated by resolvconf(8)
# DO NOT EDIT THIS FILE BY HAND -- YOUR CHANGES WILL BE OVERWRITTEN
nameserver 127.0.1.1
Obrigado por toda ajuda Israel/Marcos
Ótimo que irá ficar para tantos outros consultarem
Então, postarei logo abaixo como ficaram todos os arquivos envolvidos:
No Servidor:
# cat /etc/sysconfig/network
NETWORKING=yes
HOSTNAME="NOME DE SEU SERVIDOR"
# cat /etc/hosts
192.168.50.1 zona.local srv01producao
192.168.51.1 srv01producao
127.0.0.1 localhost localhost.localdomain localhost4 localhost4.localdomain4
127.0.0.1 srv01producao
::1 localhost localhost.localdomain localhost6 localhost6.localdomain6
include "/etc/named.rfc1912.zones";
include "/etc/named.root.key";
include "/etc/named.root.key";
# cat /var/named/zona.local.db
$TTL 36000
@ IN SOA @ srv01producao.zona.local. (
2014093001 ; serial
1H ; refresh
1800 ; retry
1W ; expire
3600 ) ; minimum
NS ns1
ns1 A 192.168.50.1
www A 192.168.50.1
# cat /var/named/zona.reversa
$TTL 86400
@ IN SOA srv01producao.zona.local. root.zona.local. (
2014092401 ;Serial
3600 ;Refresh
1800 ;Retry
604800 ;Expire
86400 ;Minimum TTL
)
@ IN NS srv01producao.zona.local.
@ IN PTR zona.local
srv01producao IN A 192.168.50.1
1 IN PTR srv01producao.zona.local.
@ IN SOA srv01producao.zona.local. root.zona.local. (
2014092401 ;Serial
3600 ;Refresh
1800 ;Retry
604800 ;Expire
86400 ;Minimum TTL
)
@ IN NS srv01producao.zona.local.
@ IN PTR zona.local
srv01producao IN A 192.168.50.1
1 IN PTR srv01producao.zona.local.
Bom acho que é só isso :D
Os demais estão na Thread
Abraços
Os demais estão na Thread
Abraços
Israel Ziegler
Sep 30, 2014, 3:29:35 PM9/30/14
to tche...@googlegroups.com
Capaz ...
Estamos ai pra isso ..
abraço!
Murilo Nunes da Silva
Sep 30, 2014, 3:37:34 PM9/30/14
to tche...@googlegroups.com
Uma dúvida "tonta" que me veio a mente agora
eu nomeei somente o servidor dns (srv01producao) no arquivo da zona.local
para que os demais pcs da rede possam responder o ping por seus nomes, esses deverão também estar listados no arquivo da zona e na zona reversa?
Se sim, não há alguma maneira que isso seja feito de maneira automática? Exemplo: meu dhcp já está setado para atribuir para todo e qualquer pc da rede seu endereço automático de dns do meu servidor dns. Por que então ele não já associaria seu nome?
eu nomeei somente o servidor dns (srv01producao) no arquivo da zona.local
para que os demais pcs da rede possam responder o ping por seus nomes, esses deverão também estar listados no arquivo da zona e na zona reversa?
Se sim, não há alguma maneira que isso seja feito de maneira automática? Exemplo: meu dhcp já está setado para atribuir para todo e qualquer pc da rede seu endereço automático de dns do meu servidor dns. Por que então ele não já associaria seu nome?
Israel Ziegler
Sep 30, 2014, 6:23:59 PM9/30/14
to tche...@googlegroups.com
Opa!
Sim, está correto.
Aí entra aquilo que o Carraro citou no reply 2 .. mas aí eu já não manjo muito, vou deixar pra ele ou a equipe opinar!
Marcos Carraro
Sep 30, 2014, 7:11:33 PM9/30/14
to tche...@googlegroups.com
Buenas,
Para que ele faça automaticamente a criação deste registro, sim tu precisa configurar o dhcpd com dns.
basicamente, tu tem indicar no dhcp alguns parâmetros para que ele possa atualizar automaticamente, não tenho mais o link, mas segue alguns
Murilo Nunes da Silva
Oct 1, 2014, 10:19:20 AM10/1/14
to tche...@googlegroups.com
Marcos,
Segui o exemplo do link do viva o linux, mas no momento de validar as configurações do dhcpd ele não encontrava a chave. Então fiz conforme o link:
http://vflent.com/?p=346
Ficando assim:
Parte do dhpcd.conf
option domain-name "srv01producao";
#anteriormente era = option domain-name-servers 8.8.8.8, 8.8.4.4;
#apontando para o servidor DNS local
option domain-name-servers 192.168.50.1;
Segui o exemplo do link do viva o linux, mas no momento de validar as configurações do dhcpd ele não encontrava a chave. Então fiz conforme o link:
http://vflent.com/?p=346
Ficando assim:
Parte do dhpcd.conf
option domain-name "srv01producao";
#anteriormente era = option domain-name-servers 8.8.8.8, 8.8.4.4;
#apontando para o servidor DNS local
option domain-name-servers 192.168.50.1;
#tempo de concessao padrao
default-lease-time 600;
#tempo maximo de concessao
max-lease-time 7200;
#anterior: ddns-update-style none;
#O valor abaixo serve para ativar(interim) ou desativar(none) o dns dinamico
ddns-update-style interim;
#O valor abaixo serve para ativar(interim) ou desativar(none) o dns dinamico
ddns-update-style interim;
#informa que esse DHCP Server e valido
authoritative;
ddns-domainname "zona.local";
ddns-rev-domainname "50.168.192.in-addr.arpa";
key dhcpupdate {
algorithm hmac-md5;
secret HrBfa485I7Fsh1A0ELH6QA==;
}
zone zona.local {
primary 127.0.0.1;
key dhcpupdate;
}
zone 50.168.192.in-addr.arpa {
primary 127.0.0.1;
key dhcpupdate;
}
Arquivo Named.conf
ddns-rev-domainname "50.168.192.in-addr.arpa";
key dhcpupdate {
algorithm hmac-md5;
secret HrBfa485I7Fsh1A0ELH6QA==;
}
zone zona.local {
primary 127.0.0.1;
key dhcpupdate;
}
zone 50.168.192.in-addr.arpa {
primary 127.0.0.1;
key dhcpupdate;
}
Arquivo Named.conf
allow-update{ key dhcpupdate; };
notify yes;
};
notify yes;
};
//Zona reversa
zone "50.168.192.in-addr.arpa" IN {
type master;
file "zona.reversa";
allow-update{ key dhcpupdate; };
notify yes;
};
key dhcpupdate {
algorithm hmac-md5;
secret "HrBfa485I7Fsh1A0ELH6QA==";
};
include "/etc/named.rfc1912.zones";
include "/etc/named.root.key";
Porém ele não atribuiu corretamente: /var/log/messages
Oct 1 11:16:44 arcertfacil named[25453]: client 127.0.0.1#33154: signer "dhcpupdate" approved
Oct 1 11:16:44 arcertfacil named[25453]: client 127.0.0.1#33154: updating zone 'zona.local/IN': adding an RR at 'cv02.zona.local' A
Oct 1 11:16:44 arcertfacil named[25453]: client 127.0.0.1#33154: updating zone 'zona.local/IN': adding an RR at 'cv02.zona.local' TXT
Oct 1 11:16:44 arcertfacil kernel: IN=em1 OUT= MAC=a4:1f:72:f9:d2:83:64:1c:67:65:e8:97:08:00 SRC=192.168.50.6 DST=192.168.50.1 LEN=328 TOS=0x00 PREC=0x00 TTL=64 ID=18866 DF PROTO=UDP SPT=68 DPT=67 LEN=308
Oct 1 11:16:44 arcertfacil named[25453]: zona.local.db.jnl: create: permission denied
Oct 1 11:16:44 arcertfacil named[25453]: client 127.0.0.1#33154: updating zone 'zona.local/IN': error: journal open failed: unexpected error
Oct 1 11:16:44 arcertfacil dhcpd: Unable to add forward map from cv02.zona.local to 192.168.50.6: timed out
Oct 1 11:16:44 arcertfacil dhcpd: DHCPREQUEST for 192.168.50.6 from 64:1c:67:65:e8:97 (cv02) via em1
Oct 1 11:16:44 arcertfacil dhcpd: DHCPACK on 192.168.50.6 to 64:1c:67:65:e8:97 (cv02) via em1
notify yes;
};
key dhcpupdate {
algorithm hmac-md5;
secret "HrBfa485I7Fsh1A0ELH6QA==";
};
include "/etc/named.rfc1912.zones";
include "/etc/named.root.key";
Porém ele não atribuiu corretamente: /var/log/messages
Oct 1 11:16:44 arcertfacil named[25453]: client 127.0.0.1#33154: signer "dhcpupdate" approved
Oct 1 11:16:44 arcertfacil named[25453]: client 127.0.0.1#33154: updating zone 'zona.local/IN': adding an RR at 'cv02.zona.local' A
Oct 1 11:16:44 arcertfacil named[25453]: client 127.0.0.1#33154: updating zone 'zona.local/IN': adding an RR at 'cv02.zona.local' TXT
Oct 1 11:16:44 arcertfacil kernel: IN=em1 OUT= MAC=a4:1f:72:f9:d2:83:64:1c:67:65:e8:97:08:00 SRC=192.168.50.6 DST=192.168.50.1 LEN=328 TOS=0x00 PREC=0x00 TTL=64 ID=18866 DF PROTO=UDP SPT=68 DPT=67 LEN=308
Oct 1 11:16:44 arcertfacil named[25453]: zona.local.db.jnl: create: permission denied
Oct 1 11:16:44 arcertfacil named[25453]: client 127.0.0.1#33154: updating zone 'zona.local/IN': error: journal open failed: unexpected error
Oct 1 11:16:44 arcertfacil dhcpd: Unable to add forward map from cv02.zona.local to 192.168.50.6: timed out
Oct 1 11:16:44 arcertfacil dhcpd: DHCPREQUEST for 192.168.50.6 from 64:1c:67:65:e8:97 (cv02) via em1
Oct 1 11:16:44 arcertfacil dhcpd: DHCPACK on 192.168.50.6 to 64:1c:67:65:e8:97 (cv02) via em1
...
Murilo Nunes da Silva
Oct 2, 2014, 3:36:49 PM10/2/14
to tche...@googlegroups.com
Pessoal, boa tarde
Acabo de perceber que o nslookup através do nome da máquina não funciona
vejam exemplos:
root@certfacil-ti:~# nslookup srv01producao
;; Got SERVFAIL reply from 192.168.50.1, trying next server
Server: 192.168.50.1
Address: 192.168.50.1#53
** server can't find srv01producao: NXDOMAIN
Já por IP funciona:
root@certfacil-ti:~# nslookup 192.168.50.1
Server: 192.168.50.1
Address: 192.168.50.1#53
1.50.168.192.in-addr.arpa name = srv01producao.zona.local.
Segue abaixo os arquivos das zonas:
]# cat /var/named/zona.local.db
Acabo de perceber que o nslookup através do nome da máquina não funciona
vejam exemplos:
root@certfacil-ti:~# nslookup srv01producao
;; Got SERVFAIL reply from 192.168.50.1, trying next server
Server: 192.168.50.1
Address: 192.168.50.1#53
** server can't find srv01producao: NXDOMAIN
Já por IP funciona:
root@certfacil-ti:~# nslookup 192.168.50.1
Server: 192.168.50.1
Address: 192.168.50.1#53
1.50.168.192.in-addr.arpa name = srv01producao.zona.local.
Segue abaixo os arquivos das zonas:
]# cat /var/named/zona.local.db
$TTL 36000
@ IN SOA @ srv01producao.zona.local. (
2014093001 ; serial
1H ; refresh
1800 ; retry
1W ; expire
3600 ) ; minimum
NS ns1
ns1 A 192.168.50.1
www A 192.168.50.1
# cat /var/named/zona.reversa
$TTL 86400
@ IN SOA srv01producao.zona.local. root.zona.local. (
2014092401 ;Serial
3600 ;Refresh
1800 ;Retry
604800 ;Expire
86400 ;Minimum TTL
)
@ IN NS srv01producao.zona.local.
@ IN PTR zona.local
srv01producao IN A 192.168.50.1
1 IN PTR srv01producao.zona.local.
...
Marcos Carraro
Oct 3, 2014, 4:06:24 PM10/3/14
to tche...@googlegroups.com
Bitchoooo
Se liga ai...
O nslookup reclamou..
root@certfacil-ti:~# nslookup srv01producao
;; Got SERVFAIL reply from 192.168.50.1, trying next server
Server: 192.168.50.1
Address: 192.168.50.1#53
** server can't find srv01producao: NXDOMAIN
Já por IP funciona:
root@certfacil-ti:~# nslookup 192.168.50.1
Server: 192.168.50.1
Address: 192.168.50.1#53
;; Got SERVFAIL reply from 192.168.50.1, trying next server
Server: 192.168.50.1
Address: 192.168.50.1#53
** server can't find srv01producao: NXDOMAIN
Já por IP funciona:
root@certfacil-ti:~# nslookup 192.168.50.1
Server: 192.168.50.1
Address: 192.168.50.1#53
Tens que indicar o dominio... NOME+DOMINIO
EXEMPLO.
[root@lab yum.repos.d]# nslookup lab.abcd.com.br
Server: 192.168.1.253
Address: 192.168.1.253#53
Name: lab.abcd.com.br
Address: 192.168.1.222
--
Murilo Nunes da Silva
Oct 6, 2014, 8:02:52 AM10/6/14
to tche...@googlegroups.com
Bom dia a todos :D
Marcos,
Quando eu faço o que me disse retornar algo parecido
# nslookup srv01producao.zona.local
Marcos,
Quando eu faço o que me disse retornar algo parecido
# nslookup srv01producao.zona.local
;; Got SERVFAIL reply from 192.168.50.1, trying next server
;; Got SERVFAIL reply from 192.168.50.1, trying next server
Server: 8.8.8.8
Address: 8.8.8.8#53
** server can't find srv01producao.zona.local: NXDOMAIN
OU
# nslookup srv01producao.zona.local.
Address: 8.8.8.8#53
** server can't find srv01producao.zona.local: NXDOMAIN
OU
# nslookup srv01producao.zona.local.
;; Got SERVFAIL reply from 192.168.50.1, trying next server
;; Got SERVFAIL reply from 192.168.50.1, trying next server
Server: 8.8.8.8
Address: 8.8.8.8#53
** server can't find srv01producao.zona.local.: NXDOMAIN
Outro ponto é que os pcs não estão conseguindo serem adicionados automaticamente
tail -1800 /var/log/messages | grep cv01
Oct 6 09:00:33 zona dhcpd: Unable to add forward map from cv01.zona.local to 192.168.50.14: timed out
Oct 6 09:00:33 zona dhcpd: DHCPREQUEST for 192.168.50.14 from 64:1c:67:66:37:a6 (cv01) via em1
Oct 6 09:00:33 zona dhcpd: DHCPACK on 192.168.50.14 to 64:1c:67:66:37:a6 (cv01) via em1
Address: 8.8.8.8#53
** server can't find srv01producao.zona.local.: NXDOMAIN
Outro ponto é que os pcs não estão conseguindo serem adicionados automaticamente
tail -1800 /var/log/messages | grep cv01
Oct 6 09:00:33 zona dhcpd: Unable to add forward map from cv01.zona.local to 192.168.50.14: timed out
Oct 6 09:00:33 zona dhcpd: DHCPREQUEST for 192.168.50.14 from 64:1c:67:66:37:a6 (cv01) via em1
Oct 6 09:00:33 zona dhcpd: DHCPACK on 192.168.50.14 to 64:1c:67:66:37:a6 (cv01) via em1
Murilo Nunes da Silva
Oct 8, 2014, 4:51:28 PM10/8/14
to tche...@googlegroups.com
Boa tarde a todos
Consegui fazer os equipamentos encontrarem via nslookup o servidor
Segui esse tutorial: http://www.tecmint.com/setup-master-slave-dns-server-in-centos/
# nslookup srv01producao.zona.local.
Server: 192.168.50.1
Address: 192.168.50.1#53
Name: srv01producao.zona.local
Address: 192.168.50.1
# nslookup srv01producao.zona.local (sem o ponto)
Server: 192.168.50.1
Address: 192.168.50.1#53
Name: srv01producao.zona.local
Address: 192.168.50.1
# nslookup srv01producao (somente o nome do servidor)
Server: 192.168.50.1
Address: 192.168.50.1#53
Name: srv01producao.zona.local
Address: 192.168.50.1
Agora só falta mesmo o último ponto, fazer integração com o DHCP funcionar :D
Nos logs exibe as seguintes mensagens:
# tail /var/log/messages
Oct 8 17:44:10 srv01producao kernel: IN=em1 OUT= MAC=a4:1f:72:f9:d2:83:64:1c:67:66:37:a6:08:00 SRC=192.168.50.14 DST=192.168.50.1 LEN=328 TOS=0x00 PREC=0x00 TTL=64 ID=7324 DF PROTO=UDP SPT=68 DPT=67 LEN=308
Oct 8 17:44:10 srv01producao named[2183]: zona.local.db.new.jnl: create: permission denied
Oct 8 17:44:10 srv01producao named[2183]: client 127.0.0.1#36868: updating zone 'zona.local/IN': error: journal open failed: unexpected error
Oct 8 17:44:10 srv01producao dhcpd: Unable to add forward map from cv01.zona.local to 192.168.50.14: timed out
Oct 8 17:44:10 srv01producao dhcpd: DHCPREQUEST for 192.168.50.14 from 64:1c:67:66:37:a6 (cv01) via em1
Oct 8 17:44:10 srv01producao dhcpd: DHCPACK on 192.168.50.14 to 64:1c:67:66:37:a6 (cv01) via em1
Oct 8 17:44:15 srv01producao named[2183]: error (network unreachable) resolving 'ns-1760.awsdns-28.co.uk/A/IN': 2001:502:ad09::3#53
Oct 8 17:44:15 srv01producao named[2183]: error (network unreachable) resolving 'ns-1760.awsdns-28.co.uk/AAAA/IN': 2001:502:ad09::3#53
Oct 8 17:44:15 srv01producao kernel: IN=em1 OUT= MAC=ff:ff:ff:ff:ff:ff:70:71:bc:66:f3:c1:08:00 SRC=192.168.50.17 DST=255.255.255.255 LEN=132 TOS=0x00 PREC=0x00 TTL=64 ID=19808 DF PROTO=UDP SPT=17500 DPT=17500 LEN=112
Oct 8 17:44:15 srv01producao kernel: IN=em1 OUT= MAC=ff:ff:ff:ff:ff:ff:70:71:bc:66:f3:c1:08:00 SRC=192.168.50.17 DST=192.168.50.255 LEN=132 TOS=0x00 PREC=0x00 TTL=64 ID=11840 DF PROTO=UDP SPT=17500 DPT=17500 LEN=112
Em que diretório ele deveria criar esse arquivo /var/named ou /etc?
Devo dar permissões para o diretório ou criar eu mesmo na mão o arquivo?
Quais seriam as permissões necessárias e qual o grupo/usuário proprietário dos arquivos?
Consegui fazer os equipamentos encontrarem via nslookup o servidor
Segui esse tutorial: http://www.tecmint.com/setup-master-slave-dns-server-in-centos/
# nslookup srv01producao.zona.local.
Server: 192.168.50.1
Address: 192.168.50.1#53
Name: srv01producao.zona.local
Address: 192.168.50.1
# nslookup srv01producao.zona.local (sem o ponto)
Server: 192.168.50.1
Address: 192.168.50.1#53
Name: srv01producao.zona.local
Address: 192.168.50.1
# nslookup srv01producao (somente o nome do servidor)
Server: 192.168.50.1
Address: 192.168.50.1#53
Name: srv01producao.zona.local
Address: 192.168.50.1
Agora só falta mesmo o último ponto, fazer integração com o DHCP funcionar :D
Nos logs exibe as seguintes mensagens:
# tail /var/log/messages
Oct 8 17:44:10 srv01producao kernel: IN=em1 OUT= MAC=a4:1f:72:f9:d2:83:64:1c:67:66:37:a6:08:00 SRC=192.168.50.14 DST=192.168.50.1 LEN=328 TOS=0x00 PREC=0x00 TTL=64 ID=7324 DF PROTO=UDP SPT=68 DPT=67 LEN=308
Oct 8 17:44:10 srv01producao named[2183]: zona.local.db.new.jnl: create: permission denied
Oct 8 17:44:10 srv01producao named[2183]: client 127.0.0.1#36868: updating zone 'zona.local/IN': error: journal open failed: unexpected error
Oct 8 17:44:10 srv01producao dhcpd: Unable to add forward map from cv01.zona.local to 192.168.50.14: timed out
Oct 8 17:44:10 srv01producao dhcpd: DHCPREQUEST for 192.168.50.14 from 64:1c:67:66:37:a6 (cv01) via em1
Oct 8 17:44:10 srv01producao dhcpd: DHCPACK on 192.168.50.14 to 64:1c:67:66:37:a6 (cv01) via em1
Oct 8 17:44:15 srv01producao named[2183]: error (network unreachable) resolving 'ns-1760.awsdns-28.co.uk/A/IN': 2001:502:ad09::3#53
Oct 8 17:44:15 srv01producao named[2183]: error (network unreachable) resolving 'ns-1760.awsdns-28.co.uk/AAAA/IN': 2001:502:ad09::3#53
Oct 8 17:44:15 srv01producao kernel: IN=em1 OUT= MAC=ff:ff:ff:ff:ff:ff:70:71:bc:66:f3:c1:08:00 SRC=192.168.50.17 DST=255.255.255.255 LEN=132 TOS=0x00 PREC=0x00 TTL=64 ID=19808 DF PROTO=UDP SPT=17500 DPT=17500 LEN=112
Oct 8 17:44:15 srv01producao kernel: IN=em1 OUT= MAC=ff:ff:ff:ff:ff:ff:70:71:bc:66:f3:c1:08:00 SRC=192.168.50.17 DST=192.168.50.255 LEN=132 TOS=0x00 PREC=0x00 TTL=64 ID=11840 DF PROTO=UDP SPT=17500 DPT=17500 LEN=112
Em que diretório ele deveria criar esse arquivo /var/named ou /etc?
Devo dar permissões para o diretório ou criar eu mesmo na mão o arquivo?
Quais seriam as permissões necessárias e qual o grupo/usuário proprietário dos arquivos?
Murilo Nunes da Silva
Oct 20, 2014, 9:49:37 AM10/20/14
to tche...@googlegroups.com
Pessoal, boa tarde
Tudo bem?
Ainda estou parado nesse problema :(
Fiz um teste inusitado, pluguei um pc Windows nessa rede e fiz o ping através do nome de um dos pcs, que segundo o ubuntu não respondiam pelo nome
E o pc conseguiu fazer o ping pelo Windows, porém pelo Ubuntu este não é feito
Seguem algumas telas:
Porém, ao fazer o nslookup pelo nome do servidor, do pc Windows, ele não reconhece através do nome
Alguma luz?
Murilo Nunes da Silva
Oct 29, 2014, 3:49:47 PM10/29/14
to tche...@googlegroups.com
Pessoal, boa tarde
Alguém já viu algo parecido? Não sei mais o que olhar :(
Alguém já viu algo parecido? Não sei mais o que olhar :(
Murilo Nunes da Silva
Nov 12, 2014, 1:00:10 PM11/12/14
to tche...@googlegroups.com
Pessoal, boa tarde
Alguém já pensou em algo diferente?
Até mesmo desativei o UFW das estações ubuntu, mas nada resolveu :(
Caso vocês queiram, eu resumo tudo no último tópico para facilitar o que fiz
Alguém já pensou em algo diferente?
Até mesmo desativei o UFW das estações ubuntu, mas nada resolveu :(
Caso vocês queiram, eu resumo tudo no último tópico para facilitar o que fiz
Marcos Carraro
Nov 13, 2014, 5:07:42 AM11/13/14
to tche...@googlegroups.com
posta no pastebin todos .conf do DNS e do DHCP, inclusive as zonas diretas e reversas.
Murilo Nunes da Silva
Nov 13, 2014, 6:06:39 AM11/13/14
to tche...@googlegroups.com
Bom dia
Acabei mandando sem querer e-mail para ti
Vou mandar aqui
Links do Pastebin
/var/log/messages
http://pastebin.com/yWTHAcXy
/etc/sysconfig/selinux
http://pastebin.com/YGNrWND8
/etc/sysconfig/network
http://pastebin.com/qpD5ScXz
/etc/sysconfig/network-scripts/ifcfg-eth0
http://pastebin.com/F2bDvP5b
/etc/sysconfig/network-scripts/ifcfg-eth1
http://pastebin.com/hn3tNuyD
/etc/host.conf
http://pastebin.com/qYHLxDvP
/etc/hosts
http://pastebin.com/Q4qDK8F4
/etc/dhcp/dhcpd.conf
http://pastebin.com/GUTYJrTg
/etc/named.conf
http://pastebin.com/hhVxdHJQ
/var/named/zona.local.db
http://pastebin.com/eveue9bZ
/var/named/zona.reversa
http://pastebin.com/10uzh44K
Acho que de arquivos é só isso :D
Testes realizados:
Em uma máquina cliente:
#cat /etc/resolv.conf
search zona.local
nameserver 192.168.50.1
* Nslookup com falha
*Ping no servidor com sucesso:
Nslookup com sucesso:
Ping desse mesmo pc para qualquer outro pc da rede
Pelo IP:
Por nome:
Desde já agradeço o interesse e toda a ajuda fornecida
Acabei mandando sem querer e-mail para ti
Vou mandar aqui
Links do Pastebin
/var/log/messages
http://pastebin.com/yWTHAcXy
/etc/sysconfig/selinux
http://pastebin.com/YGNrWND8
/etc/sysconfig/network
http://pastebin.com/qpD5ScXz
/etc/sysconfig/network-scripts/ifcfg-eth0
http://pastebin.com/F2bDvP5b
/etc/sysconfig/network-scripts/ifcfg-eth1
http://pastebin.com/hn3tNuyD
/etc/host.conf
http://pastebin.com/qYHLxDvP
/etc/hosts
http://pastebin.com/Q4qDK8F4
/etc/dhcp/dhcpd.conf
http://pastebin.com/GUTYJrTg
/etc/named.conf
http://pastebin.com/hhVxdHJQ
/var/named/zona.local.db
http://pastebin.com/eveue9bZ
/var/named/zona.reversa
http://pastebin.com/10uzh44K
Acho que de arquivos é só isso :D
Testes realizados:
Em uma máquina cliente:
#cat /etc/resolv.conf
search zona.local
nameserver 192.168.50.1
* Nslookup com falha
root@pc-ti:~# nslookup srv01producao
Server: 192.168.50.1
Address: 192.168.50.1#53
** server can't find srv01producao.zona.local: SERVFAIL
root@pc-ti:~# nslookup srv01producao.zona.local.
Server: 192.168.50.1
Address: 192.168.50.1#53
** server can't find srv01producao.zona.local: SERVFAIL
root@pc-ti:~# nslookup srv01producao.zona.local
Server: 192.168.50.1
Address: 192.168.50.1#53
** server can't find srv01producao.zona.local: SERVFAIL
*Ping no servidor com sucesso:
root@pc-ti:~# ping srv01producao
PING srv01producao (192.168.50.1) 56(84) bytes of data.
64 bytes from srv01producao (192.168.50.1): icmp_seq=1 ttl=64 time=0.360 ms
64 bytes from srv01producao (192.168.50.1): icmp_seq=2 ttl=64 time=0.347 ms
^C
--- srv01producao ping statistics ---
2 packets transmitted, 2 received, 0% packet loss, time 1001ms
rtt min/avg/max/mdev = 0.347/0.353/0.360/0.019 ms
Nslookup com sucesso:
root@pc-ti:~# nslookup www.google.com.br
Server: 192.168.50.1
Address: 192.168.50.1#53
Non-authoritative answer:
Name: www.google.com.br
Address: 173.194.125.55
Name: www.google.com.br
Address: 173.194.125.63
Name: www.google.com.br
Address: 173.194.125.56
Ping desse mesmo pc para qualquer outro pc da rede
Pelo IP:
root@pc-ti:~# ping 192.168.50.14
PING 192.168.50.14 (192.168.50.14) 56(84) bytes of data.
64 bytes from 192.168.50.14: icmp_seq=1 ttl=64 time=0.567 ms
64 bytes from 192.168.50.14: icmp_seq=2 ttl=64 time=0.291 ms
^C
--- 192.168.50.14 ping statistics ---
2 packets transmitted, 2 received, 0% packet loss, time 999ms
rtt min/avg/max/mdev = 0.291/0.429/0.567/0.138 ms
Por nome:
root@pc-ti:~# ping cv01
ping: unknown host cv01
Desde já agradeço o interesse e toda a ajuda fornecida
Reply all
Reply to author
Forward
0 new messages