<HEAD><TITLE>Servindo DNS recursivo</TITLE>
<META HTTP-EQUIV="Content-Type" CONTENT="text/html; charset=iso8859-1">
</HEAD><BODY>
<!-- Copyright 2005 Sam Trenholme
TERMS
Redistribution and use, with or without modification, are permitted
provided that the following condition is met:
1. Redistributions must retain the above copyright notice, this
list of conditions and the following disclaimer.
This documentation is provided 'as is' with no guarantees of
correctness or fitness for purpose.
-->
<H1>Usando MaraDNS como um servidor de DNS recursivo</H1>
Este documento é um guia passo a passo para configurar MaraDNS
como um servidor de DNS recursivo. É assumido que o MaraDNS já esteja<A
href=compile.html>compilado e installado</A>.
<A name=toc>
<H2>Índice</H2>
</A>
<ul>
<li><A href=#basic>Configuração básica</A>
<li><A href=#slow>Usando MaraDNS em uma rede lenta</A>
<li><A href=#upstream>Usando outros servidores de DNS recursivo</A>
<li><A href=#otherroot>Usando diferentes servidores raizes</A>
<li><A href=#private>Tendo nomes de host privado</A>
<li><A href=#custom>Customizando a resolução de alguns nomes<A>
</ul>
<A name=basic>
<H2>Configuração básica</H2>
</A>
Uma vez com o MaraDNS instalado, o arquivo <tt>mararc</tt> precisa ser configurado
antes do MaraDNS funcionar como um servidor recursivo. Este arquivo precisa somente
destas três linhas:
<pre>
ipv4_bind_addresses = "127.0.0.1"
chroot_dir = "/etc/maradns"
recursive_acl = "127.0.0.1"
</pre>
<p>
Este arquivo de três linhas precisa ser chamado de <tt>/etc/mararc</tt>.
<p>
A primeira linha é o endereço IP ou o endereço que MaraDNS usará.
Aqui, tem o endereço 127.0.0.1, e significa que somente a máquina que
executa o MaraDNS poderá ter acesso ao servidor MaraDNS -- outras
máquinas não poderão vê-lo.
<p>
Se a máquina que executar MaraDNS for acessada por outras máquinas,
este IP necessita ser mudado para um IP que as outras enxerguem.
<p>
É possível ter o MaraDNS rodando em múltiplos endereços IP:
<pre>
ipv4_bind_addresses = "10.1.3.2, 192.168.0.1, 127.0.0.1"
</pre>
A secunda linha, <tt>chroot_dir</tt> é o diretório da onde MaraDNS será
executado. Quando MaraDNS está sendo usado como um servidor recursivo,
este apenas precisa ser um diretório vazio, idealmente com permissões do
usuário root.
<p>
A terceira linha, <tt>recursive_acl</tt>, determina a faixa
de IPs que podem acessar o servidor recursivo. Este é um
formato IP/netmask. Por exemplo, se alguem tem um escritório
no qual utiliza os IPs na forma 192.168.1.1, 192.168.1.2, etc.,
e deseja ter somente <i>qualquer</i> 192.168.1. em ser
permitido fazer consultas recursivas:
<pre>
recursive_acl = "<b>192.168.1.0/24</b>"</tt>
</pre>
Aqui o "/24" indica que vamos ignorar o quarto número do IP
quando determiamos quem contata o MaraDNS.
<p>
Uma vez feito isso, outras máquinas podem contatar o servidor MaraDNS
para realizar consultas DNS. Por exemplo, MaraDNS é agora o servidor de DNS
que o Windows 98 pode usar no "painel controle - > rede - > TCP/IP - >
Configuração DNS", ou um sistema UNIX podem apontar em
<tt>/etc/resolv.conf</tt >.
<A name=slow>
<h2>Usando MaraDNS em uma rede lenta</h2></A>
Quando o MaraDNS encontra-se em um rede lenta, ele pode
expirar o tempo. MaraDNS normalmente espera somente dois
segundos para responder a um servidor remoto. Isto não é um
tempo suficiente para procesar consultas em algumas redes lentas.
Pode-se mudar isso elevando o valor de <tt>timeout_seconds</tt>.
<p>
Aqui está um arquivo mararc que espera seis segundos (invés dos dois
segundos padrão) para responder um servidor remoto:
<pre>
ipv4_bind_addresses = "127.0.0.1"
chroot_dir = "/etc/maradns"
recursive_acl = "127.0.0.1"
timeout_seconds = 6
</pre>
<!-- Guess what? All of the supported OSes that MaraDNS compiles on,
with the exception of the mingw32 semi-port (which has its own
workaround), have /dev/urandom support. So we don't need to tell
people how to set up a random_seed_file in the tutorial. -->
<A name=upstream>
<h2>Usando outros servidores de DNS recursivo</h2>
</A>
É possível ter o MaraDNS contatando outros servidores recursivos, em vez
de contatar os servidores raizes para processar as consultas recursivas. Para
essa situação usamos a variável <tt>upstream_servers</tt> do arquivo
mararc.
<p>
Ou seja, um usa o outro, digo, o servidor do provedor realiza as traduções e
o MaraDNS age como cache dessas traduções. Supondo que os servidores do
provedor tenham os IPs 10.66.77.88 e 10.99.11.22, o arquivo mararc ficará
assim:
<pre>
ipv4_bind_addresses = "127.0.0.1"
chroot_dir = "/etc/maradns"
recursive_acl = "127.0.0.1"
upstream_servers = {}
upstream_servers = "10.66.77.88, 10.99.11.22"
</pre>
<A name=otherroot>
<h2>Usando diferentes servidores raizes</h2></A>
MaraDNS, por padrão, usas os servidore de nomes ICANN como os
servidores raizes. A razão por este padrão é prático: Em minha
experiência, os servidores de nomes raiz da ICANN são os que
menos freqüentemente mudam seus endereços de IP.
São os melhores servidores de nomes para simplesmente
"configurar e esquecer" para ambientes recursivos.
<!--
There are a lot of legitimate objections to the ICANN name servers. I am
not happy that they blocked the existence of the <tt>.xxx</tt> top-level
domain. I also feel that they are too US-centric. We're commenting this
out because religious issues don't belong in a technical document.
-->
<p>
É possível, entretanto, mudar os servidores raizes usados ajustando a
variável <tt>root_servers</tt > no arquivo mararc. Aqui é como uma
configuração recursiva (este exemplo usa os servidores raizes da
ICANN; mude este exemplo para usar um outro conjunto de servidores
raizes como desejado) parece:
<pre>
ipv4_bind_addresses = "127.0.0.1"
chroot_dir = "/etc/maradns"
recursive_acl = "127.0.0.1"
ipv4_alias = {}
ipv4_alias["icann"] = "198.41.0.4,"
ipv4_alias["icann"] += "192.228.79.201,"
ipv4_alias["icann"] += "192.33.4.12,"
ipv4_alias["icann"] += "128.8.10.90,"
ipv4_alias["icann"] += "192.203.230.10,"
ipv4_alias["icann"] += "192.5.5.241,"
ipv4_alias["icann"] += "192.112.36.4,"
ipv4_alias["icann"] += "128.63.2.53,"
ipv4_alias["icann"] += "192.36.148.17,"
ipv4_alias["icann"] += "192.58.128.30,"
ipv4_alias["icann"] += "193.0.14.129,"
ipv4_alias["icann"] += "198.32.64.12,"
ipv4_alias["icann"] += "202.12.27.33"
root_servers["."] = "icann"
</pre>
Este arquivo irá fazer exatamente a mesma coisa que o arquivo
<tt>mararc</tt> abaixo:
<pre>
ipv4_bind_addresses = "127.0.0.1"
chroot_dir = "/etc/maradns"
recursive_acl = "127.0.0.1"
</pre>
Os servidores ICANN listados abaixo são os que MaraDNS usa quando servidores
raizes não são especificados.
<p>
Como a parte, a variável <tt>ipv4_alias</tt > é uma maneira geral de dar
nomes a qualquer conjunto de IPs em um arquivo <tt>mararc</tt >.
Nós podemos usar atalhos como este:
<pre>
ipv4_alias = {}
ipv4_alias["localhost"] = "127.0.0.1"
ipv4_bind_addresses = "localhost"
chroot_dir = "/etc/maradns"
recursive_acl = "localhost"
ipv4_alias["icann-a"] = "198.41.0.4,"
ipv4_alias["icann-b"] = "192.228.79.201"
ipv4_alias["icann-c"] = "192.33.4.12"
ipv4_alias["icann-d"] = "128.8.10.90"
ipv4_alias["icann-e"] = "192.203.230.10"
ipv4_alias["icann-f"] = "192.5.5.241"
ipv4_alias["icann-g"] = "192.112.36.4"
ipv4_alias["icann-h"] = "128.63.2.53"
ipv4_alias["icann-i"] = "192.36.148.17"
ipv4_alias["icann-j"] = "192.58.128.30"
ipv4_alias["icann-k"] = "193.0.14.129"
ipv4_alias["icann-l"] = "198.32.64.12"
ipv4_alias["icann-m"] = "202.12.27.33"
ipv4_alias["icann"] = "icann-a,icann-b,icann-c,icann-d,icann-e,icann-f,"
ipv4_alias["icann"] += "icann-g,icann-h,icann-i,icann-j,icann-k,icann-l,"
ipv4_alias["icann"] += "icann-m"
root_servers["."] = "icann"
</pre>
Isto trabalha do mesmo jeito que os dois exemplos acima. A razão porque nós
não temos vírgulas em qualquer um dos pseudônimos além do icann é porque a
vírgula antes das aspas é somente necessárias em uma linha antes da linha que
usa o operador <tt>+=</tt >.
<p>
Aqui é o que um arquivo de configuração que usa servidores raizes da
colagem OpenNIC como os servidores raizes. Esta lista é de 3 dezembro
de 2005; anote que OpenNIC muda freqüentemente estes IPs e você
necessita verificar que estes IPs estão atuais
<em um href=http://www.opennic.unrated.net/>http://www.opennic.unrated.net/</A >.
Um número alternativo de organizações de servidores raizes não existem mais;
certificam-se por favor que este povo ainda existe antes de usar esta lista.
<pre>
ipv4_bind_addresses = "127.0.0.1"
chroot_dir = "/etc/maradns"
recursive_acl = "127.0.0.1"
ipv4_alias = {}
# This ends with a comma because the next line is a += line
ipv4_alias["opennic"] = "131.161.247.232,"
ipv4_alias["opennic"] += "208.185.249.250,"
ipv4_alias["opennic"] += "66.227.42.140,"
ipv4_alias["opennic"] += "66.227.42.149,"
ipv4_alias["opennic"] += "64.81.44.251,"
ipv4_alias["opennic"] += "208.185.249.251,"
# This is the last line, so no comma at the end
ipv4_alias["opennic"] += "65.243.92.254"
# Considering how often alternate root DNS server lists change or disappear,
# we will have the ICANN list on hand as a backup.
ipv4_alias["icann"] = "198.41.0.4,"
ipv4_alias["icann"] += "192.228.79.201,"
ipv4_alias["icann"] += "192.33.4.12,"
ipv4_alias["icann"] += "128.8.10.90,"
ipv4_alias["icann"] += "192.203.230.10,"
ipv4_alias["icann"] += "192.5.5.241,"
ipv4_alias["icann"] += "192.112.36.4,"
ipv4_alias["icann"] += "128.63.2.53,"
ipv4_alias["icann"] += "192.36.148.17,"
ipv4_alias["icann"] += "192.58.128.30,"
ipv4_alias["icann"] += "193.0.14.129,"
ipv4_alias["icann"] += "198.32.64.12,"
ipv4_alias["icann"] += "202.12.27.33"
# Now, set the root servers; chance this to icann if you want to use the
# icann servers instead.
root_servers["."] = "opennic"
</pre>
<A name=private>
<h2>Tendo nomes de host privado</h2>
</A>
Alguem pode desejar ter nomes de hosts privados ao executar MaraDNS como um
servidor recursivo. Estes são os nomes que não são unidos aos servidores raizes,
mas serão resolvidos no servidor recursivo. Por exemplo, pôde fazer sentido
em ter "router.example.com." para resolve o IP de um router em um escritório.
<p>
Isto é feito tendo vantagem do fato que MaraDNS pode agir como
um servidor de nomes recursivo e autoritativo no mesmo IP.
<p>
Os procedimentos para fazer isso são:
<ul>
<li>Ter um servidor de DNS autoritativo e recursivo no mesmo IP.
Certifique-se que este servidor DNS não é acessível a Internet pública.
<li>Para este servidor autoritativo, ter arquivos de zona para as zonas
que querem ter informação não-publica. Consultas recursivas serão
resolvidas como de costume (desde que o servidor autoritativo também
seja um servidor recursivo); consultas autoritativas para zonas especiais
obterão os dados especiais.
<li>O <A href=man.maradns.html>maradns man page</A> tem uma seção
na configuração de firewall no qual descreve como configurar um IP filter (regras
de firewall) para permitir que MaraDNS envie pacotes.
Bàsicamente, não permite que IPs externos bater neste servidor
combinado na porta 53 (UDP); invés disso, permita a conexões UDP
nas portas 15000-19095.
</ul>
Aqui está como a configuração se parece:
<pre>
ipv4_bind_addresses = "192.168.0.1"
chroot_dir = "/etc/maradns"
recursive_acl = "192.168.0.0/24"
csv2 = {}
csv2["example.com."] = "db.example.com"
</pre>
Substitua 192.168.0.1 com o IP da máquina que funciona o MaraDNS recursivo;
substitua 192.168.0.0/24 (isto significa "qualquer coisa que começa com
192.168.0") com a faixa de IP permitida em acessar o servidor recursivo DNS.
<p>
O arquivo "db.example.com." será um arquivo de zona csv2 com registros
bogus para o domínio example.com, tal como router.example.com.
<p>
Se você quiser mandar alguns destes nomes privados ser CNAMES para
host names na Internet (por exemplo "google.example.com. CNAME
www.google.com."), leia por favor <o href=dangling.html>
dangling CNAME document</A >.
<p>
Mais informações em ter host nomes para uma rede interna está disponível
na seção <A href=authoritative.html#network>seção de rede do documento
autoritativo</A>.
<A name=custom>
<h2>Customizando a resolução de alguns nomes</h2>
</A>
Alguem pode desejar customizar a resolução de determinados nomes ao
usar MaraDNS tanto como um servidor autoritativo como recursivo. Por
exemplo, se um grande domínio é sequestrado (como o que
aconteceu com panix.com em janeiro de 2005), pode ser desejável ter
o correto nome para o domínio configurado temporariamente localmente.
Isto também é útil para uma lista de sites bloqueados (assim o usuário
obtem uma amigável página "este site está bloqueado" em vez de apenas
ser incapaz de conectar-se ao site em questão), e para as instalações
onde algumas máquinas necessitam uma resolução especial de DNS para
nomes que outras máquinas não precisam de uma resolução de DNS.
<p>
O procedimento para fazer isto é quase indêntico ao procedimento para
ter nomes de host privados como descrito acima. Aqui está um relevante
exemplo no arquivo <tt>mararc</tt>:
<pre>
ipv4_bind_addresses = "192.168.0.1"
chroot_dir = "/etc/maradns"
recursive_acl = "192.168.0.0/24"
csv2 = {}
csv2["example.com."] = "db.example.com"
</pre>
As únicas coisas que precisam ser mudadas no arquivo mararc são os
parâmetros <tt>ipv4_bind_addresses</tt> e <tt>recursive_acl</tt>.
O parâmetro <tt>csv2["example.com."]</tt> <i>não</i> é mudado.
<p>
Agora, vamos supor que queremos ter os registros A para "www.phishsite.foo"
e "phishsite.foo" resolvendo para um endereço IP que controla o web site.
Iremos adicionar os seguintes registros (linhas) ao arquivo
<tt>/etc/maradns/db.example.com</tt>
<pre>
www.phishsite.foo. 192.168.0.2
phishsite.foo. 192.168.0.2
</pre>
Também podemos adicionar um registro estrela (star):
<pre>
*.phishsite.foo. 192.168.0.2
</pre>
</BODY>
