[dns-esp] NS Local?

[Mariano Absatz - gmail]

On 10/05/18 20:33, Pablo Figueroa wrote:
> Gracias Mariano.... ahora me salta la duda... es necesario que en los 
> resolver cree las zonas para que los administradores resuelvan por 
> ejemplo el servidor de mail de forma interna por la red local ?
>
Ahhh... ya veo por dónde vas :-)

¿Desde la red de administración los servidores se /deben/ ver con 
direcciones IP distintas a las públicas?

Este es otro problema que tiene varias complejidades. Si desde la red de 
administración es necesario utilizar direcciones IP distintas para los 
mismos servicios, hay que conseguir que los mismos nombres se resuelvan 
de distinto modo según de dónde viene la consulta.

1) Si el hecho de que desde la red de administración se /puedan/ ver las 
direcciones privadas pero */también/* se puedan utilizar las direcciones 
IP públicas (que usa cualquiera desde afuera), lo más fácil (aunque 
quizás no lo más óptimo) es simplemente dejar todo así y que desde la 
VLAN de admin se utilicen los servicios públicos.

2) Si desde la VLAN de admin sólo se puede llegar a los servicios por 
direcciones privadas (o, desde el punto de vista de performance, 
conviene hacerlo) entonces tenés que implementar algo que se llama 
"split-horizon" (¿horizonte dividido?), en el que, de algún modo, 
conseguís que la respuesta a la misma consulta dé un resultado distinto 
según desde donde llegue.

BIND siempre tuvo soporte para "split-horizon", pero es muy fácil 
configurarlo mal (o "romperlo" después de un tiempo y modificaciones por 
distintas manos).


Una cosa que tenés que tener en cuenta es que, si un equipo (cliente) 
tiene configurados varios resolvers (por si alguno no responde o si 
alguno es más eficiente que el otro), /todos/ los resolvers deberían 
contestar /lo mismo/ para las mismas consultas. Esto te va a obligar a 
que /no/ utilices los resolvers para clientes como backup de los de 
admin y viceversa (o que tengas que configurar con mucho cuidado a todos 
ellos).

Para mí, en tu caso, lo más simple es configurar uno o dos servidores 
*autoritativos /internos/* para tu dominio que tengan las zonas 
configuradas como las tengan que ver desde la VLAN de admin (lo cual 
posiblemente tenga algunas direcciones IP públicas y otras privadas).

Una vez hecho esto, en los *resolvers* de la VLAN de admin configurás, 
/sólo para tu dominio/ un "forwarder" que, en lugar de seguir el 
mecanismo de delegación desde la raíz, haga directamente las consultas a 
los autoritativos internos.

Tenés que tener en cuenta que, en muchos casos, cuando introduzcas 
modificaciones en las zonas, vas a tener que configurarlas en el 
autoritativo master público y en el interno.

La alternativa es que configures el "split-horizon" en los autoritativos 
públicos y hagas que, si las consultas vienen de una IP de la VLAN admin 
contesten con una zona distinta. De los servidores open source que usé, 
el único que soporta esto es BIND (ni NSD, ni PowerDNS ni el viejo 
djbdns lo soportan, y es más "por diseño" que por pereza). En este caso, 
/de todos modos/ tenés que modificar dos zonas distintas, sólo que están 
ambas en el mismo servidor.

Lo mismo lo podrías implementar con dos instancias de autoritativo (aún 
con NSD u otro) en el mismo equipo, y hacés que la zona interna se 
conteste en una IP distinta o en un port distinto (si usás un forwarder, 
en general lo podés configurar para que haga las consultas en un puerto 
no-estándar).

Suerte.

-- 
Mariano Absatz - El Baby
www.clueless.com.ar

------------ próxima parte ------------
Se ha borrado un adjunto en formato HTML...
URL: <https://listas.nic.cl/pipermail/dns-esp/attachments/20180511/239c9304/attachment.html>