Figura 1: Infraestrutura de rede utilizada com os endereos

A infraestrutura de rede exposta na figura anterior tem o objetivo de ser independente do Sistema Operacional. A idia a utilizao dos mais diversos tipos de sistemas, no importando se por exemplo o Roteador for um GNU/linux e o Servio de Diretrio for MS Windows ou vice-versa. Nesta infraestrutura pode-se uma rede homognea (um nico SO) ou heterognea (diferentes SO).

O DOMNIO QUE SER CONFIGURADO, NESTE ARTIGO, SER "MATRIX.COM.BR" E O ENDEREO DE REDE SER "192.168.1.0/255.255.255.0". OS IPS DO DNS PRIMRIO E SECUNDRIO SERO "192.168.1.1" E "192.168.1.2", RESPECTIVAMENTE.

PRIMEIRAMENTE ENTRE NO ARQUIVO "NAMED.CONF.LOCAL" (comentrios neste arquivo devem conter no inicio da linha "//") # vi /etc/bind/named.conf.local(arquivo de configurao onde
colocado o domnio direto, reverso e seus respectivos arquivos de consulta. Digite as linhas seguir)

zone "matrix.com.br" {(nome da zona direta ou domnio da rede) type master;(indica o tipo do DNS. Master significa que um DNS Primrio ) file "/etc/bind/db.matrix.com.br";(arquivo que contm as informaes
DNS da zona direta "matrix.com.br") };(fechamento da configurao da zona direta)

zone "1.168.192.in-addr.arpa" {(nome da zona reversa da rede) type master;(indica o tipo do DNS. Master significa que um DNS Primrio ) file "/etc/bind/db.192.168.1";(arquivo que contm as informaes DNS
da zona reversa "1.168.192.in-addr.arpa") };(fechamento da configurao da zona reversa) Obs0: vale ressaltar que para cada zona, uma entrada "zone" necessria no arquivo de configurao acima. Obs1: o procedimento para a escolha do domnio, deve est de acordo com a empresa. Neste artigo o domnio foi "matrix.com.br", pois a empresa fictcia se chama "Matrix", comercial (com) e brasileira (br). Obs2: J a escolha do nome da zona reversa como "1.168.192.in-addr.arpa" foi devido

ao endereo de rede ser "192.168.1.0/24" deixando somente a parte de rede fica "192.168.1", colocando ele ao inverso fica "1.168.192" e acrescentando "inaddr.arpa" que representa o domnio reverso fica "1.168.192.in-addr.arpa". Mas isso foi somente para padronizar. Poderia ter sido escolhido outro nome como "168.192.inaddr.arpa" ou "192.in-addr.arpa", a diferena seria na hora de configurar o contedo do arquivo "db.192.168.1" que ser visto mais a frente. No possvel fazer range de zonas reversas como por exemplo "1-30.1.168.192.in-addr.arpa", pois 1-30 seria complementado pelo nmero colocado no arquivo "db.192.168.1" no PTR, no sendo assim um endereo IP vlido. Obs3: na linha inicia por "file" colocado o caminho completo do arquivo que gerencia uma zona (ex: file "/etc/bind/db.matrix.com.br";). Contudo, alguns administradores colocam somente o nome do arquivo (ex: file "db.matrix.com.br";). Isso no errado. Contudo, para esse ltimo caso utilizada a opo "directory" dentro do arquivo de configurao "named.conf.options" para saber em qual diretrio o arquivo de zona ficar armazenado.

CRIANDO E CONFIGURANDO O ARQUIVO QUE CONTER AS INFORMAES DA ZONA "MATRIX.COM.BR" PARA A RESOLUO DIRETA DE ENDEREOS: # vi /etc/bind/db.matrix.com.br(a seguir o contedo. Comentrios neste arquivo devem conter no inicio da
linha ";")

;--> (ponto e vrgula significa comentrio) $TTL 1D (TTL significa Time To Live, ou seja, o tempo mximo que as informaes ficaro em cache nos clientes.
Clientes podem ser estaes, servidores e/ou outros DNS Servers. Quando feita uma consulta DNS por uma estao MSWindows se pode usar o comando "ipconfig /displaydns" para ver o cache e tempo que ficar em memria. O "$TTL 1D" significa que o tempo do cache ser de 1D = 1 dia. Se o valor for 0, no far cache. Toda diretiva que comea com "$" como o "$TTL" so padronizadas por uma RFC. Veja a RFC 1912. Outros exemplos "$ORIGIN" e "$INCLUDE")

Obs: Os clientes DNS MS-Windows fazem cache de DNS por padro. Para ver o cache basta digitar o comando "ipconfig /displaydns" e para apagar esse cache use "ipconfig /flushdns". J em clientes DNS GNU/Linux por padro no fazem cache. Contudo, existe um pacote que pode prov essa funcionalidade que "nscd". Ao instalar necessrio habilitar a funo especfica de cache de nomes que "enable-cache hosts yes" em "/etc/nscd.conf". Cuidado ao usar esse pacote "nscd", pois ele faz cache tambm de passwd, group e services (o cache fica em /var/cache/nscd/).

@(significa este domnio, ou seja, "matrix.com.br". Quando realizada uma consulta DNS, por exemplo, para o
domnio "matrix.com.br", o arquivo "/etc/bind/named.conf.local" ser consultado e l ser encontrada a linha zone "matrix.com.br" a qual especifica o arquivo "/etc/bind/db.matrix.com.br" que responde por tal domnio. A partir disso, sabido que "@" igual "matrix.com.br")

IN(The INternet Data Class. Pode ser traduzido como "entrada", sempre que for entrar com um nome de host ou endereo IP
se deve colocar o parmetro "IN" antes)

SOA(Start Of Authority. Esta linha diz para o mundo que este DNS reconhecido como o autoritativo para consultas sobre este domnio --> @ --> "matrix.com.br". interessante registrar que a partir dele que se sabe quem o DNS primrio e o seu administrador. Veja a prxima linha) @ IN SOA ns1.matrix.com.br. root.matrix.com.br. ((a traduo desta linha pode ser a seguinte: este
domnio "@" regido pelo DNS primrio "ns1.matrix.com.br" cujo e-mail do administrador "root.matrix.com.br". No e-mail do administrador usado o sinal de ponto final em vez do "@", para no confudir com domnio. Depois desta linha, mais especificamente o que est entre parnteses, se tm os dados de sincronismo) Obs: nas configuraes acima, pde ser observado que no final do nome do DNS primrio (ns1.matrix.com.br.) e do e-mail do administrador (root.matrix.com.br.) tem um sinal de ponto final. Isso tambm pode ser observado em outras linhas na figura acima. Esse sinal de ponto final necessrio, pois o DNS sempre completar com o domnio as entradas que no tiverem esse sinal. Caso no tivssemos colocado o ponto final no nome do DNS primrio, ele seria acrescido do domnio ficando dessa maneira: "ns1.matrix.com.br.matrix.com.br" . Ento, nunca se esquea do ponto final ;-)

;Serial(este nmero diz ao DNS Secudrio se houve alterao no arquivo. Se este nmero for diferente quando o DNS
Secundrio o consultar, ele ir atualizar as informaes. Toda vez que alterar este arquivo, se deve modificar manualmente o "Serial". Com isso, o DNS Secundrio saber que houve alterao e que dever sincronizar as informaes. Se pode adotar a data "20080515" mais um nmero serial "01" para este campo ficando "2008051501". Assim, sempre se saber a data da ltima modificao e caso haja alteraes no mesmo dia, basta modificar "01" para "02".)

2H ;Refresh(espao de tempo que o DNS Secundrio atualizar as informaes com o Primrio. Esta atualizao s acorrer quando o ";Serial" for diferente. 2H igual 2 horas)
Obs: M=Minute=Minuto, H=Hour=Hora, D=Day=Dia, W=Week=Semana. Quando no for colada uma letra, o tempo em segundos.

20M ;Retry(ao tentar atualizar e no conseguir, o DNS Secundrio tentar novamente um tempo depois definido no
parmetro ";Retry". 20M igual 20 minutos)

1W ;Expire(caso o DNS Secundrio consulte novamente o Primrio no tempo definido em ";Retry" e ocorra de novo uma falha, o DNS Secundrio assumir as funes do Primrio durante o tempo definido em ";Expire". 1W igual a 1 semana. Depois desse tempo o DNS secundrio pra de funcionar e o administrador ter que resolver o problema) 1D ) ;Negative Cache TTL or minimum( o tempo mnimo que as informaes ficaro em cache nos clientes
[estaes, servidores e/ou outros DNS Servers] quando feita uma consulta DNS. Neste caso, o tempo ser de 1D = 1 dia. Geralmente os administradordes colocam o mesmo valor para o "minimum" e para o "TTL")

NS(Name Server, ou seja, Servidor de Nomes. Toda entrada "IN" que for seguida por "NS" estar especificando o nome de um
DNS)

@ IN NS ns1.matrix.com.br.(a traduo desta linha pode ser a seguinte: este domnio "@" tem um DNS "IN NS" chamado "ns1.matrix.com.br". No final do nome de DNS tem um sinal deponto final. Para entender o porqu, leia a observero "Obs" acima em vermelho ) @ IN NS ns2.matrix.com.br.(a traduo desta linha pode ser a seguinte: este domnio "@" tem um outro DNS "IN NS" chamado "ns2.matrix.com.br". No final do nome de DNS tem um sinal de ponto final. Para entender o porqu, leia a observero "Obs" acima em vermelho )

Dica: para sabe qual dos dois DNS acima o Primrio, basta olhar a linha que tem a entrada "IN SOA".

MX(Mail eXchange, ou seja, Servidor de e-mail SMTP. Toda entrada "IN" que for seguida por "MX" estar especificando o
nome de um Servidor de e-mail SMTP)

@ IN MX 1 mail1.matrix.com.br.(a traduo desta linha pode ser a seguinte: este domnio "@" tem um Servidor de e-mail SMTP "IN MX" chamado "mail1.matrix.com.br". O nmero"1" significa prioridade de utilizao em relao a outros Servidores SMTP. Quanto menor for esse nmero, mais prioritrio ele ser. No final do nome do "MX" tem um sinal de ponto final. Para entender o porqu, leia a observero "Obs" acima em vermelho) @ IN MX 5 mail2.matrix.com.br.(a traduo desta linha pode ser a seguinte: este domnio "@" tem um Servidor de e-mail SMTP "IN MX" chamado "mail2.matrix.com.br". O nmero"5" significa prioridade de utilizao em relao a outros Servidores SMTP. Quanto menor for esse nmero, mais prioritrio ele ser. No final do nome do "MX" tem um sinal de ponto final. Para entender o porqu, leia a observero "Obs" acima em vermelho) A(Address, ou seja, Endereo. Toda entrada "IN" que for seguida de "A" estar especificando o endereo IP de um servidor) ns1 IN A 192.168.1.1(a traduo desta linha pode ser a seguinte: o equipamento que tem o nome "ns1" tem o
endereo IP "192.168.1.1") Obs1: todo nome, por exemplo, "ns1" que tem a entrada "IN A" e que no tem no seu final um sinal de ponto final, ser completado pelo domnio desta zona. Assim, o DNS enxerga "ns1" como"ns1.matrix.com.br" . Ento, isso significa dizer que "ns1" (sem ponto final) e "ns1.matrix.com.br." (com ponto final) a mesma coisa. Obs2: no arquivo de configurao acima, se poderia substinuir o "ns1" por "ns1.matrix.com.br."

ns2 IN A 192.168.1.2(a traduo desta linha pode ser a seguinte: o equipamento que tem o nome "ns2" tem o
endereo IP "192.168.1.2")

www IN A 192.168.1.3(a traduo desta linha pode ser a seguinte: o equipamento que tem o nome "www" tem o
endereo IP "192.168.1.3")

ftp IN A 192.168.1.4(a traduo desta linha pode ser a seguinte: o equipamento que tem o nome "ftp" tem o endereo
IP "192.168.1.4")

mail1 IN A 192.168.1.11(a traduo desta linha pode ser a seguinte: o equipamento que tem o nome "mail1" tem o
endereo IP "192.168.1.11")

mail2 IN A 192.168.1.12(a traduo desta linha pode ser a seguinte: o equipamento que tem o nome "mail2" tem o
endereo IP "192.168.1.12")

web IN CNAME www(Canonical NAME pode ser entendido como um apelido que neste caso, "web" o apelido de "www" que tem o IP "192.168.1.3". Em outras palavras, "web" e "www" so a mesma coisa, ao se realizar consultas DNS. No se usa CNAME em zona reversa. Em vez do "CNAME", se pode usar vrias entradas "IN A") EXTRA - IP para o Domnio @ IN A 192.168.1.254 (a traduo desta linha pode ser a seguinte: este dominio (@ = matrix.com.br) tem o endereo
IP "192.168.1.11". Isso [e uma pratica comum, principalmente para servidores web o qual se pode acessar atraves de "http://www.matrix.com.br" e tambem "http://matrix.com.br" que caira na mesma pagina)

EXTRA - SPF @ IN TXT "v=spf1 ip4:172.25.0.4/32 ip4:172.25.0.5/32 -all" (SPF - Sender Policy Framework.
Informa quem pode enviar mensagens SMTP)

@ IN SPF "v=spf1 ip4:172.25.0.4/32 ip4:172.25.0.5/32 -all" (idem, s que no muito utilizado,

tendo preferncia o "TXT")

EXTRA - SRV _http._tcp.matrix.com.br. 86400 IN SRV 0 5 80 www.matrix.com.br. (SRV - SeRVice um

registro especial que indica os servios oferecidos por um determinado domnio. Segue o padro "_service._protocol.domain. ttl IN SRV priority weight port target.". Exemplo de como se deve fazer uma pergunta um domnio sobre o servio HTTP "host -t SRV _http._tcp.matrix.com.br")

EXTRA - Hostname Oculto sip.matrix.com.br. IN A 192.168.1.5 (a traduo desta linha pode ser a seguinte: o equipamento que tem o
nome "sip.matrix.com.br." tem o endereo IP "192.168.1.5") IN A 192.168.1.6 (quando no se especifica o hostname, utilizado o hostname da linha anterior que nesse caso o "sip". Esta linha equivalente "sip IN A 192.168.1.6")

EXTRA - IP Oculto 5 PTR smtp.matrinux.com.br. (a traduo desta linha pode ser a seguinte: o equipamento que tem o IP de final "5"
tem o nome IP "imap.matrinux.com.br")

PTR imap.matrinux.com.br. (quando no se especifica o IP, utilizado o IP da linha anterior que nesse caso o de final "5". Esta linha equivalente "5 PTR imap.matrinux.com.br")

EXTRA - Forward de Subzona/Subdomnio pabx IN NS ns3.matrix.com.br. (forward de subzona/subdomnio. Ver) ns3.matrix.com.br. IN A 192.168.1.7

CRIANDO E CONFIGURANDO O ARQUIVO QUE CONTER AS INFORMAES DA ZONA "1.168.192.INADDR.ARPA" PARA A RESOLUO REVERSA DE ENDEREOS: # vi /etc/bind/db.192.168.1(a seguir o contedo. Comentrios neste arquivo devem conter no inicio da linha ";")

@(significa este domnio, ou seja, "1.168.192.in-addr.arpa". Quando realizada uma consulta DNS (para saber o IP de um determinado nome), neste caso, o arquivo "/etc/bind/named.conf.local" ser verificado e l ser encontrado o arquivo "/etc/bind/db.db.192.168.1" que responde por tal domnio reverso. A partir disso, sabido que "@" igual "1.168.192.inaddr.arpa") PTR(Point To Reverse. Toda entrada "IN" que for seguida por "PTR" estar especificando o nome de um Servidor) 1 IN PTR ns1(o nmero "1" representa "192.168.1.1", pois do mesmo jeito que na zona direta, o nmero "1" completado pelo domnio reverso "1.168.192.in-addr.arpa", ficando desta maneira: "1.1.168.192.in-addr.arpa". Ento, se tirssemos o dominio reverso ".in-addr.arpa" e invertssemos "1.1.168.192", o resultado seria "192.168.1.1" que o IP do ns1. A traduo da linha "1 IN PTR ns1" pode ser a seguinte: o equipamento que tem o endereo IP "192.168.1.1" tem o nome de host "ns1") Obs1: todo nome, por exemplo, "ns1" que tem a entrada "IN PTR" e que no tem no seu final um sinal de ponto final, ser completado pelo domnio desta zona. Assim, o DNS enxerga "ns1" como"ns1.1.168.192.in-addr.arpa." . Ento, isso significa

dizer que "ns1" (sem ponto final) e "ns1.1.168.192.in-addr.arpa." (com ponto final) a mesma coisa. Obs2: no arquivo de configurao acima, se poderia substinuir o "1" por "1.1.168.192.inaddr.arpa." e "ns1" por "ns1.1.168.192.in-addr.arpa." 2 IN PTR ns2(o nmero "2" representa "192.168.1.2", pois do mesmo jeito que na zona direta, o nmero "2" completado pelo domnio reverso "1.168.192.in-addr.arpa", ficando desta maneira: "2.1.168.192.in-addr.arpa". Ento, se tirssemos o dominio reverso ".in-addr.arpa" e invertssemos "2.1.168.192", o resultado seria "192.168.1.2" que o IP do ns2. A traduo da linha "2 IN PTR ns2" pode ser a seguinte: o equipamento que tem o endereo IP "192.168.1.2" tem o nome de host "ns2") 3 IN PTR www(A traduo desta linha pode ser a seguinte: o equipamento que tem o endereo IP "192.168.1.3" tem o nome de host "www") 4 IN PTR ftp(A traduo desta linha pode ser a seguinte: o equipamento que tem o endereo IP "192.168.1.4" tem o nome de host "ftp") 11 IN PTR mail1(A traduo desta linha pode ser a seguinte: o equipamento que tem o endereo IP "192.168.1.11" tem o nome de host "mail1") 12 IN PTR mail2(A traduo desta linha pode ser a seguinte: o equipamento que tem o endereo IP "192.168.1.12" tem o nome de host "mail2")

EXTRA 1 IN PTR matrix.com.br. (a traduo desta linha pode ser a seguinte: este dominio (@ = matrix.com.br) tem o
endereo IP "192.168.1.11". Isso [e uma pratica comum, principalmente para servidores web o qual se pode acessar atraves de "http://www.matrix.com.br" e tambem "http://matrix.com.br" que caira na mesma pagina) Obs3: no arquivo da zona reversa no interessante colocar o MX, apesar de funcionar, apresenta erros ao usar o comando "named-checkzone".

TORNE O DNS CLIENTE DELE MESMO # vi /etc/resolv.conf search matrix.com.br(especifica o domnio) nameserver 127.0.0.1(especifica o IP local) Salve e Saia VERIFIQUE SE O ARQUIVO DE CONFIGURAO DE INTERFACES DE REDE TEM ALGUMA ENTRADA PARA DNS. SE TIVER COMENTE OU APAGUE: # vi /etc/network/interfaces dns-nameservers(linha que define o DNS. Comente-a ou apague-a) FAA OS PROCEDIMENTOS A SEGUIR PARA ESPECIFICAR QUAL O IP DO DNS SECUNDRIO vi /etc/bind/named.conf.options(adicione a linha "allow-transfer" conforme a figura a seguir)

O IP "192.168.1.2" do DNS Secundrio. Se no especificado, qualquer host pode solicitar a transferncia de zona (falha de segurana). Caso no tenha um DNS Secundrio, troque o "192.168.1.2" por "none". A transferncia de zona utiliza o protocolo TCP. Quando se muda/atualiza um zona no DNS Primrio, se deve mudar o "serial" desta zona e depois fazer um "rndc reload". Ao fazer isso, o DNS Primrio notifica (NOTIFY), via UDP-53, o DNS Secundrio informando que uma determinada zona foi mudada/atualizada e que o nmero "serial" tambm mudou. S a partir da que o DNS Secundrio inicia a transferncia de zona via TCP-53. Salve e Saia do arquivo. Mais a frente ser mostrado como configurar um servidor DNS Secundrio.
Obs0: tambm se pode colocar a opo "allow-transfer" dentro de cada zonas configurada em "/etc/bind/named.conf.local". Com isso, se podera deixar mais especficas as transferncias de zonas para servidores DNS secundrios diferentes. Melhora a segurana.

REINICIE O SERVIO DNS # /etc/init.d/bind9 restart(poderia ser tambm "rndc reload")

Dica: os registros (IP e nome de host) que devem constar no DNS (dentro de "/etc/bind/db.matrix.com.br" e "/etc/bind/db.192.168.1") vo depender da finalidade do DNS. No DNS que fica numa DMZ, se deve colocar somente os IPs e

os nomes dos servidores que ficam na DMZ como: DNS Primrio, DNS Secundrio, servidor HTTP, servidor FTP, servidor de E-mail etc. Nunca coloque informaes da rede interna, nome dos filtros de pacotes/estados e roteadores. Vale expor que os equipamentos da LAN tero como servidor DNS, o DNS Primrio que fica na DMZ. Importante: quando houver necessidade de colocar registros da rede interna (LAN) dentro do DNS, se deve instalar um DNS especfico para isso dentro da LAN. Tambm, no se deve inserir todos os nomes de todas as mquinas da LAN neste DNS, somente os que houverem necessidade (ex: mquina com uma impressora compartilhada, uma mquina que compartilha arquivos etc). Vale lembrar que, neste caso, os equipamentos da LAN tero como servidor DNS, o DNS que fica na LAN.

EXTRA - IMPORTANTE # vi /etc/bind/named.conf.options (adicione a linha "allow-transfer" conforme a figura a seguir) listen-on { IP1; IP2; any; none; }; (especifica por qual interface o BIND ira trabalhar, ou seja, por qual IP o
DNS Server vai responder as requisicoes de resolucao de nomes (UDP-53) e transferncia de zona (TCP-53))

listen-on-v6 { IP1_v6; IP2_v6; any; none; }; (especifica se o BIND ir trabalhar com IPv6 e por qual
interface, ou seja, por qual IP o DNS Server vai responder as requisies de resoluo de nomes (UDP6-53) e transferncia de zona (TCP6-53) de IPv6. Abre as portas UDP6-53 e TCP6-53) allow-recursion { IP1; IP2; any; none; }; (especifica por qual interface o BIND ira fazer recursao, ou seja, por qual IP o DNS server vai responder as requisicoes de resolucao de nomes de outros dominios. Por padrao, o DNS Server responde por qualquer dominio para ele perguntado, repassando para os servidores ROOT as perguntas que estiverem foram da(s) zona(s) nele configurado. Para que isso nao ocorra, ou seja, para que o DNS Server responda somente as perguntas da(s) zona(s) que foram configuradas nele, se deve colocar o IP 127.0.0.1ou none. Em servidores que esto na Internet, essa opo imprecindvel [se poderia usar algo do tipo "allow-recursion { 127.0.0.1/32; 10.0.0.0/8; 172.16.0.0/12; 192.168.0.0/16; };"])

# vi /etc/default/bind9 (adiciona algumas opes no daemon do "bind") OPTIONS="-u bind" (linha padro que especifica que o usurio ser o "bind" para servio do DNS Server) OPTIONS="-4 -u bind" (desabilita o IPv6 no BIND, ou seja, no abre as portas UDP6-53, TCP6-53 e TCP6-953.
Tambm torna as consultas DNS mais rpidas, pois no tentar usar o protocolo IPv6 com os DNS ROOT). Caso queira desabilitar totalmento o IPv6 d preferncia a essa opo no arquivo "/etc/default/bind9", do que a opo "listen-on-v6" do arquivo "/etc/bind/named.conf.options", pois essa ltima deixa a porta "TCP6-::1:953" aberta.