Agenda: dns-unbound-config.txt

File dns-unbound-config.txt, 4.3 KB (added by admin, 7 years ago)
Line 
1Configuraci—n de Unbound
2-------------------------
3
41. Ingrese con SSH/Putty/... a su resolver/cachŽ:
5
6    (ej. el grupo 1 usar’a resolv.grp1.ws.nsrc.org)
7
8    $ ssh -l adm resolv.grpXX.ws.nsrc.org
9
10    *** POR FAVOR ASEGòRESE DE ENTRAR EN SU MçQUINA 'RESOLV', ***
11                      *** NO EN 'AUTH' ***
12
132. En su m‡quina RESOLV (en la que acaba de ingresar)
14
15    $ cd /usr/local/etc/unbound/
16    $ sudo cp unbound.conf.sample unbound.conf
17
18    Ahora edite el fichero unbound.conf:
19
20    NOTA: Aqu’, recuerde usar su editor favorito: ee, jed, joe, vi, ...
21
22    $ sudo ee unbound.conf
23o
24    $ sudo vi unbound.conf
25
26    ... y efectœe los cambios siguientes:
27
28    a) Configure d—nde va a escuchar (listen) el demonio - busque:
29
30        # interface: ...
31
32    y justo debajo, agregue la siguiente l’nea:
33
34        interface: 0.0.0.0
35
36    b) Control de acceso. Busque:
37
38        # access-control: ...
39
40    y justo debajo, agregue la siguiente l’nea:
41
42        access-control: 10.10.0.0/16 allow
43
44    c) Seguridad chroot - Busque:
45   
46        # chroot: "/usr/local/etc/unbound"
47
48    y justo debajo, agregue la siguiente l’nea:
49
50        chroot: ""
51
52    NOTA: En la pr‡ctica no desactivar’amos chroot, que es un mecanismo de
53           seguridad, pero s’ tenemos que hacerlo en este laboratorio, por
54           causa de restricciones en el ambiente virtual. En un servidor
55           en producci—n, no desactive chroot!
56
57    d) Configure el fichero de root-hints - Busque:
58
59        # root-hints: ""
60
61    y justo debajo, agregue la siguiente l’nea:
62
63        root-hints: "/usr/local/etc/unbound/named.root"
64
65    e) Re-habilite la zona 10.in-addr.arpa - busque:
66
67        # local-data-ptr: "192.0.2.3 www.example.com"
68
69    y justo debajo, agregue la siguiente l’nea:
70
71        local-zone: "10.in-addr.arpa." nodefault
72
73    f) Active control remoto - busque:
74
75        # control-enable: no
76
77    y CAMBIE (eliminando el #) a:
78
79        control-enable: yes
80
81    - busque la l’nea:
82
83        # control-interface: 127.0.0.1
84
85    y CAMBIELA a:
86
87        control-interface: 0.0.0.0
88
89    - busque:
90
91        # control-port: 8953
92
93    y CAMBIELA a:
94
95        control-port: 953
96       
97    - finalmente, active las siguientes l’neas:
98
99        # server-key-file: "/usr/local/etc/unbound/unbound_server.key"
100    se convierte en:
101        server-key-file: "/usr/local/etc/unbound/unbound_server.key"
102 
103        # server-cert-file: "/usr/local/etc/unbound/unbound_server.pem"
104    se convierte en:
105        server-cert-file: "/usr/local/etc/unbound/unbound_server.pem"
106 
107        # control-key-file: "/usr/local/etc/unbound/unbound_control.key"
108    se convierte en:
109        control-key-file: "/usr/local/etc/unbound/unbound_control.key"
110 
111        # control-cert-file: "/usr/local/etc/unbound/unbound_control.pem"
112    se convierte en:
113        control-cert-file: "/usr/local/etc/unbound/unbound_control.pem"
114
115        Guarde el fichero y salga.
116
117    Todav’a tiene que descargar una copia del fichero named.root desde
118    su m‡quina auth, as’:
119
120        $ cd /usr/local/etc/unbound/
121        $ sudo scp adm@auth1.grpX.ws.nsrc.org:/etc/namedb/named.root .
122
123        ... sustituya X por el nœmero de su grupo
124
1253. Cree las claves de control:
126
127    $ sudo unbound-control-setup
128
1294.  Compruebe la sintaxis:
130
131    $ sudo unbound-checkconf
132
1335. Edite /etc/rc.conf para a–adir:
134
135    unbound_enable="YES"
136
1376. Inicie unbound!
138
139    $ sudo service unbound start
140
1417. Cambie su /etc/resolv.conf para usar su nuevo Unbound,
142   en esta m‡quina (CACHE), pero tambiŽn en AUTH1 y AUTH2:
143
144    # vi /etc/resolv.conf
145
146    Cambie la l’nea nameserver a:
147
148        nameserver 10.10.XX.3
149
150    ... sustituyendo XX por su nœmero de grupo
151
1528. Compruebe:
153
154    $ dig noc.ws.nsrc.org
155
156        Asegœrese de recibir SERVER: É(10.10.XX.3) al final de la
157        salida de dig
158
159    $ dig version.bind txt chaos
160
161    QuŽ dice?
162
1639. Si un ejercicio anterior configur— BIND en AUTH1 como recursivo, siga
164   adelante. Si no, ya ha terminado!
165
166   Recuerde que en el ejercicio anterior, configuramos BIND en el servidor
167   AUTH1 para funcionar como recursivo
168
169   El problema es que se supone que no debemos usar nuestro autorizado
170   como recursivo!
171
172   As’ que vuelva a su servidor AUTH1 y desactive la recursi—n.
173
174    Edite /etc/namedb/named.conf y cambie:
175
176    esto:
177
178allow-recursion { 127.0.0.1; 10.10.0.0/16; };
179
180    a esto:
181
182//allow-recursion { 127.0.0.1; 10.10.0.0/16; };
183recursion no;
184
185    Guarde el fichero, y reinicie BIND
186
187    $ sudo service named restart