Si algunos de nuestros foros, manuales, ALDOS, paquetería o proyectos te han resultado de ayuda, apreciaremos mucho nos apoyes con un donativo.

Configuración de servidor de nombres de dominio (DNS), parte II.

Autor: Joel Barrios Dueñas
Correo electrónico: darkshram en gmail punto com
Sitio de Red: http://www.alcancelibre.org/
Jabber ID: darkshram@jabber.org

Creative Commons Reconocimiento-NoComercial-CompartirIgual 2.1

© 1999-2015 Joel Barrios Dueñas. Usted es libre de copiar, distribuir y comunicar públicamente la obra y hacer obras derivadas bajo las condiciones siguientes: a) Debe reconocer y citar al autor original. b) No puede utilizar esta obra para fines comerciales (incluyendo su publicación, a través de cualquier medio, por entidades con fines de lucro). c) Si altera o transforma esta obra o genera una obra derivada, sólo puede distribuir la obra generada bajo una licencia idéntica a ésta. Al reutilizar o distribuir la obra, tiene que dejar bien claro los términos de la licencia de esta obra. Alguna de estas condiciones puede no aplicarse si se obtiene el permiso del titular de los derechos de autor. Los derechos derivados de usos legítimos u otras limitaciones no se ven afectados por lo anterior. Licencia completa en castellano. La información contenida en este documento y los derivados de éste se proporcionan tal cual son y los autores no asumirán responsabilidad alguna si el usuario o lector, hace mal uso de éstos.

Continuación de Configuración de servidor de nombres de dominio (DNS), parte II.

Seguridad adicional en DNS para uso público.

Quienes hayan utilizado en recientes fechas los servicios de DNS Report, habrán notado que el diagnóstico en línea devuelve ahora un error que, en resumen, indica que el servidor puede ser susceptible de sufrir/participar en un ataque DDoS (Distributed Denail of Service o denegación de servicio distribuido).

Un DDoS (Distributed Denial of Service) es una ampliación del ataque DoS, se efectúa con la instalación de varios agentes remotos en muchas computadoras que pueden estar localizadas en diferentes puntos del mundo. El atacante consigue coordinar esos agentes para así, de forma masiva, amplificar el volumen del saturación de información (flood), pudiendo darse casos de un ataque de cientos o millares de computadoras dirigido a una máquina o red objetivo. Esta técnica se ha revelado como una de las más eficaces y sencillas a la hora de colapsar servidores, la tecnología distribuida ha ido haciendo más sofisticada hasta el punto de otorgar poder de causar daños serios a personas con escaso conocimiento técnico.

La falla reportada por la herramienta en línea de DNS Report, para un servidor DNS que permite consultas recursivas, indicará algo como lo siguiente:

«ERROR: One or more of your nameservers reports that it is an open DNS server. This usually means that anyone in the world can query it for domains it is not authoritative for (it is possible that the DNS server advertises that it does recursive lookups when it does not, but that shouldn't happen). This can cause an excessive load on your DNS server. Alos, it is strongly discouraged to have a DNS server be both authoritative for your domain and be recursive (even if it is not open), due to the potential for cache poisoning (with no recursion, there is no cache, and it is impossible to poison it). Alos, the bad guys could use your DNS server as part of an attack, by forging their IP address»

Significa que el servidor DNS puede permitir a cualquiera realizar consultas recursivas. Si se trata de un DNS que se desea pueda ser consultado por cualquiera, como puede ser el caso del DNS de un ISP, esto es normal y esperado. Si se trata de un servidor que sólo debe consultar la red local o bien que se utiliza para propagar dominios alojados de manera local, si es conveniente tomar medidas al respecto.

Solución al problema es modificar el archivo named.conf, donde se añade en la sección de vista local (view "local") la opción recursion yes; y una o más líneas que definan a la red o las redes que tendrán permitido realizar todo tipo de consultas.

options {
        directory "/var/named";
	dump-file "/var/named/data/cache_dump.db";
	statistics-file "/var/named/data/named_stats.txt";
	memstatistics-file "/var/named/data/named_mem_stats.txt";
	version "BIND";
        forwarders {192.168.0.1; };
        forward first;
	dnssec-enable yes;
	dnssec-validation yes;
	dnssec-lookaside auto;
	bindkeys-file "/etc/named.iscdlv.key";
};

logging {
	channel default_debug {
		file "data/named.run";
		severity dynamic;
	};
};

controls {
	inet 127.0.0.1 allow { 127.0.0.1; } keys { "rndc-key"; };
};

include "/etc/rndc.key";

view "local" {
	match-clients {
		127.0.0.0/8;
		10.0.0.0/8;
		172.16.0.0/12;
		192.168.0.0/16;
	};
	recursion yes;
	include "/etc/named.rfc1912.zones";
	zone "." IN {
		type hint;
		file "named.ca";
	};
};

Lo anterior hace que sólo se puedan realizar consultas recursivas en el DNS desde 127.0.0.0/8, 10.0.0.0/8, 172.16.0.0/12 y 192.168.0.0/16, ya sea para un nombre de dominio alojado de manera local y otros dominios resueltos en otros servidores (ejemplo: www.yahoo.com, www.google.com, www.alcancelibre.org, etc). El resto del mundo sólo podrá realizar consultas sobre los dominios alojados de manera local y que estén configurado para permitirlo.

En la siguiente configuración de ejemplo, se pretende lograr lo siguiente:

Red Local: cualquier tipo de consulta hacia dominios externos y locales (es decir, www.yahoo.com, www.google.com, alcancelibre.org, además de midominio.com).
Resto del mundo: sólo puede hacer consultas para la zona de midominio.com

De este modo se impide que haya consultas recursivas y con esto impedir la posibilidad de sufrir/participar de un ataque DDoS.

options {
        directory "/var/named";
	dump-file "/var/named/data/cache_dump.db";
	statistics-file "/var/named/data/named_stats.txt";
	memstatistics-file "/var/named/data/named_mem_stats.txt";
	version "BIND";
        forwarders {192.168.0.1; };
        forward first;
	dnssec-enable yes;
	dnssec-validation yes;
	dnssec-lookaside auto;
	bindkeys-file "/etc/named.iscdlv.key";
};

logging {
	channel default_debug {
		file "data/named.run";
		severity dynamic;
	};
};

controls {
	inet 127.0.0.1 allow { 127.0.0.1; } keys { "rndc-key"; };
};

include "/etc/rndc.key";

view "publico" {
	match-clients { any; };
	recursion no;
	zone "." IN {
		type hint;
		file "named.ca";
	};
	zone "midominio.com" {
		type master;
		file "data/midominio.com.zone";
		allow-update { none; };
		allow-transfer { 200.76.185.252; 200.76.185.251; };
	};
};

view "local" {
	match-clients {
		127.0.0.0/8;
		10.0.0.0/8;
		172.16.0.0/12;
		192.168.0.0/16;
	};
	recursion yes;
	include "/etc/named.rfc1912.zones";
	zone "." IN {
		type hint;
		file "named.ca";
	};
	zone "miredlocal" {
		type master;
		file "data/miredlocal.zone";
		allow-update { none; };
		allow-transfer { 192.168.0.2; };
	};
};

Un DDoS (Distributed Denial of Service) es una ampliación del ataque DoS, se efectúa con la instalación de varios agentes remotos en muchas computadoras que pueden estar localizadas en diferentes puntos del mundo. El atacante consigue coordinar esos agentes para así, de forma masiva, amplificar el volumen del saturación de información (flood), pudiendo darse casos de un ataque de cientos o millares de computadoras dirigido a una máquina o red objetivo. Esta técnica se ha revelado como una de las más eficaces y sencillas a la hora de colapsar servidores, la tecnología distribuida ha ido haciendo más sofisticada hasta el punto de otorgar poder de causar daños serios a personas con escaso conocimiento técnico.

La falla reportada por la herramienta en línea de DNS Report, para un servidor DNS que permite consultas recursivas, indicará algo como lo siguiente:

«ERROR: One or more of your nameservers reports that it is an open DNS server. This usually means that anyone in the world can query it for domains it is not authoritative for (it is possible that the DNS server advertises that it does recursive lookups when it does not, but that shouldn't happen). This can cause an excessive load on your DNS server. Alos, it is strongly discouraged to have a DNS server be both authoritative for your domain and be recursive (even if it is not open), due to the potential for cache poisoning (with no recursion, there is no cache, and it is impossible to poison it). Alos, the bad guys could use your DNS server as part of an attack, by forging their IP address»

Significa que el servidor DNS puede permitir a cualquiera realizar consultas recursivas. Si se trata de un DNS que se desea pueda ser consultado por cualquiera, como puede ser el caso del DNS de un ISP, esto es normal y esperado. Si se trata de un servidor que sólo debe consultar la red local o bien que se utiliza para propagar dominios alojados de manera local, si es conveniente tomar medidas al respecto.

Solución al problema es modificar el archivo named.conf, donde se añade en la sección de vista local (view "local") la opción recursion yes; y una o más líneas que definan la red o las redes que tendrán permitido realizar todo tipo de consultas.

options {
        directory "/var/named";
	dump-file "/var/named/data/cache_dump.db";
	statistics-file "/var/named/data/named_stats.txt";
	memstatistics-file "/var/named/data/named_mem_stats.txt";
	version "BIND";
        forwarders { 192.168.70.1; };
        forward first;
	dnssec-enable yes;
	dnssec-validation yes;
	dnssec-lookaside auto;
	bindkeys-file "/etc/named.iscdlv.key";
};

logging {
	channel default_debug {
		file "data/named.run";
		severity dynamic;
	};
};

controls {
	inet 127.0.0.1 allow { 127.0.0.1; } keys { "rndc-key"; };
};

include "/etc/rndc.key";

view "local" {
	match-clients {
		127.0.0.0/8;
		10.0.0.0/8;
		172.16.0.0/12;
		192.168.0.0/16;
	};
	recursion yes;
	include "/etc/named.rfc1912.zones";
	zone "." IN {
		type hint;
		file "named.ca";
	};
};

Lo anterior hace que sólo se puedan realizar todo tipo de consultas en el DNS desde 127.0.0.0/8, 10.0.0.0/8, 172.16.0.0/12 y 192.168.0.0/16, ya sea para un nombre de dominio alojado de manera local y otros dominios resueltos en otros servidores (ejemplo: www.yahoo.com, www.google.com, www.alcancelibre.org, etc). El resto del mundo sólo podrá realizar consultas sobre los dominios alojados de maneja local y que estén configurado para permitirlo.

En la siguiente configuración de ejemplo, se pretende lograr lo siguiente:

  • Red Local: cualquier tipo de consulta hacia dominios externos y locales (es decir, www.yahoo.com, www.google.com, alcancelibre.org, además de midominio.com).

  • Resto del mundo: sólo puede hacer consultas para la zona de midominio.com

De este modo se impide que haya consultas recursivas y con esto impedir la posibilidad de sufrir/participar de un ataque DDoS.

options {
        directory "/var/named";
	dump-file "/var/named/data/cache_dump.db";
	statistics-file "/var/named/data/named_stats.txt";
	memstatistics-file "/var/named/data/named_mem_stats.txt";
	version "BIND";
        forwarders {192.168.0.1; };
        forward first;
	dnssec-enable yes;
	dnssec-validation yes;
	dnssec-lookaside auto;
	bindkeys-file "/etc/named.iscdlv.key";

};

logging {
	channel default_debug {
		file "data/named.run";
		severity dynamic;
	};
};

controls {
	inet 127.0.0.1 allow { 127.0.0.1; } keys { "rndc-key"; };
};

include "/etc/rndc.key";

view "publico" {
	match-clients { any; };
	recursion no;
	zone "." IN {
		type hint;
		file "named.ca";
	};
	zone "midominio.com" {
 	       type master;
  	      file "data/midominio.com.zone";
  	      allow-update { none; };
   	     allow-transfer { 204.13.249.75; 208.78.69.75; 91.198.22.75; };
	};
};

view "local" {
	match-clients {
		127.0.0.0/8;
		10.0.0.0/8;
		172.16.0.0/12;
		192.168.0.0/16;
	};
	recursion yes;
	include "/etc/named.rfc1912.zones";
	zone "." IN {
		type hint;
		file "named.ca";
	};
	zone "miredlocal" {
	       type master;
	       file "data/miredlocal.zone";
 	       allow-update { none; };
 	       allow-transfer { 192.168.0.2; };
	};
};

Seguridad adicional en DNS para uso exclusivo en red local.

Si se va a tratar de un servidor de nombres de dominio para uso exclusivo en red local y se quieren evitar problemas de seguridad de diferente índole, puede utilizarse el parámetro allow-query, el cual servirá para especificar que sólo ciertas direcciones podrán realizar consultas al servidor de nombres de dominio. Se pueden especificar directamente direcciones IP, redes completas o listas de control de acceso que deberán definirse antes de cualquier otra cosa en el archivo /etc/named.conf.

Archivo /etc/named.conf

options {
	directory "/var/named/";
	dump-file "/var/named/data/cache_dump.db";
	statistics-file "/var/named/data/named_stats.txt";
	memstatistics-file "/var/named/data/named_mem_stats.txt";
	version "BIND";
	forwarders {
		8.8.8.8;
		8.8.4.4;
	};
	forward first;
	dnssec-enable yes;
	dnssec-validation yes;
	dnssec-lookaside auto;
	bindkeys-file "/etc/named.iscdlv.key";
};

logging {
	channel default_debug {
		file "data/named.run";
		severity dynamic;
	};
};

controls {
	inet 127.0.0.1 allow { 127.0.0.1; } keys { "rndc-key"; };
};

include "/etc/rndc.key";

view "local" {
	match-clients {
		127.0.0.0/8;
		10.0.0.0/8;
		172.16.0.0/12;
		192.168.0.0/16;
	};
	recursion yes;
	include "/etc/named.rfc1912.zones";
	zone "." IN {
		type hint;
		file "named.ca";
	};
	zone "red-local" {
		type master; 
		file "data/red-local.zone";
		allow-update { none; };
	};
	zone "1.168.192.in-addr.arpa" {
		type master; 
		file "data/1.168.192.in-addr.arpa.zone";
		allow-update { none; };
	};
};

Las zonas esclavas.

Las zonas esclavas se refieren a aquellas hospedadas en servidores de nombres de dominio secundarios y que hacen las funciones de redundar las zonas maestras en los servidores de nombres de dominio primarios. El contenido del archivo de zona es el mismo que en servidor primario. La diferencia está en la sección de texto utilizada en named.conf, donde las zonas se definen como esclavas y definen los servidores donde está hospedada la zona maestra.

Archivo named.conf Servidor DNS secundario.

view "publico" {
	match-clients { any; };
	recursion no;
	zone "." IN {
		type hint;
		file "named.ca";
	};
	zone "dominio.com" { 
		type slave;
		file "dominio.com.zone";
		masters { 192.168.1.254; };
		allow-transfer { 192.168.1.254; };
	};
};

view "local" {
	match-clients {
		127.0.0.0/8;
		10.0.0.0/8;
		172.16.0.0/12;
		192.168.0.0/16;
	};
	recursion yes;
	include "/etc/named.rfc1912.zones";
	zone "." IN {
		type hint;
		file "named.ca";
	};
	zone "red-local" {
		type slave;
		file "data/red-local.zone";
		masters { 192.168.1.254; };
		allow-transfer { 192.168.1.254; };
	};
	zone "1.168.192.in-addr.arpa" { 
		type slave;
		file "data/1.168.192.in-addr.arpa.zone";
		masters { 192.168.1.254; };
		allow-transfer { 192.168.1.254; };
	};
};

Adicionalmente, si desea incrementar seguridad y desea especificar en el Servidor DNS Primario que servidores tendrán permitido ser servidores de nombres de dominio secundario, es decir, hacer transferencias, puede utilizar el parámetro allow-transfer del siguiente modo:

Archivo named.conf Servidor DNS Primario.

view "publico" {
	match-clients { any; };
	recursion no;
	zone "." IN {
		type hint;
		file "named.ca";
	};
	zone "dominio.com" {
		type master; 
		file "dominio.com.zone";
		allow-update { none; };
		allow-transfer {
			200.33.146.217;
			200.33.146.209;
		};
	};
};

view "local" {
	match-clients {
		127.0.0.0/8;
		10.0.0.0/8;
		172.16.0.0/12;
		192.168.0.0/16;
	};
	recursion yes;
	include "/etc/named.rfc1912.zones";
	zone "." IN {
		type hint;
		file "named.ca";
	};
	zone "red-local" {
		type master; 
		file "data/red-local.zone";
		allow-update { none; };
		allow-transfer {
			192.168.1.15;
			192.168.1.16;
		};
	};
	zone "1.168.192.in-addr.arpa" {
		type master; 
		file "data/1.168.192.in-addr.arpa.zone";
		allow-update { none; };
		allow-transfer {
			192.168.1.15;
			192.168.1.16;
		};
	};
};

Seguridad adicional para transferencias de zona.

Cuando se gestionan dominios a través de redes públicas, es importante considerar que si se tienen esquemas de servidores maestros y esclavos, siempre será más conveniente utilizar una clave cifrada en lugar de una dirección IP, debido a que esta última puede ser falsificada bajo ciertas circunstancias.

Comúnmente se definen las direcciones IP desde las cuales se permitirá transferencias de zonas, utilizando una configuración en el archivo /etc/named.conf como la ejemplificada a continuación, donde los servidores esclavos corresponden a los servidores con direcciones IP 192.168.1.11 y 192.168.1.12:

zone "mi-dominio.org" {
	type master;
	file "data/mi-dominio.org.zone";
	allow-update { none; }:
	allow-transfer { 192.168.1.11; 192.168.1.12; };
};

Lo anterior permite la transferencia de zona para los servidores con direcciones IP 192.168.1.11 y 192.168.1.12, los cuales utilizan la siguiente configuración en el archivo /etc/named.conf, ejemplificada a continuación, donde el servidor primario (zonas maestras) corresponde al servidor con dirección IP 192.168.1.1:

zone "mi-dominio.org" {
	type slave;
	file "data/mi-dominio.org.zone";
	masters { 192.168.1.1; };
	allow-transfer { 192.168.1.1; };
};

El inconveniente del esquema anterior es que es fácil falsificar las direcciones IP. A fin de evitar que esto ocurra, el método recomendado será utilizar una clave cifrada que será validada en lugar de la dirección IP. La llave se crea con dnssec-keygen, especificando un algoritmo, que puede ser RSAMD5 o RSA, DSA, DH (Diffie Hellman) o HMAC-MD5, el tamaño de la llave en octetos (bits), el tipo de la llave, que puede ser ZONE, HOST, ENTITY o USER y el nombre específico para la clave cifrada. DSA y RSA se utilizan para DNS Seguro (DNSSEC), en tanto que HMAC-MD5 se utiliza para TSIG (Transfer SIGnature o transferencia de firma). Lo más común es utilizar TSIG. En el siguiente ejemplo, se generará en el directorio de trabajo actual la clave mi-dominio.org, utilizando /dev/random como fuente de datos aleatorios, un algoritmo HMAC-MD5 tipo HOST de 128 octetos (bits):

dnssec-keygen -r /dev/random -a HMAC-MD5 -b 128 -n HOST mi-dominio.org

Lo anterior devuelve una salida similar a la siguiente:

Kmi-dominio.org.+157+32322

Al mismo tiempo se generaran dos archivos en el directorio /var/named/, que corresponderían a Kmi-dominio.org.+157+32322.key y Kmi-dominio.org.+157+32322.private. Kmi-dominio.org.+157+32322.key deberá tener un contenido como el siguiente, el cual corresponde al registro que se añade dentro del archivo de zona:

mi-dominio.org. IN KEY 512 3 157 NPuNuxvZAjtd3mriuygT8Q==
Kmi-dominio.org.+157+32322.private deberá tener un contenido como el siguiente:

Private-key-format: v1.2
Algorithm: 157 (HMAC_MD5)
Key: NPuNuxvZAjtd3mriuygT8Q==

En ambos casos, NPuNuxvZAjtd3mriuygT8Q== corresponde a la clave cifrada. Ambos deben tener la misma clave.

Los dos archivos sólo deben tener atributos de lectura para el usuario named.

chmod 400 Kmi-dominio.org.+157+32322.*
chown named.named Kmi-dominio.org.+157+32322.*

A fin de poder ser utilizados, ambos archivos deben ser movidos hacia el directorio /var/named/data/.

mv Kmi-dominio.org.+157+32322.*/var/named/data/

A continuación, restaure los atributos predeterminados para estos archivos utilizando restorecon, del siguiente modo:

restorecon -R /var/named/data/

En el servidor primario (zonas maestras), se añade la siguiente configuración en el archivo /etc/named.conf:

key mi-dominio.org {
    algorithm HMAC-MD5;
    secret "NPuNuxvZAjtd3mriuygT8Q==";
};

zone "mi-dominio.org" {
	type master;
	file "data/mi-dominio.org.zone";
	allow-update { none; };
	allow-transfer { key mi-dominio.org; };
};

Los servidores esclavos utilizarían la siguiente configuración en el archivo /etc/named.conf, en donde se define la clave y que ésta será utilizada para realizar conexiones hacia el servidor primario (zonas maestras) (192.168.1.1, en el ejemplo):

key mi-dominio.org {
	algorithm HMAC-MD5;
	secret "NPuNuxvZAjtd3mriuygT8Q==";
};

server 192.168.1.1 {
	keys { mi-dominio.org; };
};

zone "mi-dominio.org" {
	type slave;
	masters { 192.168.1.1; };
	allow-transfer { 192.168.1.1; };
};

Comprobaciones.

Tanto en el servidor primario (zonas maestras) como en los servidores esclavos, utilice tail para ver la salida del archivo /var/log/messages, pero sólo aquello que contenga la cadena de caracteres named:

tail -f /var/log/messages |grep named

Al reiniciar el servicio named en servidor primario (zonas maestras), se debe mostrar una salida similar a la siguiente cuando un servidor esclavo realiza una transferencia:

Sep 10 01:57:40 servidor named[6042]: listening on IPv4 interface eth0, 192.168.1.64#53
Sep 10 01:57:40 servidor named[6042]: command channel listening on 127.0.0.1#953
Sep 10 01:57:40 servidor named[6042]: zone 0.in-addr.arpa/IN: loaded serial 42
Sep 10 01:57:40 servidor named[6042]: zone 0.0.127.in-addr.arpa/IN: loaded serial 1997022700
Sep 10 01:57:40 servidor named[6042]: zone 255.in-addr.arpa/IN: loaded serial 42
Sep 10 01:57:40 servidor named[6042]: zone 0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.ip6.arpa/IN: loaded serial 1997022700
Sep 10 01:57:40 servidor named[6042]: zone localdomain/IN: loaded serial 42
Sep 10 01:57:40 servidor named[6042]: zone localhost/IN: loaded serial 42
Sep 10 01:57:40 servidor named[6042]: zone mi-dominio.org/IN: loaded serial 2009091001
Sep 10 01:57:40 servidor named: Iniciación de named succeeded
Sep 10 01:57:40 servidor named[6042]: running
Sep 10 01:57:40 servidor named[6042]: zone mi-dominio.org/IN: sending notifies (serial 2009091001)
Sep 10 01:59:49 servidor named[6042]: client 192.168.1.11#32817: transfer of 'mi-dominio.org/IN': AXFR started

Al reiniciar el servicio named en los servidores esclavos, se debe mostrar una salida similar a la siguiente:

Sep 10 01:58:15 servidor named[5080]: listening on IPv4 interface eth0, 192.168.1.253#53
Sep 10 01:58:15 servidor named[5080]: command channel listening on 127.0.0.1#953
Sep 10 01:58:15 servidor named[5080]: zone 0.in-addr.arpa/IN: loaded serial 42
Sep 10 01:58:15 servidor named[5080]: zone 0.0.127.in-addr.arpa/IN: loaded serial 1997022700
Sep 10 01:58:15 servidor named[5080]: zone 255.in-addr.arpa/IN: loaded serial 42
Sep 10 01:58:15 servidor named[5080]: zone 0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.ip6.arpa/IN: loaded serial 1997022700
Sep 10 01:58:15 servidor named[5080]: zone localdomain/IN: loaded serial 42
Sep 10 01:58:15 servidor named[5080]: zone localhost/IN: loaded serial 42
Sep 10 01:58:15 servidor named[5080]: running
Sep 10 01:58:15 servidor named: Iniciación de named succeeded
Sep 10 01:58:15 servidor named[5080]: zone mi-dominio.org/IN: transferred serial 2009091001
Sep 10 01:58:15 servidor named[5080]: transfer of 'mi-dominio.org/IN' from 192.168.1.1#53: end of transfer
Sep 10 01:58:15 servidor named[5080]: zone mi-dominio.org/IN: sending notifies (serial 2009091001)

Reiniciar servicio y depuración de configuración.

Al terminar de editar todos los archivos involucrados, sólo bastará reiniciar el servidor de nombres de dominio.

service named restart

Si queremos que el servidor de nombres de dominio quede añadido entre los servicios en el arranque del sistema, deberemos realizar lo siguiente a fin de habilitar named junto con el arranque del sistema:

chkconfig named on

Realice prueba de depuración y verifique que la zona haya cargado con número de serie:

tail -80 /var/log/messages |grep named

Lo anterior, si está funcionando correctamente, debería devolver algo parecido a lo mostrado a continuación:

Sep 10 02:15:15 servidor named[30618]: starting BIND 9.2.2 -u named
Sep 10 02:15:15 servidor named[30618]: using 1 CPU
Sep 10 02:15:15 servidor named: Iniciación de named succeeded
Sep 10 02:15:15 servidor named[30622]: loading configuration from '/etc/named.conf'
Sep 10 02:15:15 servidor named[30622]: no IPv6 interfaces found
Sep 10 02:15:15 servidor named[30622]: listening on IPv4 interface lo, 127.0.0.1#53
Sep 10 02:15:15 servidor named[30622]: listening on IPv4 interface eth0, 192.168.1.1#53
Sep 10 02:15:15 servidor named[30622]: command channel listening on 127.0.0.1#953
Sep 10 02:15:16 servidor named[30622]: zone 0.0.127.in-addr.arpa/IN: loaded serial 3
Sep 10 02:15:16 servidor named[30622]: zone 1.168.192.in-addr.arpa/IN: loaded serial 2009091001
Sep 10 02:15:16 servidor named[30622]: zone localhost/IN: loaded serial 1
Sep 10 02:15:16 servidor named[30622]: zone mi-dominio.com.mx/IN: loaded serial 2009091001
Sep 10 02:15:16 servidor named[30622]: running
Sep 10 02:15:16 servidor named[30622]: zone 1.168.192.in-addr.arpa/IN: sending notifies (serial 2009091001)
Sep 10 02:15:16 servidor named[30622]: zone mi-dominio.com.mx/IN: sending notifies (serial 2009091001)

Si algunos de nuestros foros, manuales, ALDOS, paquetería o proyectos te han resultado de ayuda, apreciaremos mucho nos apoyes con un donativo.

Última Edición: 18/12/2015, 21:09|Hits: 43,582 Ver la versión para imprimir