Añadir a la recogida (s) Añadir a salvo
  1. Ninguna Categoria

Usando la Intranet de Hezkuntza

Anuncio 
Elkarnet
Usando la Intranet de Hezkuntza
Versión 1.0
Egilea:
Alfredo Barrainkua Zallo
Data:
2005.eko Abenduak 14
Lizentzia:
CreativeCommons - ShareAlike
Lizentzia laburpena: English Castellano
Elkarnet
Edukien aurkibidea
1. Mapeando direcciones de la DMZ al cortafuegos..............................................................3
2. NAT entre las direcciones de la IE y la DMZ....................................................................3
3. Políticas de acceso..............................................................................................................4
4. Servidor Maestro con el DNS de Microsoft.......................................................................4
5. Servidor Maestro con el DNS de Linux (BIND)................................................................8
6. Servidor Esclavo con el DNS de Linux (BIND)................................................................ 8
7. Autor...................................................................................................................................8
Elkarnet
UsandoLaIE
Introducción
Tenemos una via de comunicación, que es la Intranet de Educación (IE en adelante). El
uso que se hace de la misma es esporádico, y práctivcamente dedicado a hacer
VideoConferencia entre centros. Nos hemos propuesto utilizarla para las comunicaciones
ordinarias entre centros, y uno de los usos es acceder a la web y correo de TKNIKA, así
como a los servicios que otras escuelas pudieran ofrecer.
Vamos a ver en este MiniCOMO, la forma que hemos entendido más práctica de lograr
este objetivo. Se ha determinado, que lo mejor es que uno o dos servidores DNS en la IE,
sean esclavos de nuestros servidores DNS.
Tenemos que realizar una serie de pequeños cambios en nuestras arquitecturas actuales, y
las cosas a modificar son las siguientes:
Mapear las direcciones de los servidores de la DMZ que deseemos (el de correo, si lo hay,
es imprecindible), a direcciones de la IE.
Hacer NAT entre las direcciones mapeadas y las de la DMZ.
Permitir el acceso desde la IE a nuestro servidor DNS para la transferencia de zonas.
Permitir el acceso desde la IE a las direcciones mapeadas en la IE de los servidores que
deseemos poner a disposición de los centros de la IE. El de correo, si lo hay, es
imprecindible. El servidor DNS ha de referirse a los servidores de la DMZ, por su
dirección en la IE.
Hacer que nuestros servidores DNS permitan la transferencia de zonas al DNS esclavo, le
notifiquen los cambios en las zonas, y lo utilizen como primer forwarder.
Como ejemplo vamos a utilizar el servidor DNS de TKNIKA como esclavo de nuestras
zonas. La dirección del servidor DNS de TKNIKA es la 10.24.0.204.
1. Mapeando direcciones de la DMZ al cortafuegos
Supongamos que tenemos una DMZ con la dirección 172.16.0.0/28. En ella tenemos dos
servidores con direcciones 172.16.0.1/28 y 172.16.2/28. Vamos a mapearlos a las
direcciones de la IE 10.22.3.201 y 10.22.3.202.
Primero vamos a asignar al interface de red del cortafuegos, correspondiente a la red
interna, las direcciones de la IE que vamos a utilizar para mapear las de la DMZ. En
nuestro caso 10.22.3.201 y 10.22.3.202.
La forma de hacerlo dependerá de la distribución usada
2. NAT entre las direcciones de la IE y la DMZ
Para realizarlo echamos mano del fwbuilder. Creamos primero los alias de la tarjeta del
interior, correspondientes a los mapeos de las direcciones de la DMZ.
10tik, 3. Orrialdea / Página 3 de 10
Elkarnet
UsandoLaIE
Kaioa-intranet corresponde a la ditrección 10.22.3.202, y posta-intranet, a la 10.22.3.201.
Seguidamente situamos en primer lugar de la tabla NAT, las siguientes reglas:
Orig. Source Orig. Dest.
Orig. Serv. Tran. Source Tran. Dest. Tran. Serv.
Hezkuntza
Posta-intranet
Any
Original
172.16.0.1
Original
Hezkuntza
Kaioa-intranet Any
Original
172.16.0.2
Original
3. Políticas de acceso
En este apartado tenemos que permitir que el tráfico proveniente de la IE se dirija a los
servidores que hayamos puesto en la IE. Será el tráfico al servidor de correo en los
servicios smtp y smtps, a los servidores web en puertos http y https. Servidores ftp con
ftp y ftp-passive, etc. Además hemos de permitir el tráfico TCP/53 (domain) y UDP/53
(domain) entre nuestro servidor DNS y el de TKNIKA en ambos sentidos.
4. Servidor Maestro con el DNS de Microsoft
Tenemos que permitir transferir nuestra zona directa al servidor DNS de TKNIKA. Para
ello seguimos los siguientes pasos.
10tik, 4. Orrialdea / Página 4 de 10
Elkarnet
UsandoLaIE
10tik, 5. Orrialdea / Página 5 de 10
Elkarnet
UsandoLaIE
10tik, 6. Orrialdea / Página 6 de 10
Elkarnet
UsandoLaIE
10tik, 7. Orrialdea / Página 7 de 10
Elkarnet
UsandoLaIE
IMPORTANTE: Téngase en cuenta que en el servidor DNS, ha de haber referencia a los
servicios (smtp, www, ftp...) en las direcciones de la IE, no en las direcciones de la DMZ.
5. Servidor Maestro con el DNS de Linux (BIND)
En el caso del servidor BIND de Linux, vamos a realizar la configuración para la
transferencia de zonas, en el fichero /etc/named.conf.
Primeramente vamos a generar la clave a intercambiar entre maestro y esclavo, para
permitir transferir la zona. Supongamos que nuestro servidor se llama oka.nireeskola.net:
#dnssec-keygen -a HMAC-MD5 -b 128 -n HOST dns.nire-eskola.net
Nos da como resultado, un fichero con un nombre como el que sigue:
Kdns.nire-eskola.net.+157+60939
Este fichero lo hemos de guardar para para pasárselo al esclavo. Dentro del fichero hay
una cadena de texto tal como:
dns.nire-eskola.net. IN KEY 512 3 157 0mYzjU4Fnp7vbwldkJJsdw==
Debemos poner al principio del fichero /etc/named.conf lo siguiente:
key dns.nire-eskola.net {
algorithm hmac-md5;
secret “0mYzjU4Fnp7vbwldkJJsdw==”;
};
En la sección de opciones pondremos que permitimos la transferencia de la zona.
allow-transfer { key oka.nire-eskola.net; };
Los forwarders (primero el esclavo, y luego los de Euskaltel). Indicamos que primero
reenvía an esclavo.
forwarders { 10.24.0.204; 212.55.8.132; 212.55.8.133; };
forward first;
Notificamos los cambios de zona a los esclavos
notify yes;
Para saber a quienes notificar, el esclavo ha de ser servidor DNS para nuestra zona. Esto
ha de indicarse en el fichero de zona!:
10tik, 8. Orrialdea / Página 8 de 10
Elkarnet
UsandoLaIE
IN NS dns.tknika.net.
Finalmente nodificamos la definición de zona:
zone "nire-eskola.net" {
type master;
allow transfer {10.24.0.204; };
file "nire-eskola.net.hosts";
};
6. Servidor Esclavo con el DNS de Linux (BIND)
Al igual que en el maestro, vamos a poner al inicio del fichero /etc/named.conf la clave
para la transferencia de zonas:
key dns.nire-eskola.net {
algorithm hmac-md5;
secret “0mYzjU4Fnp7vbwldkJJsdw==”;
};
Suponemos que 172.16.2.8 es la dirección del servidor maestro. Seguidamente, en la
sección de opciones ponemos:
server 172.16.2.8 {
keys dns.nire-eskola.net;
};
Ahora vamos a crear la zona
zone "nire-eskola.net" {
type slave;
masters {172.16.2.8; };
transfer-source 10.24.0.204;
file "morroia/nire-eskola.net.hosts";
};
Hay que tener cuidado con las diferencias de hora entre los servidores.
7. Autor
Alfredo Barrainkua Zallo, Iurreta Institutuko Sare Administraria
Kritikak, hobekuntzak aldaketa proposamenak edota galderak hurrengo posta helbidera:
10tik, 9. Orrialdea / Página 9 de 10
Elkarnet
UsandoLaIE
[email protected]
10tik, 10. Orrialdea / Página 10 de 10
Documentos relacionados
Práctica de laboratorio Servidor DNS
Práctica de laboratorio Servidor DNS
hostsuar - transferir dominio
hostsuar - transferir dominio
Métodos de búsqueda
Métodos de búsqueda
Requisitos para Integrar los DNS Internos
Requisitos para Integrar los DNS Internos
Instalación y administración de un servidor DNS en Windows 7
Instalación y administración de un servidor DNS en Windows 7
Conceptos importantes
Conceptos importantes
Lista de datos de web WordPress (PDF) v.1.0 (44.31 kB )
Lista de datos de web WordPress (PDF) v.1.0 (44.31 kB )
Descargar
Anuncio
Anuncio