Elkarnet Usando la Intranet de Hezkuntza Versión 1.0 Egilea: Alfredo Barrainkua Zallo Data: 2005.eko Abenduak 14 Lizentzia: CreativeCommons - ShareAlike Lizentzia laburpena: English Castellano Elkarnet Edukien aurkibidea 1. Mapeando direcciones de la DMZ al cortafuegos..............................................................3 2. NAT entre las direcciones de la IE y la DMZ....................................................................3 3. Políticas de acceso..............................................................................................................4 4. Servidor Maestro con el DNS de Microsoft.......................................................................4 5. Servidor Maestro con el DNS de Linux (BIND)................................................................8 6. Servidor Esclavo con el DNS de Linux (BIND)................................................................ 8 7. Autor...................................................................................................................................8 Elkarnet UsandoLaIE Introducción Tenemos una via de comunicación, que es la Intranet de Educación (IE en adelante). El uso que se hace de la misma es esporádico, y práctivcamente dedicado a hacer VideoConferencia entre centros. Nos hemos propuesto utilizarla para las comunicaciones ordinarias entre centros, y uno de los usos es acceder a la web y correo de TKNIKA, así como a los servicios que otras escuelas pudieran ofrecer. Vamos a ver en este MiniCOMO, la forma que hemos entendido más práctica de lograr este objetivo. Se ha determinado, que lo mejor es que uno o dos servidores DNS en la IE, sean esclavos de nuestros servidores DNS. Tenemos que realizar una serie de pequeños cambios en nuestras arquitecturas actuales, y las cosas a modificar son las siguientes: Mapear las direcciones de los servidores de la DMZ que deseemos (el de correo, si lo hay, es imprecindible), a direcciones de la IE. Hacer NAT entre las direcciones mapeadas y las de la DMZ. Permitir el acceso desde la IE a nuestro servidor DNS para la transferencia de zonas. Permitir el acceso desde la IE a las direcciones mapeadas en la IE de los servidores que deseemos poner a disposición de los centros de la IE. El de correo, si lo hay, es imprecindible. El servidor DNS ha de referirse a los servidores de la DMZ, por su dirección en la IE. Hacer que nuestros servidores DNS permitan la transferencia de zonas al DNS esclavo, le notifiquen los cambios en las zonas, y lo utilizen como primer forwarder. Como ejemplo vamos a utilizar el servidor DNS de TKNIKA como esclavo de nuestras zonas. La dirección del servidor DNS de TKNIKA es la 10.24.0.204. 1. Mapeando direcciones de la DMZ al cortafuegos Supongamos que tenemos una DMZ con la dirección 172.16.0.0/28. En ella tenemos dos servidores con direcciones 172.16.0.1/28 y 172.16.2/28. Vamos a mapearlos a las direcciones de la IE 10.22.3.201 y 10.22.3.202. Primero vamos a asignar al interface de red del cortafuegos, correspondiente a la red interna, las direcciones de la IE que vamos a utilizar para mapear las de la DMZ. En nuestro caso 10.22.3.201 y 10.22.3.202. La forma de hacerlo dependerá de la distribución usada 2. NAT entre las direcciones de la IE y la DMZ Para realizarlo echamos mano del fwbuilder. Creamos primero los alias de la tarjeta del interior, correspondientes a los mapeos de las direcciones de la DMZ. 10tik, 3. Orrialdea / Página 3 de 10 Elkarnet UsandoLaIE Kaioa-intranet corresponde a la ditrección 10.22.3.202, y posta-intranet, a la 10.22.3.201. Seguidamente situamos en primer lugar de la tabla NAT, las siguientes reglas: Orig. Source Orig. Dest. Orig. Serv. Tran. Source Tran. Dest. Tran. Serv. Hezkuntza Posta-intranet Any Original 172.16.0.1 Original Hezkuntza Kaioa-intranet Any Original 172.16.0.2 Original 3. Políticas de acceso En este apartado tenemos que permitir que el tráfico proveniente de la IE se dirija a los servidores que hayamos puesto en la IE. Será el tráfico al servidor de correo en los servicios smtp y smtps, a los servidores web en puertos http y https. Servidores ftp con ftp y ftp-passive, etc. Además hemos de permitir el tráfico TCP/53 (domain) y UDP/53 (domain) entre nuestro servidor DNS y el de TKNIKA en ambos sentidos. 4. Servidor Maestro con el DNS de Microsoft Tenemos que permitir transferir nuestra zona directa al servidor DNS de TKNIKA. Para ello seguimos los siguientes pasos. 10tik, 4. Orrialdea / Página 4 de 10 Elkarnet UsandoLaIE 10tik, 5. Orrialdea / Página 5 de 10 Elkarnet UsandoLaIE 10tik, 6. Orrialdea / Página 6 de 10 Elkarnet UsandoLaIE 10tik, 7. Orrialdea / Página 7 de 10 Elkarnet UsandoLaIE IMPORTANTE: Téngase en cuenta que en el servidor DNS, ha de haber referencia a los servicios (smtp, www, ftp...) en las direcciones de la IE, no en las direcciones de la DMZ. 5. Servidor Maestro con el DNS de Linux (BIND) En el caso del servidor BIND de Linux, vamos a realizar la configuración para la transferencia de zonas, en el fichero /etc/named.conf. Primeramente vamos a generar la clave a intercambiar entre maestro y esclavo, para permitir transferir la zona. Supongamos que nuestro servidor se llama oka.nireeskola.net: #dnssec-keygen -a HMAC-MD5 -b 128 -n HOST dns.nire-eskola.net Nos da como resultado, un fichero con un nombre como el que sigue: Kdns.nire-eskola.net.+157+60939 Este fichero lo hemos de guardar para para pasárselo al esclavo. Dentro del fichero hay una cadena de texto tal como: dns.nire-eskola.net. IN KEY 512 3 157 0mYzjU4Fnp7vbwldkJJsdw== Debemos poner al principio del fichero /etc/named.conf lo siguiente: key dns.nire-eskola.net { algorithm hmac-md5; secret “0mYzjU4Fnp7vbwldkJJsdw==”; }; En la sección de opciones pondremos que permitimos la transferencia de la zona. allow-transfer { key oka.nire-eskola.net; }; Los forwarders (primero el esclavo, y luego los de Euskaltel). Indicamos que primero reenvía an esclavo. forwarders { 10.24.0.204; 212.55.8.132; 212.55.8.133; }; forward first; Notificamos los cambios de zona a los esclavos notify yes; Para saber a quienes notificar, el esclavo ha de ser servidor DNS para nuestra zona. Esto ha de indicarse en el fichero de zona!: 10tik, 8. Orrialdea / Página 8 de 10 Elkarnet UsandoLaIE IN NS dns.tknika.net. Finalmente nodificamos la definición de zona: zone "nire-eskola.net" { type master; allow transfer {10.24.0.204; }; file "nire-eskola.net.hosts"; }; 6. Servidor Esclavo con el DNS de Linux (BIND) Al igual que en el maestro, vamos a poner al inicio del fichero /etc/named.conf la clave para la transferencia de zonas: key dns.nire-eskola.net { algorithm hmac-md5; secret “0mYzjU4Fnp7vbwldkJJsdw==”; }; Suponemos que 172.16.2.8 es la dirección del servidor maestro. Seguidamente, en la sección de opciones ponemos: server 172.16.2.8 { keys dns.nire-eskola.net; }; Ahora vamos a crear la zona zone "nire-eskola.net" { type slave; masters {172.16.2.8; }; transfer-source 10.24.0.204; file "morroia/nire-eskola.net.hosts"; }; Hay que tener cuidado con las diferencias de hora entre los servidores. 7. Autor Alfredo Barrainkua Zallo, Iurreta Institutuko Sare Administraria Kritikak, hobekuntzak aldaketa proposamenak edota galderak hurrengo posta helbidera: 10tik, 9. Orrialdea / Página 9 de 10 Elkarnet UsandoLaIE [email protected] 10tik, 10. Orrialdea / Página 10 de 10