Resolución de nombres dns en Astaro

A continuación se explica la resolución de nombres dns en el firewall Sophos UTM (antiguo Astaro ASG).

Astaro lleva incluido un servidor dns sólo para resolver nombres DNS. En las versiones 8 y 9 el servidor DNS siempre está activo. No es posible desactivarlo. En versiones anteriores (7 y anteriores) había que activarlo si se quería usar. En la mayoría de los escenarios era normal tener que activarlo, por lo tanto en versiones 8 y superiores viene directamente activo. Lo que sí se puede hacer, es no usarlo en caso de que no se necesite, aunque en la mayoría de los escenarios será útil.

¿QUÉ ES?

  • Permite resolver nombres dns internamente para uso dentro del propio servidor. Por ejemplo en:
    • Definiciones de objetos mediante nombre dns (dns host) en lugar de por ip. Estas definiciones pueden usarse para reglas, para ipsec, y en multitud de configuraciones del firewall Astaro.
    • Para resolver nombres para el proxy web.
    • Para resolver nombres para el proxy smtp.
  • Permite actuar como servidor de caché de dns. Esto mejora la rapidez en la resolución de nombres. Aunque hoy en día con las velocidades actuales no suele notarse mucho.
  • Permite indicar qué host o redes van a poder usar el servidor dns.
  • Permite asignar de forma estática nombres dns a direcciones ip. Es decir, permite “falsear” nombres dns. Por ejemplo, se puede poner que http://www.google.com apunte a una ip que no es la usada en internet.  O por ejemplo “inventar” nombres que no existen, por ejemplo http://www.noexistenoexistenoexiste7777.net a una ip que queramos.
  • Permite asignar de forma estática direcciones ip a nombres dns. Es decir, permite “falsear” la resolución inversa de una ip
  • Permite especificar qué servidores dns van a resolver ciertos nombres de dominio, tanto si son válidos como si no lo son en internet. Por ejemplo nombres dns usados en las redes lan internas.
  • Usar servicios de dns dinámico. El más conocido es el DynDNS.

¿QUÉ NO ES?

  • No es un servidor dns tradicional que permite alojar nombres de dominio de internet, o internos. No permite de ningún tipo.

CONFIGURACIÓN

  • La configuración del servidor DNS se realiza desde el interfaz Webadmin –> “Network services” –> “DNS”.
  • Las redes o host que van a poder usar el el servidor dns se indican en “Network services” –> “DNS” –> “Global” –> “Allowed networks”.

Un escenario típico es tener una red de área local con un active directory. Los ordenadores de la red de área local usarán como servidor dns los servidores dns del active directory. El servidor Astaro estará con 2 interfaces de red: uno en la red de área local internet, y otro interfaz conectado a internet. Los servidores dns del active directory resolverán los nombres de los dominios dns que alojen. Y los nombres que no sean de esos dominios, los enviarán a un servidor forwarder. Como servidor forwarder se puede poner al servidor Astaro. Para que el servidor Astaro permita hacer las consultas a los servidores dns del active directory hay que añadir las direcciones ip (o toda la red interna) como redes permitidas en “Network services” –> “DNS” –> “Global” –> “Allowed networks”.

En el escenario anterior, el servidor Astaro resolverá los nombres en internet que le soliciten los servidores dns del active directory. El servidor dns de Astaro tiene cache de nombres. De esta manera es más eficiente la búsqueda que si los servidores dns del active directory consultaran directamente en internet. Aunque en realidad, una consulta dns es muy rápida y con las redes actuales no suele plantear problemas.

  • Borrar la caché dns. Se realiza desde “Network services” –> “DNS” –> “Global” –> botón “Flush resolver cache now”
  • Los servidores dns que usa el Astaro se indican en  “Network services” –> “DNS” –>”Forwarders”.

El servidor dns de Astaro resuelve los nombres de internet consultando directamente a los root-servers si no se indica lo contrario. Si se quieren usar los servidores dns de nuestro proveedor de acceso a internet (ISP) por ser más cercanos, o los de Google (que funcionan muy bien. Son 8.8.8.8 y 8.8.4.4).

  • Servidores dns específicos para resolver ciertos dominios. Se pueden especificar en  “Network services” –> “DNS” –>”Request routing”. Un ejemplo típico son nombres de dominio que no existen en internet pero sí en nuestra red de área local. Aquí se indicarían esos nombres de dominio y cuáles son los servidores dns que van a resolverlos. De esta manera el Astaro podría resolver nombres dns de dichos dominios.
  • Las entradas dns estáticas (o sea, el “falseo” de nombres dns) se realiza desde  “Network services” –> “DNS” –>”Static entries”. Se pueden indicar también la resolución inversa.
  • La configuración de dns dinámico se hace en  “Network services” –> “DNS” –>”DynDNS”. Esto se usa cuando la ip de conexión a internet es variable y se quieren ofrecer servicios en dicha ip aunque cambie con el tiempo. Para ello la solución es asignar un nombre a dicha ip, de tal manera que el nombre siempre es el mismo y cuando cambia la ip se actualiza rápidamente el nombre a dicha ip. Astaro es compatible con varios sistema de dns dinámico. A día de hoy, para la versión 9.005, la lista de sistemas soportados son:

NOTA: Antiguamente (hace muchos años) sólo se soportaba DynDNS.

RESOLUCIÓN DE PROBLEMAS

  • Mediante Webadmin, ir a “Support” –> “Tools” –> “DNS Lookup”. Desde esta opción se permite hacer un nslookup.
  • Mediante SSH, comprobar la conectividad mediante los comandos nslookup y dig.

RESOLUCIÓN DE PROBLEMAS, COMANDOS AVANZADOS

MUY IMPORTANTE: Es recomendable llamar a los servicios de soporte de Astaro. Estos comandos pueden no funcionar o causar problemas en el servicio que ofrece el firewall. Si los usas, hazlo con conocimiendo de lo que haces y ten un backup actualizado disponible fuera del servidor.

  • Mediante SSH, se puede r
  • einiciar el servicio dns con el comando:
      • /var/mdw/scripts/named restart

 

astaro_ssh_dns_reiniciar

Anuncios

Un comentario en “Resolución de nombres dns en Astaro

Responder

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión / Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión / Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión / Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión / Cambiar )

Conectando a %s