Mi configuración ideal de pdns-recursor

Parece que la gente sigue teniendo problemas con los DNS en la mayor parte de los centros. Como, en mi caso, no tengo problemas, comparto la configuración del recursor que es para mí ideal y la que yo aplico en mi centro:

/etc/powerdns/recursor.conf

#################################
# forward-zones Zones for which we forward queries, comma separated domain=ip pairs
#
# forward-zones=
forward-zones=instituto.extremadura.es=172.19.144.76,gobex.pri=172.21.8.8,juntaextremadura.pri=172.21.8.8,eco.pri=172.21.8.8,mir.es=172.21.8.8,asistenciatic.educarex.es=172.21.8.8

#################################
# forward-zones-recurse Zones for which we forward queries with recursion bit, comma separated domain=ip pairs
#
# forward-zones-recurse=
forward-zones-recurse=.=208.67.222.222;208.67.220.220;8.8.8.8;8.8.4.4

#################################
# local-address IP addresses to listen on, separated by spaces or commas. Also accepts ports.
#
local-address=127.0.0.1

#################################
# local-port port to listen on
#
local-port=1553

#################################
# quiet Suppress logging of questions and answers
#
quiet=yes

#################################
# setgid If set, change group id to this gid for more security
#
setgid=pdns

#################################
# setuid If set, change user id to this uid for more security
#
setuid=pdns

export-etc-hosts=yes

#dnssec=validate
#dnssec-log-bogus=yes

Esta semana pasada he estado en la EAP, impartiendo el curso "Sistema de clonación Opensource FOG", por lo que no he podido entrar mucho en detalles. Tan sólo compartir mi configuración para que los compañeros que estaban teniendo problemas, pudiesen solucionarlos.

En nuestros centros utilizamos Powerdns como servidor DNS y lo implementamos utilizando dos servicios:

  • pdns: Es el servidor autoritativo encargado de resolver los nombres del centro, que se encuentran alojados en la B.D. LDAP.
  • pdns-recursor: Es el servidor encargado de realizar la recursión. Es decir, redirigir las peticiones de resolución de nombres que no resuelve el servidor DNS autoritativo a otros servidores.
Para que el servicio pdns delegue en el recursor la resolución recursiva de nombres, hay una línea en el fichero de configuración del servicio (en nuestro caso /etc/powerdns/pdns.d/pdns-debian-edu.conf), como la siguiente:
recursor=127.0.0.1:1553
Donde indicamos quién es el recursor y en qué puerto escucha.
Bien, pues una vez dicho ésto, vamos a centrarnos en la configuración del recursor que he compartido. 
Si echáis un vistazo a forward-zones, veréis que hay una línea que dice:
forward-zones=instituto.extremadura.es=172.19.144.76,gobex.pri=172.21.8.8,juntaextremadura.pri=172.21.8.8,eco.pri=172.21.8.8,mir.es=172.21.8.8,asistenciatic.educarex.es=172.21.8.8

Lo que le estoy diciendo al recursor con esta configuración es que:

  • Para resolver los nombres del dominio instituto.extremadura.es se deben redirigir las peticiones al servidor 172.19.144.76. Esta resolución de nombres es particular de mi centro.  Tengo un controlador de dominio windows y definí un dominio instituto.extremadura.es para las máquinas Windows del centro. 
  • Para resolver los nombres del dominio gobex.pri se deben redirigir las peticiones al servidor DNS corporativo 172.21.8.8.
  • Para resolver los nombres del dominio juntaextremadura.pri se deben redirigir las peticiones al servidor DNS corporativo 172.21.8.8.
  • Para resolver los nombres del dominio eco.pri se deben redirigir las peticiones al servidor DNS corporativo 172.21.8.8.
  • Para resolver los nombres del dominio mir.es se deben redirigir las peticiones al servidor DNS corporativo 172.21.8.8.
  • Para resolver el nombre del servidor asistenciatic.educarex.es se deben redirigir las peticiones al servidor DNS corporativo 172.21.8.8.
Y si echáis un vistazo forward-zones-recurse, veréis que tiene la siguiente configuración:

forward-zones-recurse=.=208.67.222.222;208.67.220.220;8.8.8.8;8.8.4.4

Con lo que el resto de nombres se consultarán por el siguiente orden:

  • A los servidores de OpenDNS: 
    • 208.67.222.222
    • 208.67.220.220
  • A los servidores de Google:
    • 8.8.8.8
    • 8.8.4.4
Be the first to comment

Por favor acceder para comentar.