On 10/05/18 20:33, Pablo Figueroa
wrote:
Gracias Mariano.... ahora me salta la duda... es necesario que en
los resolver cree las zonas para que los administradores resuelvan
por ejemplo el servidor de mail de forma interna por la red local
?
Ahhh... ya veo por dónde vas :-)
¿Desde la red de administración los servidores se deben ver
con direcciones IP distintas a las públicas?
Este es otro problema que tiene varias complejidades. Si desde la
red de administración es necesario utilizar direcciones IP distintas
para los mismos servicios, hay que conseguir que los mismos nombres
se resuelvan de distinto modo según de dónde viene la consulta.
1) Si el hecho de que desde la red de administración se puedan
ver las direcciones privadas pero también se puedan
utilizar las direcciones IP públicas (que usa cualquiera desde
afuera), lo más fácil (aunque quizás no lo más óptimo) es
simplemente dejar todo así y que desde la VLAN de admin se utilicen
los servicios públicos.
2) Si desde la VLAN de admin sólo se puede llegar a los servicios
por direcciones privadas (o, desde el punto de vista de performance,
conviene hacerlo) entonces tenés que implementar algo que se llama
"split-horizon" (¿horizonte dividido?), en el que, de algún modo,
conseguís que la respuesta a la misma consulta dé un resultado
distinto según desde donde llegue.
BIND siempre tuvo soporte para "split-horizon", pero es muy fácil
configurarlo mal (o "romperlo" después de un tiempo y modificaciones
por distintas manos).
Una cosa que tenés que tener en cuenta es que, si un equipo
(cliente) tiene configurados varios resolvers (por si alguno no
responde o si alguno es más eficiente que el otro), todos
los resolvers deberían contestar lo mismo para las mismas
consultas. Esto te va a obligar a que no utilices los
resolvers para clientes como backup de los de admin y viceversa (o
que tengas que configurar con mucho cuidado a todos ellos).
Para mí, en tu caso, lo más simple es configurar uno o dos
servidores autoritativos internos para tu dominio
que tengan las zonas configuradas como las tengan que ver desde la
VLAN de admin (lo cual posiblemente tenga algunas direcciones IP
públicas y otras privadas).
Una vez hecho esto, en los resolvers de la VLAN de admin
configurás, sólo para tu dominio un "forwarder" que, en
lugar de seguir el mecanismo de delegación desde la raíz, haga
directamente las consultas a los autoritativos internos.
Tenés que tener en cuenta que, en muchos casos, cuando introduzcas
modificaciones en las zonas, vas a tener que configurarlas en el
autoritativo master público y en el interno.
La alternativa es que configures el "split-horizon" en los
autoritativos públicos y hagas que, si las consultas vienen de una
IP de la VLAN admin contesten con una zona distinta. De los
servidores open source que usé, el único que soporta esto es BIND
(ni NSD, ni PowerDNS ni el viejo djbdns lo soportan, y es más "por
diseño" que por pereza). En este caso, de todos modos tenés
que modificar dos zonas distintas, sólo que están ambas en el mismo
servidor.
Lo mismo lo podrías implementar con dos instancias de autoritativo
(aún con NSD u otro) en el mismo equipo, y hacés que la zona interna
se conteste en una IP distinta o en un port distinto (si usás un
forwarder, en general lo podés configurar para que haga las
consultas en un puerto no-estándar).
Suerte.
--
Mariano Absatz - El Baby
www.clueless.com.ar