Asumimos que ya instalamos previamente un firewall UTM, donde tenemos la Ip pública nateando hacia un servidor CentOS 7 en zona DMZ para instalar y configurar nuestro servidor Zimbra. Primero debemos registrar un dominio público y configurar un DNS público.

Tabla de Contenidos

• Conceptos Básicos de Resolución de Nombres
  • Nombre de Host del equipo local
  • Resolución Local de Hostnames y dominios
  • Resolución de hosts y dominios en red
• Registros de DNS y Cliente DNS
  • Cliente de DNS
  • Registros de DNS
  • Comprobación de registros DNS con dig
  • Registro A
  • Registro NS
  • Registro MX
  • Registro PTR
  • Registro TXT
  • Verificación de todos los registros mediante transferencias de zonas
• Configuración del dominio público de Internet, selección de la Ip pública
  • Seleccionar una Ip pública
  • Registrar un dominio público gratuito en freenom
• Configuración del Servidor DNS Público en modo enjaulado chroot
  • Copiar los archivos del DNS al entorno chroot
  • Generar la Firma Digital
  • Copiar la firma digital al entorno chroot
  • Archivo principal de configuración de bind
  • Creando los archivo zone por los dominios configurados
  • Configuración de PTR
  • Reglas de Firewall para habilitar el puerto 53 UDP del servidor DNS
  • Comprobación del DNS público (Ejecutar en su máquina local laptop)

1.- Conceptos Básicos de Resolución de Nombres

Los nombres de host se pueden resolver por 2 métodos

• De forma local, poniendo nombre al equipo con hostnamectl y editando el archivo /etc/hosts
• En red, con el uso de un servidor DNS y configurando el cliente en /etc/resolv.conf

1.1- Nombre de Host del equipo local

La resolución local de host del equipo, se hace con el nombre de host y se asigna con el comando hostnamectl

1.2.- Resolución Local de Hostnames y dominios

La resolución local de nombres de hosts y dominios se hace con el archivo /etc/hosts Ej.

1.3.- Resolución de hosts y dominios en red

Para resolver nombres de hosts y dominios en red, usamos un servidor DNS. Los servidores DNS puede estar desplegados en diferentes zonas

1.3.1.- DNS WAN:

Es el servidor DNS que resuelve con Ips públicas los nombres de nuestros dominios Ej:

mail.aulautil.tk –> 51.68.161.X

1.3.2.- DNS DMZ:

Es el servidor DNS que resuelve con Ips privadas los nombres de los servidores de la DMZ solo se usa en DMZ, no debe ser usado en la LAN

Ej: mail.aulautil.tk –> 192.168.3.201

1.3.3.- DNS LAN:

Es el servidor DNS que resuelve con Ips privadas los nombres de los pcs y servidores de la LAN; así como de los servidores DMZ con sus ips privadas; el DNS de LAN no debe ser usado en la DMZ

2.- Registros de DNS y Cliente DNS

2.1.- Cliente de DNS

El cliente DNS se configura en el archivo /etc/resolv.conf

En CentOS 7 el archivo resolv.conf es generado por la utilidad de red, por eso hay que editar el archivo de configuración de red y agregar el parámetro DNS1

Ej: Tenemos una tarjeta de red llamada ens18 (esto se sabe con el comando ip addr show)

2.2.- Registros de DNS

Registro	Valor
A	Zona de dominio (ej: mail.dominio.com –> 149.56.218.3)
NS	Name Server (Servidores DNS del dominio)
SOA	Servidor DNS principal (Server of Authorization)
MX	Servidores de correo (Mail Exchange)
TXT	Información adicional del dominio (ej: SPF para hotmail)
CNAME	Alias de una zona de dominio (ej: web –> www.dominio.com)
PTR	Resolución Inversa (ej: 149.56.218.3 –> mail.dominio.com)

2.3.- Comprobación de registros DNS con dig

Instalar dig

Dig tiene las siguientes Secciones

Ejercicios:

2.4.- Registro A

Verificar la zona de dominio www.dominio.com

2.5.- Registro NS

Verificar los DNS Server de dominio.com

2.6.- Registro MX

Verificar los servidores de correo de dominio.com

Ejemplo de Configuración de los Registros MX

Balanceo de Carga

Alta Disponibilidad

2.7.- Registro PTR

El PTR verifica que una IP tenga un nombre de hosts, normalmente se aplica a los servidores de correo

Primero verificamos cuales son los servidores de correo de un dominio

Ahora preguntamos por el registro A de uno de los servidores de correo

Vemos que la IP de mx1.dominio.com es 181.65.173.25 pasamos ahora a preguntar por el PTR de ese IP

2.8.- Registro TXT (SPF)

Verificar si hay registro SPF en el dominio dominio.com

Para crear un registro SPF ir a www.spfwizard.net

Verificar TODOS los registros de DNS del dominio dominio.com

Verificar si hay zona de dominio configurado para el dominio raiz dominio.com

Vemos que no está configurado el dominio raíz como zona A (mala práctica)

2.9.- Verificación de todos los registros mediante transferencias de zonas

3.- Configuración del dominio público de Internet, selección de la Ip pública

Los dominios públicos se adquieren en un proveedor de Dominios (register) Godaddy : com, org, net, cloud, etc … RCP : pe, com.pe, org.pe … Freenom : tk, ml … (dominios gratuitos por 1 año)

3.1.- Seleccionar una Ip pública

Las Ip pública para el servidor de correo Zimbra deben estar limpia, usaremos como ejemplo la IP 51.68.161.X

Adicionalmente para verificar si la Ip está en listas negras ir a: MultiRBL http://multirbl.valli.org/

También debemos configurar en el Firewall perimetral:

• Un Nat de entrada (DNAT) desde la Ip pública hacia la Ip privada del servidor zimbra (Ej: 192.168.X.2). Ese procedimiento ya lo realizamos en el taller 2.

3.2.- Registrar un dominio público gratuito en freenom

3.2.1.- Registrar un nuevo dominio

3.2.2.- Comprobar Registro

Services –> My Domains

4. – Configurar un servidor DNS propio

Los dominios se pueden alojar en servidores DNS del register, de un porveedor de Hosting/Cloud, un ISP, o en tus propios servidores.
Vamos a configurar un servidor DNS propio para entender mejor como trabaja un DNS

4.1.- Configurar los registros pegamento o nombres de host de los DNS server

Se deben registrar primero los nombres de hosts de los servidores DNS asociados a la IP pública del VPS Ej:

Ir a Freenom

4.2.- Configurar los DNS Server del dominio

4.3.- Nat de Puerto desde firewall Sophos

Una vez que hemos adquirido nuestro dominio púbico y asociado los DNS a nuestro Ip público, lo que debemos hacer es un NAT de destino desde la IP pública, puerto 53/udp hacia la Ip interna de nuestro servidor Zimbra, que se le configurará también como servidor de DNS público. Esto se configura en el firewall perimetral de la empresa

Loguearse a Sophos XG

4.4.- Cambiar el nombre del host de zimbra con el dominio creado

Loguearse por ssh al servidor zimbra

Cambiar nombre de host

Ver cual es la ip de zimbra

Editar el /etc/hosts

Cerrar sesión de SSH y volverse a Loguear

5.- Configuración del Servidor DNS Público en modo enjaulado chroot

Instalar los paquetes de servidor de DNS, bind 9

Para configurar el DNS público seguimos los siguientes procedimientos:

• Copiar los archivos de dns al entorno chroot
• Generar la firma digital
• Copiar la firma digital al entorno chroot
• Configurar los parámetros de DNS y el dominio en el archivo principal de configuración de bind /var/named/chroot/etc/named.conf
• Configurar los registros de dns en el archivo /var/named/chroot/var/named/dominio.com.zone
• Reiniciar el servidor DNS
• Configurar el dns cliente el archivo /etc/resolv.conf apuntado a nuestra propia ip
• Configurar la resolución inversa en el proveedor de Internet (ISP) o en el panel del hosting de VPS contratado
• Hacer consultas de nuestro dominio con dig

5.1.- Copiar los archivos del DNS al entorno chroot

5.2.- Generar la Firma Digital

5.3.- Copiar la firma digital al entorno chroot

Nota

Si se falla en algùn procedimiento en la instalación desinstalar y volver a instalar

CUIDADO, ejecutar esto solo si hubo error al instalar, este procedimieto, reinstala el named

5.4.- Configurar los parámetros de DNS y el dominio en el archivo principal de configuración de bind

Borrar todo, copiar la plantilla debajo, pegar y modificar líneas 13,50 y 52

5.5.- Creando los archivo zone por los dominios configurados

5.6.- Reinicio de Servidor DNS Named y verificar los logs

Reiniciar los servicios de name

Si salen errores en el servicio; verificar los logs

Nota si sale errores de permisos o selinux

5.7.- Reglas de Firewall para habilitar el puerto 53 UDP del servidor DNS

Instalar firewalld

Habililitar el servicio DNS

Verificar el firewall con

5.8.- Comprobación del DNS público

Comprobación del DNS público

5.9.- Configuración de PTR

El PTR debe configurarse; solicitando al Proveedor de Internet que ponga un nombre de host a la IP pública. Es probable que si contratamos servidores cloud, tengamos una opción para poner el PTR a las Ips públicas.