BIND (Berkeley Internet Name Domain, in precedenza Berkeley Internet Name Daemon) è il server DNS più usato su Internet, specialmente sui sistemi Unix e derivati, sui quali è lo standard di fatto. BIND è stato creato da Paul Vixie nel 1988 mentre lavorava per DEC, e oggi viene mantenuto dall’Internet Software Consortium (ISC).
Come Sendmail, FTP e altri sistemi risalenti al periodo più permissivo di Internet, BIND si è rivelato fonte di diversi problemi di sicurezza, che sono stati tra i motivi che hanno portato alla sua completa riscrittura. La nuova versione (BIND9) ha un’architettura completamente rivista, ed è compatibile con le evoluzioni del protocollo DNS, oltre a incorporare nuove funzionalità come estensioni per la sicurezza (DNSSEC, TSIG), compatibilità con IPv6 e supporto per i sistemi multiprocessore.
PRE- REQUISITI
pfSense Installato e collegato alla rete internet
Questo tutorial è stato redatto utilizzando:
pfSense 2.4.3-RELEASE-p1 (amd64)
FreeBSD 11.1-RELEASE-p10
BIND Dns 9.12
INSTALLAZIONE DI BIND
La prima cosa da fare è installare il pacchetto Bind.
Per fare questo andare nel menu System -> Package Manager quindi selezionare Bind e cliccare su Install
L’installazione durerà qualche secondo e se tutto è andato a buon fine dovremmo vedere il BIND sotto gli Installed Packages
Dovreste vedere una schermata come quella sovrastante
CONFIGURAZIONE DI BIND
Prima di procedere alla configurazione del BIND Server bisogna disattivare i seguenti servizi
DNS Forwarder
DNS Resolver
Andare quindi nel menù a tendina sotto Services e selezionare DNS Forwarder
Togliamo la spunta a Enable DNS forwarder e cliccare su Save
Ritornare nel menù a tendina Services e selezionare DNS Resolver
Togliamo la spunta a Enable DNS resolver e cliccare su Save
Ritornare quindi al menù Services e cliccare su BIND DNS Server
Come si può notare dall’immagine sovrastante la prima cosa che ci viene chiesta prima di abilitare il BIND è quella di disattivare il DNS Forwarder e Resolver.
Visto che abbiamo già eseguito questo step attivare il BIND spuntando Enable BIND DNS server.
Selzionare l’interfaccia sulla quale attivare il DNS (di solito la risoluzione DNS interna va attivata sull’interfaccia di LAN)
Nella sezione Logging Options abilitare i logs quindi selezionare l’opzione di Default se si vuole avere il log di tutto altrimenti selezionare l’opzione desiderata.
Per quanto riguarda le altre opzioni abilitare solo il forwarding cosi da poter risolvere tutto ciò che non è censito nelle zone interne con dei DNS pubblici.
Io per comodità ho impostato i DNS di Google
NOTA BENE: separare i DNS con un ; e inserire il ; anche alla fine dei DNS come mostrato nell’immagine sovrastante
A questo punto cliccare su Save per salvare la configurazione
Tornare in alto nella pagina di configurazione e cliccare sul link Views quindi cliccare sul pulsante Add
NOTA BENE: ho saltato la sezione ACLs perchè è una sezione che permette di fare configurazioni avanzate bloccando la risoluzione DNS solo a determinati IP o subnet.
Dare un nome alla Vista e una descrizione.
Settare la Recursion a Yes
NOTA BENE: Una query ricorsiva si verifica quando il tuo server DNS viene interrogato per un dominio di cui attualmente non sa nulla, nel qual caso proverà a risolvere l’host dato eseguendo ulteriori query (ad es. Iniziando dai root server e risolvendo, o semplicemente passare la richiesta a un altro server DNS).
Impostare su match-clients e su allow-recursion any come mostrato in figura sovrastante.
Cliccare su Save per salvare le modifiche.
Tornare in alto nella pagina di configurazione e cliccare sul link Views quindi cliccare sul pulsante Add
Inserire il nome della zona interna e la descrizione
Come Zone Type impostare Master
Nel campo View selezionare InsideView creato in precedenza
Abilitare l’opzione DNSSEC
Impostare il nome del server quindi l’IP (di solito si assegna l’IP interno del firewall pfsense)
lasciare quindi tutto invariato nella sezione Master Zone Configuration
Passare alla sezione Zone Domain records quindi inseriamo tutti i record che vogliamo risolvere dalla nostra zona interna definita in precedenza
Inserire nome e IP
Andare al fondo della pagina verificare il file di configurazione quindi cliccare su Save per salvare le impostazioni
A questo punto la configurazione del server BIND è terminata
Solo a titolo informativo volevo segnalare che la sezione Sync serve solo ed esclusivamente a replicare zone Master e Slave tra di loro quindi non è questo il caso di configurarla.
Andiamo nel menù Status -> Services
Riavviamo il servizio named cliccando sul tasto a forma di freccia circolare
Per verificare che il servizio DNS sia in ascolto sulla porta 53 aprire un sessione SSH su pfsense
quindi lanciare il comando netstat -n
Dovremmo vedere una riga come mostrato nell’immagine sovrastante con l’IP interno del nostro pfsense e la porta 53 in ascolto e il *.* che indica che è in ascolto su tutti gli IP.
Sono Raffaele Chiatto, un appassionato di informatica a 360 gradi.
Tutto è iniziato nel 1996, quando ho scoperto il mondo dell'informatica grazie a Windows 95, e da quel momento non ho più smesso di esplorare e imparare.
Ogni giorno mi dedico con curiosità e passione a scoprire le nuove frontiere di questo settore in continua evoluzione.
0 commenti