En el post anterior se dejó corriendo el servidor Bind9 y ahora lo siguiente es configurar los servicios.
El primer archivo que voy a tocar está en la ruta /etc/bind/named.conf.options.
Ahora vamos a bajar hasta forwarders y escribimos lo siguiente:
listen-on { any };
allow-query { localhost: 192.168.1.0/24; };
forwarders{
8.8.8.8;
} ;
Cambiamos la línea dnssec-validation auto; y ponemos no.
Comentamos la línea listen-on-v6 { any; };
- La primera línea define la dirección donde va estar escuchando.
- En la segunda línea definimos que ip's van a poder hacer consultas a nuestro dns. El localhost y además tenemos que indicar qué red vamos a permitir que tenga acceso a nuestro dns, que pueda hacer consulta, en este caso 192.168.1.0 con máscara de subred de 24 bits. Todos esos equipos que estén en ese parámetro de red van a poder realizar consultas a nuestro dns.
- Lo siguiente es la configuración de los forwarders o reenviadores. Cuando los equipos cliente lleguen al dns a preguntarle... ¿Oye cuál es el dominio google.com? O cualquier dominio que esté en internet, que evidentemente no va a estar en nuestro servidor dns local, le va a preguntar a los enviadores. Y para eso ponemos en forwarders un dns válido, por ejemplo, el 8.8.8.8 que pertenece a google.
- Comentamos la línea listen-on-v6 { any; }; para que solo permita las direcciones IP versión 4.
- En la línea dnssec-validation no; Le ponemos que no porque no vamos a utilizar un dns secundario. Vamos a utilizar los reenviadores para que nuestro servidor dns en este caso Bind9 reenvíe las consultas.
Ahora voy a configurar el fichero /etc/default/named para obligar el único uso de IPv4.
Y donde pone OPTIONS="-u bind -4" le agregamos espacio guión 4. De esta manera permitimos únicamente direcciones de versión 4.
Con esto tendríamos configurados los forwarders.
Para saber si todo está bien configurado, linux tiene una herramienta para hacer check sobre los ficheros modificados.
Todo esta perfecto, no nos devuelve ningún fallo. Lo siguiente es reiniciar el servidor con systemctl restart bind9.
Ponemos ver que todo está funcionando perfectamente, si nos fijamos, todas las zonas están cargadas. Si ahora un ping a google.com desde la máquina cliente resolverá sin problema.
¿Porqué resuelve? Por que el equipo con Kali viene a mi servidor dns y le pregunta por el dominio google.com, pero este no lo sabe, porque no tiene esa zona creada, entonces le pregunta a los reenviadores, y este si le da una respuesta porque está configurado para que resuelva peticiones de esa IP.
Si nosotros queramos preguntar por el dominio servicor.clockwork.local no va a tener la dirección IP porque no está configurado en ninguna zona.
Y eso es lo que voy a hacer en el siguiente post, crear las zonas. 👋
