Versions Compared

Old Version 76

changes.mady.by.user Marko Memonen

Saved on

compared with

New Version 77

changes.mady.by.user Marko Memonen

Saved on

Key

  • This line was added.
  • This line was removed.
  • Formatting was changed.

...

Panel
bgColorwhite


Expand
titleVaranimipalvelu (näytä/piilota)
Toimenpiteet, jotka edellyttävät yhteydenpitoa Funet Hostmasteriin

Funet Hostmasterilta edellytetään toimenpiteitä varanimipalvelun käyttöönottamiseksi seuraavissa tapauksissa:

  • jäsenorganisaation n.s. ylimmän tason verkkotunnuksen (esim. organisaatio.fi) liittäminen palveluun

  • muualta kuin Funetilta jäsenorganisaatiolle delegoidun käänteisnimipalvelun ylimmän tason verkkotunnuksen (esim. 2.1.in-addr.arpa) liittäminen palveluun

  • TSIG-avainten käyttö zone-päivitysten ja DNS NOTIFY -viestien varmentamiseksi

  • jos verkkotunnuksen zone-päivitykset halutaan jakaa varanimipalveluun jostain muualta kuin verkkotunnuksen muilta nimipalvelimilta (n.s. hidden master:in käyttö)

Yhteydenotto Funet Hostmasteriin: Yhteystiedot tai (vaativat sisäänkirjautumista) Yhteydenottolomake tai Yhteydenottopyyntö.

Varanimipalvelu päivittää verkkotunnuksen tiedot zone transfer (AXFR) -menetelmällä verkkotunnuksen muista nimipalvelimista tai erikseen määriteltäviltä hidden master palvelimilta. Näiltä samoilta palvelimilta varanimipalvelu hyväksyy myös DNS NOTIFY -viestit zone-päivitysten nopeuttamiseksi.

Toimenpiteet, jotka jäsenorganisaatio voi suorittaa itsenäisesti

Palvelun käyttöönotto alemman tason verkkotunnukselle: Kun varanimipalvelu on otettu käyttöön jäsenorganisaation ylimmän tason verkkotunnukselle eli zonelle (esim. organisaatio.fi tai 2.1.in-addr.arpa - sovittava Funet Hostmasterin kanssa), voi palvelun ottaa käyttöön myös alemman tason zonelle (esim. osasto.organisaatio.fi tai 3.2.1.in-addr.arpa) lisäämällä ylemmän tason zoneen delegointi-NS-tietueeksi ns-secondary.funet.fi: Kaikki varanimipalvelua käyttävät zonet käydään automaattisesti läpi noin kerran vuorokaudessa ja varanimipalvelu konfiguroituu silloin slave-nimipalvelimeksi kaikille niille zoneille, joiden delegointi-NS-tietueryhmässä on mukana ns-secondary.funet.fi. Huomaa, että nimenomaan delegoivassa ylemmän tason zonessa oleva NS-tietueryhmä ohjaa automaattista käyttöönottoa, eikä ns-secondary.funet.fi:n lisääminen zonen omaan NS-tietueryhmään siis riitä.

Esimerkki 1: ns-secondary.funet.fi-palvelun käyttö zoneille organisaatio.fi. ja osasto.organisaatio.fi.

  1. organisaatio.fi. on jäsenorganisaation päätason zone. Varanimipalvelun käyttöönotto sille on sovittu Funet Hostmasterin kanssa.

  2. osasto.organisaatio.fi. on asiakkaan alizone. Koska sille on parent zonessa organisaatio.fi. lisätty delegointi-NS-tietueeksi ns-secondary.funet.fi, konfiguroituu varanimipalvelu automaattisesti zonen nimipalvelimeksi. Oleelliset kohdat parent zonesta organisaatio.fi.:

    $ORIGIN organisaatio.fi.
    @       24h     IN SOA  ns.organisaatio.fi. hostmaster.organisaatio.fi. ( ; ... tietueen loppuosa poistettu
 ; zonen organisaatio.fi omat NS- ja tarvittavat A/AAAA-tietueet:
    @               NS      ns1
                    NS      ns2
                    NS      ns-secondary.funet.fi.
    ns1             A       1.2.3.4
                    AAAA    2001:708:abc:d::1:53
    ns2             A       1.2.4.4
                    AAAA    2001:708:abc:e::2:53
 ; alizonen osasto.organisaatio.fi delegointi-NS-tietueet:
    osasto          NS      ns1
                    NS      ns2
                    NS      ns-secondary.funet.fi.
Päänimipalvelun ja palomuurin konfigurointi

Päänimipalvelimen tai mahdollisesti käytettävän erillisen n.s. hidden master -palvelimen, jolta ns-secondary.funet.fi-varanimipalvelu päivittää zone-tiedot:

  1. palomuurin tulee hyväksyä sekä TCP- että UDP-liikenne porttiin 53 (domain) ja
  2. nimipalveluohjelmiston (tms.) tulee hyväksyä zone transfer pyynnöt

kaikista ns-secondary.funet.fi-palvelun käyttämistä osoitteista, jotka on lueteltu taulukossa alla:

PalvelinTehtäväIPv6-osoiteIPv4-osoite
ns-secondary.funet.fijulkinen nimipalvelu2001:708:10:55::53128.214.248.132
otso.funet.fizone-kopiointien lähdeosoite 1. palvelimella2001:708:10:55::53:1128.214.248.137
karhu.funet.fizone-kopiointien lähdeosoite 2. palvelimella2001:708:10:55::53:2128.214.248.138

Pääsylistoissa voi käyttää ylläolevan taulukon yksittäisten osoitteiden sijasta turvallisesti myös osoitealueita 2001:708:10:55::/64 ja 128.214.248.0/24; niitä käyttävät on ainoastaan ns-secondary.funet.fi-varanimipalvelun järjestelmät.

DNS NOTIFY -viestit tulee lähettää aina molemmille palvelimille otso.funet.fi ja karhu.funet.fi.

Esimerkki 2: Linux-palvelimen pakettisuodatussäännöt

Pakettisuodatussääntöjen lukumäärän kohtuullistamiseksi hyväksytään yhteydenotot yllämainituista osoitealueista yksittäisten palvelinosoitteiden sijasta. (Huomaa, että parhaat käytännöt sääntöjen toteuttamiseksi vaihtelevat tapauskohtaisesti ja saattavat poiketa tässä esitetystä):

IPv6:

    ip6tables -I INPUT -j ACCEPT -p tcp -s 2001:708:10:55::/64 --dport 53
    ip6tables -I INPUT -j ACCEPT -p udp -s 2001:708:10:55::/64 --dport 53

IPv4:

    iptables -I INPUT -j ACCEPT -p tcp -s 128.214.248.0/24 --dport 53
    iptables -I INPUT -j ACCEPT -p udp -s 128.214.248.0/24 --dport 53

Esimerkki 3: Zone transfer -pääsylistan ja DNS NOTIFY -asetusten konfigurointi BIND-nimipalvelinohjelmiston named.conf-asetustiedostossa:

    acl "funet-ns-secondary" {
        128.214.248.0/24;
        2001:708:10:55::/64;
    };
    options {
        // ... muita asetuksia...
        allow-transfer {
            // ... oma verkonvalvonta tms.
            funet-ns-secondary;
        };
        also-notify {
            2001:708:10:55::53:1;  // otso.funet.fi
            128.214.248.137;       // otso.funet.fi
            2001:708:10:55::53:2;  // karhu.funet.fi
            128.214.248.138;       // karhu.funet.fi
        };
        // ... muita asetuksia...
    };

Huomaa, että jos ns-secondary.funet.fi-palvelua halutaan käyttää vain osalle zoneista ja nimenomaan halutaan estää mahdollisuuskin zonen sisällön kopiointi ns-secondary.funet.fi-palveluun, täytyy allow-transfer- ja also-notify- asetukset poistaa options-asetuslohkosta ja panna ne niiden zonejen zone-asetuslohkoihin, joita ns-secondary:n halutaan palvelevan.

Esimerkki 4: Zone transfer -pääsylistan ja DNS NOTIFY -asetusten konfigurointi NSD-nimipalvelinohjelmiston nsd.conf-asetustiedostossa, tehtävä jokaiselle zonelle erikseen:

    zone:
        name: organisaatio.fi
        # ... muita asetuksia...
        provide-xfr: 2001:708:10:55::/64;
        provide-xfr: 128.214.248.0/24;
        notify:      2001:708:10:55::53;    # ns-secondary.funet.fi
        notify:      128.214.248.132;       # ns-secondary.funet.fi
        notify:      2001:708:10:55::53:1;  # otso.funet.fi
        notify:      128.214.248.137;       # otso.funet.fi
        notify:      2001:708:10:55::53:2;  # karhu.funet.fi
        notify:      128.214.248.138;       # karhu.funet.fi

Huomaa, että jos NSD:n konfiguraatiotiedostoa ylläpidetään käsityönä, kannattaa harkita include:-toiminnon käyttöä.


...