DNS

Nový Lukáš, krtek.net@mail.muni.cz

Obsah

• Úvod a principy
• Prostor doménových jmen
• Klient
• Nameserver
• DJBDNS
• Dodatky
• Odkazy

Úvod a principy

DNS - Domain Name System je celosvětově distribuovaný systém překladu doménových jmen na IP adresy a zpět. Základními komponentami jsou prostor doménových jmen, nameserver a klient. Z toho vyplývá, že DNS je tvořeno client-server architekturou. Komunikačním kanálem je UDP na portu 53, až pro velké požadavky/odpovědi se používá TCP.

Prostor doménových jmen

• Stromová struktura
  • Kořenem je doména ".", z ní pak vzcházejí tzv. top-level domény.
• Národní, nadnárodní domény a ty ostatní
  • V systému má každý stát vzhrazeno dvoupismenné označení např. Česká republika má cz.
  • Kromě národních domén se v systému nacházají též tzv. domény nadnárodní. Např. com pro nadnárodní firmy, org pro organizace a podobně.
  • Další důležitou top-level doménou, o které bych se rád zmínil je doména arpa. Její podstrom in-addr slouží k ukládání tzv. reverzních záznamů (viz níže).
• Záznamy
  • SOA - Start of authority - vymezuje základní informace o doméně jako jsou hlavní nameserver, email správce a různé hodnoty expirací a obnovování
  • NS - Name server - slouží k označení autoritatních serverů příslušné domény (primárního i sekundárních)
  • MX - Mail exchange - označuje server, který má na starost doručování emailů do této domény.
  • A - Address - spojuje doménu s (konkrétní doménové jméno) s ip adresou
  • CNAME - Canonical name - přiřazuje alias k doménovému jménu
  • PTR - Pointer - slouží k ukládání reverzních záznamů

Klient

V DNS se klient typicky sestáva z tzv. resolveru. V unixových systémech se tento nachází standardně v knihovně C. Pro jeho správnou funkci je potřeba nastavit minimálně soubor /etc/resolv.conf.
Typická minimální konfigurace:

/etc/resolv.conf:
nameserver 85.93.101.5 #ip adresa serveru

/etc/nsswitch.conf:
hosts:	files dns

• domain - domena, ktera se prirazuje k hostname pri resolvovani
• search - podobně jako domain, ale lze uvédst více domén

Nameserver

Doménové servery mají také stromovou strukturu, jejich strom však nemusí kopírovat strukturu doménových jmen. Na vrcholu stromu sedí tzv. root-servery, jejich seznam můžeme získat na adrese ftp://internic.net/domain/named.root. Tyto servery pak delegují jednotlivé podstromy. Nameservery můžeme rozdělit do několika druhů:

• Autoritativní - na tyto servery se delegují jednotlivé domény.
  • Primární - každá doména má vždy jeden primární nameserver (označený v SOA), na tomto serveru se provádí veškeré úpravy co se záznamů týče.
  • Sekundární - Dále pak doména může mít libovolný počet sekundárních serverů (označených záznamy NS). Tyto servery si potom v pravidelných intervalech nebo po přijetí NOTIFY aktualizují záznamy z primárnícho nameserveru.
• Rekurzivní - bývá zvykem, že pokud se autoritativního serveru zeptáte na doménu, kterou v záznamech nevede, tak Vám buď neodpoví vůbec nebo vás odkááže na root-servery. A vzhledem k tomu, že většina resolverů tyto odkazy následovat neumí, existuje tento typ rekurzivního nameserveru, který práci spojenou s procházením stromu udělá za resolver.

DJBDNS

Djbdns je produkt profesora Daniela J. Bernsteina. Mezi jeho hlavní přednosti patři přehlednost kódu, bezpečnost, rychlost a implicitní chrootované prostředí. Tento server narozdíl od refernčního BINDu řeší spousty věcí jinak nebo je z důvodu bezpečnosti neřeší vůbec.

Instalace

Server djbdns se skládá z několika základních programů:

• tinydns - autoritativní nameserver
• dnscache - rekurzivní nameserver
• axfrdns - autoritativní nameserver pro přenos pomocí AXFR

groupadd dnsuser
useradd -g dnsuser -d /dev/null -s /bin/false dnscache
useradd -g dnsuser -d /dev/null -s /bin/false tinydns
useradd -g dnsuser -d /dev/null -s /bin/false dnslog

dnscache-conf dnscache dnslog /etc/dnscache ip

touch /etc/dnscache/root/ip/10.0

ln -s /etc/dncache /service

tinydns-conf tinydns dnslog /etc/tinydns ip
ln -s /etc/tinydns /service

Konfigurace

Veškerá konfigurace tinydns se nachází v adresáři /etc/tinydns/root a to v souboru data. Kromě přímé editace toho souboru máme možnost využít připravených skriptů add-*.
Konfigurační soubor má velice jednoduchou strukturu, co řádek to jeden záznam. Každý řádek začíná znakem označující typ záznamu, dále nasladuje pole oddělené dvojtečkami. Nekteré pole lze nechat prázdné.

Příklad konfigurace domény:

#wasza.com
+www.wasza.com:85.93.103.38:3600
Cblog.wasza.com:www.wasza.com:3600
@wasza.com::mail2.activehosting.cz:20:3600
@wasza.com::scythay.activehosting.cz:10:3600
&wasza.com::ns.activehosting.cz:3600
&wasza.com::ns2.activehosting.cz:3600
Zwasza.com:ns.activehosting.cz:hostmaster.wasza.com:1110398400:16384:2048:1048576:2560:86400

• Zfqdn:mname:rname:ser:ref:ret:exp:min:ttl
  • Označuje SOA záznam
  • mname - primární nameserver
  • rname - kontakt na správce (první . se mění na @)
  • ser - serial
  • ref - čas obnovování
  • ret - čas dalšího pokusu o obnovení v případě selhání
  • exp - čas expirace
  • min - minimum
• +fqdn:ip:ttl
  • Označuje A záznam
• Cfqdn:p:ttl
  • Označuje CNAME záznam
• &fqdn:ip:x:ttl
  • Označuje NS záznam
  • ip - označnuje ip adresu nameserveru (djbdns vytvoří i A)
  • x - fqdn nameserveru
• @fqdn:ip:x:dist:ttl
  • Označuje MX záznam
  • dist - označuje vzdálenost, nebo také prioritu
  • ostatní položky jako u NS
• ^fqdn:p:ttl
  • Označuje PTR záznam

Dodatky

Jak již jsem zmínil na začátku, djbdns spousty věcí řeší jinak. Jednou z nich je i přenost záznamů. Ve světě BINDu, se k tomutu účelu používá dotaz AXFR, ve světě djbdns se toto většinou řeší pomocí automatizovaného kopírování souboru data přes ssh.
Rád bych vás ještě upozornil na projekt vegadns [7], což je frontend k djbdns ukladající svá data v databázi.

Odkazy

• [1] http://cr.yp.to/djbdns.html - Hlavní stránka DJBDNS
• [2] http://cr.yp.to/djbdns/tinydns-data.html - Popis souboru data pro tinydns.
• [3] RFC1032
• [4] RFC1033
• [5] RFC1034
• [6] RFC1035
• [7] Vegadns - frontend pro djbdns