Foros del Web » Administración de Sistemas » Seguridad y redes »

Consulta sobre DNS propio.

Estas en el tema de Consulta sobre DNS propio. en el foro de Seguridad y redes en Foros del Web. Buenos dias, el tema es el siguiente: Registre un nomnre de dominio en Nic.ar y puse como DNS primario el ip publico mio que es ...

  #1 (permalink)  
Antiguo 22/02/2011, 07:06
 
Fecha de Ingreso: febrero-2011
Mensajes: 19
Antigüedad: 13 años, 10 meses
Puntos: 0
Pregunta Consulta sobre DNS propio.

Buenos dias,
el tema es el siguiente:

Registre un nomnre de dominio en Nic.ar y puse como DNS primario el ip publico mio que es donde tengo levantado el isa server (en el mismo equipo levante un servidor dns y lo configure como dicen en http://www.tooltorials.com/)

Cuando consulto mi dominio en nic.ar, me aparece el nombre de dominio, y como primer servidor DNS el mismo ip publico que tengo, y como dns secundario puse un ip cualquiera,

el tema es cuando consulto desde internet con nslookup no encuentra mi dominio, o sea no me responde.

Me falta hacer algo mas en nic.ar ?, yo deseo usar mis dns propios, son los que ahora no funcionan ?,

tengo que abrir una regla en el isa ?


mi idea es poder tener registros A y MX propios, para poder usar un Exchange enviando y recibiendo correo, y tambien publicar mi el acceso OWA a traves de internet,


gracias desde ya a todos por darme una mano con esto.
  #2 (permalink)  
Antiguo 22/02/2011, 12:02
 
Fecha de Ingreso: febrero-2011
Mensajes: 581
Antigüedad: 13 años, 10 meses
Puntos: 81
Respuesta: Consulta sobre DNS propio.

Llevar DNSs propios no es una broma... Pero si quieres...

Debes asegurarte de disponer de los DOS (el primario y el secundario). Eso es importante (si uno no responde a una petición de Internet, probarán con el otro... Tener uno sólo es MUY mala idea).

Luego debes tener ambos accesibles a través del puerto 53 UDP (redirección en router) (y no puede ser otro)... Con lo que si sólo tienes una IP pública ya tienes el primer problema.

Tambien es MUY importante que no des información sobre tu red privada en Internet. Las únicas máquinas qu edeberían aparecer en el DNS de tu dominio son las que están expuestas realmente a Internet (servidor web, servidores primario y secundario de correo, servidor ftp si lo tienes, etc)... Ninguna máquina interna debería aparecer en una consulta DNS desde el exterior.

Debes contar con que todos los cambiso que publiques en el DNS pueden tener un retardo de propagación (horas, o incluso días) para que todo Internet tenga en cuenta ese cambio (temas con cachés DNS y demás).

Tienes que definir los registros adecuadamente (los de web, los MX para correo, etc).

Salvo que tengas poderosas razones para hacerlo así, yo te recomendaría que no... No basta con configurar el DNS. Necesitas infraestructura y buen caudal (para gestionar más tráfico)... Además de que estarás más expuesto y tendrás otro punto muy vulnerable a vigilar por temas de seguridad.
  #3 (permalink)  
Antiguo 22/02/2011, 14:02
 
Fecha de Ingreso: febrero-2011
Mensajes: 19
Antigüedad: 13 años, 10 meses
Puntos: 0
Pregunta Respuesta: Consulta sobre DNS propio.

Hola, gracias por responder desde ya.

Si, ya tengo una regla en el isa de consulta DNS de interna a externa en el puerto 53, tambien tengo otra regla de interna al host local,

mi consulta es que si tuviera todo andando al consultar mi dominio deberia ver lo que tengo como resgistro A y MX, cierto ?


otro tema, tengo un solo servidor DNS (que es el que levante yo).


En caso de que decidiera usar un dns publico (que es lo que me recomendas, segun lei), usaria dns publicos de nic.ar, que operacion tendria que hacer ?


Sucede que estoy simulando todo en un entorno virtual, y solo me dieron el IP publico del proveedor de internet (y ningun dns), por eso necesito un dns propio o bien alguno publico,



gracias desde ya por responder.
  #4 (permalink)  
Antiguo 23/02/2011, 03:28
 
Fecha de Ingreso: febrero-2011
Mensajes: 581
Antigüedad: 13 años, 10 meses
Puntos: 81
Respuesta: Consulta sobre DNS propio.

La forma de apuntar a tu propio DNS depende de con quien hayas registrado el dominio. Algunos proveedores no te dan esa opción... Otros como register.com sí. Debes consultar con tu proveedor para saber el procedimiento a seguir.

El asunto es el registrante debe propagar la IP (al menos una, preferiblemente 2) del DNS primario (que sería la tuya).. Un registro de tipo A.

Una vez tu dominio tenga la IP de tu DNS asociada, las consultas irán a él (y, evidentemente, reconocerá registros A, MX, CNAME, o cualquier otro que hayas configurado en tu servidor de nombres).

En caso de optar por un DNS público, no gestionado por tí, casi todos te ofrecen las mismas posibilidades. Lo que puede cambiar es el interfaz, pero das de alta IPs asociadas a registros A, MX, alias, etc... Puedes, en algunos al menos, marcar tiempos de refresco para cachés y similares. Pero básicamente todos son iguales.

Lo bueno que tiene hacerlo así, es que separas claramente tus DNS internos de los externos, la seguridad del DNS corre a cargo del proveedor y las consultas van todas contra su caudal (que suele ser bastante mayor), no contra el tuyo.

No sé si era ésto lo que querías saber... No tengo cuenta ni nungún dominio registrado en en nic.ar, así que desconozco su procedimiento. Pero tienes varios servidores públicos globales en los que puedes configurar tu DNS.

Echale un ojo a sitios como freedns.afraid.org... Hace algún tiempo ofrecían servicio DNS gratuitos y de pago para obtener un mayor servicio, si lo prefieres. Hay bastantes más... En cualquier caso yo echaría un ojo a lo que te permite hacer nic.ar, si optas por esta opción.
  #5 (permalink)  
Antiguo 23/02/2011, 06:38
 
Fecha de Ingreso: febrero-2011
Mensajes: 19
Antigüedad: 13 años, 10 meses
Puntos: 0
Pregunta Respuesta: Consulta sobre DNS propio.

Buenos dias,
gracias desde ya por ayudarme con esto,

una consulta: el nombre dominio interno y el nombre de dominio que registre en internet no llevan el mismo nombre: cuando registro el dns en nic.ar puse mi ip publico como dns apuntando a un nombre de host. La pregunta es: que pongo como dominio del host ?

Ej: yo registre en nic.ar DOMINIOEXTERNO.COM.AR

y en mi red interna se llama DOMINIOINTERNO.COM.AR, o sea el nombre del dominio (o bosque) es distinto al nombre de dominio de internet,


mi host interno se llama ISASERVER (el que tiene el ip publico, el isa server y el dns configurado y corriendo)


entonces, que apunto a mi dns desde nic.ar ? ISASERVER.DOMINIOEXTERNO.COM.AR o

ISASERVER.DOMINIOINTERNO.COM.AR ?



ahi es donde no entiendo, yo puse el dns apuntado a ISASERVER.DOMINIOEXTERNO.COM.AR (si, el mismo dominio que registre en nic)
eso esta bien ?


Gracias desde ya por responder desde ya,
saludos.
  #6 (permalink)  
Antiguo 25/02/2011, 08:38
 
Fecha de Ingreso: febrero-2011
Mensajes: 19
Antigüedad: 13 años, 10 meses
Puntos: 0
Pregunta Respuesta: Consulta sobre DNS propio.

Por favor si alguien me da una mano con la ultima pregunta, si no logro hacer andar esto en un entorno de prueba me rajan, gracias desde ya.
  #7 (permalink)  
Antiguo 25/02/2011, 11:10
 
Fecha de Ingreso: febrero-2011
Mensajes: 581
Antigüedad: 13 años, 10 meses
Puntos: 81
Respuesta: Consulta sobre DNS propio.

Si. Mantener separadas de cara a Internet las máquinas de tu red interna de las que expones al público siempre es una buena idea... Tus DNS externos NUNCA deberían apuntar a tu dominio interno (salvo que ambos dominios fuesen el mismo, con lo que deberías gestionar tus DNS desde el mismo punto).

Yo diría que si has registrado el dominio externo para gestionar el DNS, has hecho lo correcto. Ahora crea los registros A, CNAME y MX que correspondan apuntando a la/s IP/s que tengas (que deberán llegar a las máquinas que haya detrás de esa/s IP/s) y vía.
  #8 (permalink)  
Antiguo 28/02/2011, 08:20
 
Fecha de Ingreso: febrero-2011
Mensajes: 19
Antigüedad: 13 años, 10 meses
Puntos: 0
Exclamación Respuesta: Consulta sobre DNS propio.

Hola, gracias de nuevo, poco a poco voy entendiendo;


esos registros DNS que me decis deberia a puntarlos a los IPs de mi red interna?,
de seguro que no me funciona porque yo ponia mi ip publico en vez los internos.

Yo tengo 3 servidores: 1 domain controller, 1 isa server (el que tiene el ip publico) y 1 exchange, deberia crear los registros A y Cname para cada uno ?
(ademas del respectivo registro MX para exchange desde ya),

con respecto al isa server tengo una regla pulicada de consulta DNS (protocolo DNS) de interna a host local,

y otra regla publicada con los protocolos: DNS, Consulta DNS y Ping
que va desde los 3 servidores que tengo hacia externa,

si hubiera algun protocolo demas lo eliminaria despues, en principio necesitaria poder consultar mi dominio desde nslookup por internet y que devuelva alguna respuesta,


estan bien esas reglas ?


gracias por tu tiempo desde ya, saludos.
  #9 (permalink)  
Antiguo 28/02/2011, 11:59
 
Fecha de Ingreso: febrero-2011
Mensajes: 19
Antigüedad: 13 años, 10 meses
Puntos: 0
Exclamación Respuesta: Consulta sobre DNS propio.

Cita:
Iniciado por nparede Ver Mensaje
Buenos dias,
el tema es el siguiente:

Registre un nomnre de dominio en Nic.ar y puse como DNS primario el ip publico mio que es donde tengo levantado el isa server (en el mismo equipo levante un servidor dns y lo configure como dicen en http://www.tooltorials.com/)

Cuando consulto mi dominio en nic.ar, me aparece el nombre de dominio, y como primer servidor DNS el mismo ip publico que tengo, y como dns secundario puse un ip cualquiera,

el tema es cuando consulto desde internet con nslookup no encuentra mi dominio, o sea no me responde.

Me falta hacer algo mas en nic.ar ?, yo deseo usar mis dns propios, son los que ahora no funcionan ?,

tengo que abrir una regla en el isa ?


mi idea es poder tener registros A y MX propios, para poder usar un Exchange enviando y recibiendo correo, y tambien publicar mi el acceso OWA a traves de internet,


gracias desde ya a todos por darme una mano con esto.






Agrego esta consulta:
Vi este link:
http://www.ayuda-internet.net/tutoriales/redes/dns/index.html


DICE asi:

“Registro NS: (Name Server) Identifica al Servidor de Nombres de Dominio (DNS). Es posible que puedas crear unas dns con tu dominio, pero necesitarás de un servidor dns con sus respectivas direcciones ip.”



Si tengo levantado mi DNS, necesito dns de otro proveedor tambien ?



gracias desde ya por responder.
  #10 (permalink)  
Antiguo 01/03/2011, 03:37
 
Fecha de Ingreso: febrero-2011
Mensajes: 581
Antigüedad: 13 años, 10 meses
Puntos: 81
Respuesta: Consulta sobre DNS propio.

No mezcles temas... O te lliarás.

Dispones de dos servicios de DNS: El de tu dominio interno (el que sea) y el de tu dominio externo (el que comprastes y registrastes en Internet).

El DNS del dominio interno es eso: un DNS interno. Olvídate de las máquinas configuradas en él si tu red local funciona bien. Resolverá los nombres de tus máquinas internas para tus usuarios internos.

El que te preocupa es tu DNS externo... ES OTRO. No tienes por qué mezclarlos en absoluto ni tienen por qué responder ambos a las mismas consultas de máquinas. Resolverá el nombre de las máquinas que QUIERES EXPONER públicamente en Internet para todo el mundo.

Si lo que quieres es alcanzar tu ISA desde el exterior, necesitarás un registro A (salvo que tengas YA tu IP apuntada por otro nombre, por ejemplo el de dominio sin www delante..., con lo que te bastaría un CNAME a ese otro nombre).

Es decir...
www.dominio_nic.ar (record tipo A) a la IP pública.

Si además, QUIERES que tu exchange SEA tu MTA principal (servidor de correo) en Internet para tu dominio externo (es decir, TODO el mundo que envíe correo a @dominio_nic.ar pasaría por ese Exchange... Mala idea salvo que sepas muy bien lo que estás haciendo), en ese caso deberás describir un registro MX para la IP pública que tienes...

mail.dominio_nic.ar (record tipo MX) a la IP pública

(el nombre mail, www, etc, son arbitrarios. Puedes poner el que te de la gana... Simplemente hay una serie de convenciones que habitualmente se siguen).

Deberás redirigir los puertos 80, 443 y 25 (al menos) desde el router a tus máquinas internas (los dos primeros al ISA server, el tercero al Exchange).

Todo eso, una vez que en nic.ar hayan creado el registro NS para el dominio que registrastes en el que dirá QUE IP es el DNS que resuelve el dominio dominio_nic.ar (y esa IP será la que tú le digas... Como te dije antes puedes pedirle a nic.ar que apunten la resolución de nombres para tu dominio a un DNS público en Internet y gratuito que configurarás tú).

Tambien podrías decirle que apuntase a tu IP pública (con lo que tendrías que abrir tambien el puerto 53 UDP en tu router), pero NECESITARÁS tener otra máquina que controle el DNS externo (independiente del interno)... Salvo que quieras liarte enormemente con un único DNS separando y delimitando perfectamente las zonas, securizando perfectamente una de ellas y asegurándote que los nombres de tus máquinas internas no se exponen en Internet... Si no controlas mucho de DNS te recomiendo ENCARECIDAMENTE que NO hagas esto).

Es decir:
- Pilla un servicio DNS gratuito de los multiples que hay en Internet (te puse uno en otro post, pero hay muchos más). Salvo que en nic.ar te permitan configurar el DNS de tu dominio a tu antojo (que posiblemente lo hagan... Nuestros proveedores lo hacen).

- Pídele a nic.ar que apunte en tu nombre de dominio "dominio_nic.ar" que el DNS que resuelve ese dominio es el que has pillado (auqnue tambien podrías hacelro con ellos, posiblemente te dejen configurar el DNS de tu dominio en sus servidores con lo que te ahorras buscarte uno gratuito en Internet).

- Configura en ese DNS los registros A (dominio_nic.ar apuntando a tu IP pública) CNAME (www.dominio_nic.ar apuntando a dominio_nic.ar o pon otro registro A apuntando a la IP pública... Los alias se crean por razones de comodidad en el mantenimineto del DNS, pero con una sola IP y dos máquinas tanto te da) y MX (mail.dominio_nic.ar apuntando a tu IP pública).

Con eso deberías poder alcanzar desde cualquier lugar de internet los nombres dominio_nic.ar, www.dominio_nic.ar y mail.dominio_nic.ar
  #11 (permalink)  
Antiguo 01/03/2011, 06:38
 
Fecha de Ingreso: febrero-2011
Mensajes: 19
Antigüedad: 13 años, 10 meses
Puntos: 0
Exclamación Respuesta: Consulta sobre DNS propio.

Hola, gracias por responder desde ya,

sucede que tengo un servicio de dns levantado en mi domain controller para la red interna,


y tengo otro dns levantado en el Isa Server ( un colega me dijo que me leventara y gestionara yo mi propio DNS), por eso hice esto.


El tema es en nic.ar yo tengo puesto como DNS mi ip publica propia (que en teoria tendria que funcionar como dns),
o sea registre dominio.com.ar (en nic) y puse como DNS mi ip publica,

que DNS deberia utilizar sino ?, y en donde podria configurar los registros A y MX que me decis,


gracias desde ya, saludos.
  #12 (permalink)  
Antiguo 01/03/2011, 06:59
 
Fecha de Ingreso: febrero-2011
Mensajes: 581
Antigüedad: 13 años, 10 meses
Puntos: 81
Respuesta: Consulta sobre DNS propio.

Ok. Si un amigo tuyo te dijo que eso era lo mejor... Tú verás. Ahora tendrás que preocuparte de otro punto vulnerable en tu red interna: El servidor DNS externo.

Y además en la misma máquina que el ISA Server... Funcionar funcionará, pero a mi entender no es una gran idea.

En cualquier caso, necesitas abrir el puerto 53 UDP del router y apuntarlo (NAT) a tu máquina con el ISA Server, dón dedebe estar escuchando tu DNS "externo". Y éste debe poder contestar (verifica que el firewall te lo permite y que responde desde el exterior... Un simple nslookup desde tu casa o fuera de la oficina debería bastarte).

Si nic.ar ha apuntado el NS de tudominio_nic.ar (el que sea) a tu IP pública, debes tener un Servidor de Nombres escuchando en el puerto UDP 53 en esa IP (me repito, peor entiendo que es lo que te puede estar pasando)... Prueba a hacerlo así.
  #13 (permalink)  
Antiguo 01/03/2011, 12:04
 
Fecha de Ingreso: febrero-2011
Mensajes: 19
Antigüedad: 13 años, 10 meses
Puntos: 0
Exclamación Respuesta: Consulta sobre DNS propio.

Hola,

el tema es que lo estoy haciendo solo para simular un entorno y aprender a configurar dns,

todo el entorno lo tengo en maquinas virtuales de prueba,

por eso para no hacer mas maquinas es que en el mismo server de isa levanto el servicio dns externo tambien.

Lo cual no me funciona, ya tengo la regla de consulta DNS de interna al host, y otra regla de todos los host de mi red interna hacia externa, y sigo sin poder consultar el dominio desde afuera con nslookup.

Mi idea es para mandar y recibir correos a traves de un Exchange 2010 que tengo, por ahora solo me funciona internamente.


Ya que de momento no puedo hacer funcionar mi propio DNS para internet, me gustaria usar otro DNS que ande por ahi.

Como tendria que hacer ?, ya que necesito poder modificar los registros dns como por ej. A, MX, y todo lo necesario para poder recibir correos de afuera y enviar hacia afuera.

Teniendo hoy mi dominio registrado en nic, tendria que cambiar el DNS asociado, o sea, quitar mi ip publica y poder DNS "posta" que ya estan en internet andando ?, nic me dejara modificar los registros dns despues ?,


como se cuales son los dns que tendria que usar ?, me los provee nic.ar ?


gracias desde ya,
saludos.
  #14 (permalink)  
Antiguo 02/03/2011, 03:37
 
Fecha de Ingreso: febrero-2011
Mensajes: 581
Antigüedad: 13 años, 10 meses
Puntos: 81
Respuesta: Consulta sobre DNS propio.

Err... Me dices que tienes tu DNS externo (olvidemonos del de t u LAN) bien configurado, el puerto 53 UDP en tu router redireccionado a esa máquina, ninguan regla del cortafuegos que prohiba la entrada a ese puerto en la máquina con el DNS... ¿Y no te funciona?

Prueba a ver si eres capaz de llegar al srevidor DNS desde el exterior... Abre el nslookup desde fuera. Pon "server tu_ip_publica", para cambiar el servidor DNS al que hará preguntas el nslookup, y trata de preguntar por una de las máquinas que has colocado en el DNS (www.tudominio-nic.ar, mail.tudominio_nic.ar, o lo que sea)...

Así sabrás si es un problema de registro NS en nic.ar (que no ha publicado el hecho de que tu dominio se resuelve desde tu IP pública) o un problema de que no alcanzas el DNS desde fuera.

Trata de aislar el problema, o estamos dando palos de ciego...

En cuanto a tus otras preguntas, desconozco el funcionamiento de nic.ar. Una simple llamada a su teléfono de soporte debería responderte a esas preguntas... Pero supongo que, al igual que muchos, te dejarán configurar en el DNS de tu dominio los registros que te de la gana configurar... Ya sea a través del frontal o poniéndote en contacto con soporte.
  #15 (permalink)  
Antiguo 02/03/2011, 07:21
 
Fecha de Ingreso: febrero-2011
Mensajes: 19
Antigüedad: 13 años, 10 meses
Puntos: 0
Exclamación Respuesta: Consulta sobre DNS propio.

Hola,


nslookup no me responde cuando consulto mi dominio registrado en nic.ar,

lo que hice en nic fue asociar mi nombre de dominioexterno a mi ip publico,
y luego puse como dns primario mi mismo ip publico.

Tal como decis, no se si es problema de nic.ar, o problema de mi dns mal configurado, ya que no alcanzo mi dominio desde internet cuando hago nslookup.

Sobre mi Dns Propio que tengo para internet:

1) tengo un registro A con el nombre del equipo (del isa server, donde llega la ip publica) apuntado al ip publico. Eso esta bien o va apuntado al ip de mi lan local ?, o apuntado a los 2 ? Aca es donde no entiendo, porque como mi dominio interno de la lan tiene otro nombre me imagino que no es adivino, como habria de llegar ?, en algun momento deberia hacer algun apuntamiento a algo no ?

Te pido si por favor me podrias detallar exactamente que registros (tipo) y apuntados de que nombres (o nombre completo FQDN) y a que IP tendria que tener.
Nota: no tengo configurado ningun registro inverso.


2) tengo un registro MX en donde pongo el nombre del servidor interno de exchange que tengo, y como resto del nombre pongo mi dominio.com.ar (el que registre en nic.ar), esta bien eso ?


Mil gracias desde ya por tus respuestas, nunca me habia tocado aprender a configurar dns desde cero, y en donde etoy ahora quieren que lo experimente y aprenda,

saludos y gracias desde ya.
  #16 (permalink)  
Antiguo 02/03/2011, 09:31
 
Fecha de Ingreso: febrero-2011
Mensajes: 581
Antigüedad: 13 años, 10 meses
Puntos: 81
Respuesta: Consulta sobre DNS propio.

En el registro A:

Pones el nombre con el que quieras que se conozca en Internet ese servicio (máquina) y la IP PUBLICA. No tiene nada que ver con el nombre dentro de tu LAN. El DNS no es más que una resolución de "cadena de caracteres" en IP... Obviamente, el nombre será con el dominio de internet (el de nic.ar que tengas).

En el registro MX:
Tres cuartos de lo mismo. Tienes que poner la IP pública tambien.

En el router:
Tienes que hacer NAT/PAT del puerto 80 TCP y el 443 TCP a la IP interna del ISA Server.
Nat/PAT al puerto 25 TCP y al 110 TCP (si usas SMTP y POP) del Exchange Server...
NAT/PAT del puerto 53 UDP al Servidor con el DNS externo (a la misma IP interna del servidor con el ISA, segun comentastes).

Y no has probado lo que te dije. Abre el nslookup e INTENTA colocarte en tu servidor DNS externo a ver si lo localiza... es decir:
nslookup
> server X.X.X.X

Siendo X.X.X.X tu IP Pública.
Si lo consigues y te dice que tu nuevo servidor de nombes es X.X.X.X, es que tienes los puertos bien abiertos y el DNS escuchando al exterior... Verifica que resuelve las máquinas (nombres) que distes de alta.

Si eso te funciona el problema está en nic.ar. Si no te funciona es que no llegas por IP a tu DNS a través de tu IP Pública (problema tuyo de configuración... Puertos mal direccionados, firewall, lo que sea).
  #17 (permalink)  
Antiguo 02/03/2011, 12:11
 
Fecha de Ingreso: febrero-2011
Mensajes: 19
Antigüedad: 13 años, 10 meses
Puntos: 0
Exclamación Respuesta: Consulta sobre DNS propio.

Hola,

actualmente tengo una regla de acceso web de interna a externa para los protocolos HTTP HTTPS, es es para poder navegar en el isa, lo cual funciona bien.

Que tipo de regla es la primera, la de hacer NAT/PAT de puerto 80 y 443 a la ip interna del ISA, como seria esa regla ?, de externa al servidor isa ?,
o sea tengo claros los puertos pero no se bien de donde a donde.

Para el puerto 53 tengo
1) una regla de interna a host local (es el mismo isa server), y
2) otra regla del isa server a externa, permitiendo el puerto dns (53) y ping

esta bien asi ?


Hice la prueba con nslookup y no me responde,
saudos y gracias desde ya.
  #18 (permalink)  
Antiguo 03/03/2011, 03:00
 
Fecha de Ingreso: febrero-2011
Mensajes: 581
Antigüedad: 13 años, 10 meses
Puntos: 81
Respuesta: Consulta sobre DNS propio.

Lo siento, pero no entiendo demasiado bien lo que pones... Veamos.
Las reglas de redireccionamiento NAT son diferentes a las reglas de cortafuegos...

Si tienes una regla que PERMITE que desde una máquina interna se salga a Internet por un puerto, eso NO es lo que buscas... De hecho ten cuidado si tienes un cortafuegos. Me explico:

Una máquina servidora web no es lo mismo que una máquina cliente que accede a ese servidor. Si tienes un cortafuegos debes permitir RESPUESTAS desde la máquina interna DESDE EL PUERTO ORIGEN 80 (http) a máquinas externas (cualquier máquina) HACIA PUERTOS ALTOS O "SEGUROS" (todos por encima del 1024). Lo mismo para los puertos 443 (https), 25, 110...

En tu caso DEBES asegurarte de que REDIRECCIONAS todo lo que entre en el puerto 80 de tu router por la IP pública HACIA el puerto 80 de la IP privada de tu ISA Server. Lo mismo para el resto de puertos...

Para saber si lo has hecho bien, basta con que hagas un telnet a tu IP pública al puerto 80 desde el exterior... Debería responderte el ISA Server (aunque no sepas que poner después para obtener una página, petición mediante protocolo HTTP/1.0 o HTTP/1.1 generalmente) si te responde sabrás que la conexión llega a donde tiene que llegar.

ej linux: telnet X.X.X.X 80 (siendo X.X.X.X tu IP pública).

O si estás en windoze:
telnet
> set localecho on
> open X.X.X.X 80


Si no te responde y/o te da un error de "connection refused" o "timeout", entonces no tienes bien hecha la redirección en el router y/o firewall.

Como te dije... Debes aislar el problema. Hay varias cosas que pueden fallar y si empezamos a probarlas todas esto será eterno. Empieza por ver si alcanzas un servicio de una máquina interna desde el exterior (de la forma que te pongo arriba). Así sabrás si estás redirigiendo bien el puerto 80... Los demás puertos seguirán el mismo criterio (pero NO uses telnet para probar el puerto 53 UDP... Telnet es una aplicación TCP. Usa nslookup de la forma que te expuse en los posts anteriores).

Acabarías antes lanzando un nmap y viendo que puertos responden en tu IP pública, pero si tienes problemas con el concepto de NAT no sé si será buena idea que te lies con nmap u otros programas para descubrir puertos abiertos y/o aplicaciones escuchando en esos puertos... De entrada, lanzar un telnet es lo que te resultará más rápido y sencillo. Basta con establecer la conexión y ver si obtienes respuesta... No es necesario que establezcas "conversación".
  #19 (permalink)  
Antiguo 03/03/2011, 08:37
 
Fecha de Ingreso: febrero-2011
Mensajes: 19
Antigüedad: 13 años, 10 meses
Puntos: 0
Exclamación Respuesta: Consulta sobre DNS propio.

Hola, gracias desde ya por responder,

instale NMAP, e hice la siguiente prueba:

hice un "nmap -v" a un ip publico de una empresa en donde trabajaba antes y decia al final "995 puertos filtrados"

Cuando hice "nmap -v" a mi ip publico ya sea que tenga el cable de red conectado a mi isa server, o bien desconectado de mi isa me dice lo siguiente: "990 puertos cerrados"

dice CERRADO, y no filtrados,


es probable que el ip publico que tengo actualmente tenga los puertos cerrados por pasar por un router hardware previamente ?, puede ser por eso que no me anda ?


entro los puertos que no me aparece como abierto esta el puerto 80,



gracias desde ya por responder, saludos.
  #20 (permalink)  
Antiguo 03/03/2011, 09:38
 
Fecha de Ingreso: febrero-2011
Mensajes: 581
Antigüedad: 13 años, 10 meses
Puntos: 81
Respuesta: Consulta sobre DNS propio.

Cita:
es probable que el ip publico que tengo actualmente tenga los puertos cerrados por pasar por un router hardware previamente ?, puede ser por eso que no me anda ?


entro los puertos que no me aparece como abierto esta el puerto 80
Pues va a ser que no tienes hecho el NAT... Esas reglas que dices que pusistes... ¿donde las pusistes?

Porque la redirección tienes que hacerla EN EL ROUTER que tiene asignada tu IP pública, obviamente...

Tú primer problema no es el DNS. Tu primer problema es ser capaz de alcanzar una máquina de tu red interna desde Internet... Cosa imprescindible para lo que pretendes montar.
  #21 (permalink)  
Antiguo 03/03/2011, 12:33
 
Fecha de Ingreso: febrero-2011
Mensajes: 19
Antigüedad: 13 años, 10 meses
Puntos: 0
Exclamación Respuesta: Consulta sobre DNS propio.

Hola,

las reglas que te comento las tengo en el isa server,

yo entro con un cable de red (el que tiene la publica de iplan) a mi isa que es la ip publica,


aunque deshabilite todas las reglas en mi isa NMAP me dice que siempre los mismos puertos estan "cerrados", y no "filtrados",


por lo que creo que mi mi conexion ya viene filtrada de un router (que repito, nunca toque), puede ser esto ?,


si nmap dice que estas cerrados asi tenga mi isa apagado, es porque los puertos ya "vienen" cerrados ?


gracias desde ya, saludos.
  #22 (permalink)  
Antiguo 04/03/2011, 04:09
 
Fecha de Ingreso: febrero-2011
Mensajes: 581
Antigüedad: 13 años, 10 meses
Puntos: 81
Respuesta: Consulta sobre DNS propio.

Lee bien, por favor... Sin nervios ni prisas :)

En tu último post preguntas:
Cita:
por lo que creo que mi mi conexion ya viene filtrada de un router (que repito, nunca toque), puede ser esto ?,
En mi post anterior te decía:
Cita:
Porque la redirección tienes que hacerla EN EL ROUTER que tiene asignada tu IP pública, obviamente...
Es decir... EVIDENTEMENTE tienes que tocar el router. No en el ISA Server.

¿Por qué? Pues ese es otro tema... Tiene que ver con la traducción de direcciones IP entre redes. Una cosa "mu rara" que sea llama NAT...

Te lo explico por encima:

Tú tienes una IP pública asignada. Esa IP SOLO puede estar asignada a una máquina... En este caso a tu router. TODAS las conexiones a esa IP llegan a tu router y nada más que a él.

Para poder alcanzar una máquina que haya DETRÁS de tu router a tra vés de tu IP pública (necesario para poner servidores y servicios hacia Internet), DEBES redireccionar lo que entra en tu router por un puerto concreto hacia una máquina de tu red interna hacia el puerto que quieras (en este caso el mismo).

Es decir... Tienes que entrar en tu router. Tienes que buscar al configuración NAT. Y debes decir que todo lo que entre por el puerto 80 TCP lo dirija a la IP interna de tu ISA server al puerto 80 TCP. Lo mismo para el 53 UDP (DNS). Lo mismo para el 25 TCP y el 110 TCP, pero apuntando a tu Exhange. Del NAT (Network Address Translation) se encarga el router, una vez le hayas dicho de QUE tiene que hacer NAT (lo de redirigir puertos que te acabo de poner).

Esto es básico... Redirige los puertos de tu router a tus máquinas o pídele a alguien que sepa hacerlo que lo haga. Si no es IMPOSIBLE que alcances tu ISA Server (ni ninguna otra máquina) desde Internet.
  #23 (permalink)  
Antiguo 05/03/2011, 14:22
 
Fecha de Ingreso: diciembre-2003
Ubicación: En la luna
Mensajes: 29
Antigüedad: 21 años
Puntos: 0
Respuesta: Consulta sobre DNS propio.

Cita:
Iniciado por nparede Ver Mensaje
Buenos dias,
el tema es el siguiente:

Registre un nomnre de dominio en Nic.ar y puse como DNS primario el ip publico mio que es donde tengo levantado el isa server (en el mismo equipo levante un servidor dns y lo configure como dicen en http://www.tooltorials.com/)

Cuando consulto mi dominio en nic.ar, me aparece el nombre de dominio, y como primer servidor DNS el mismo ip publico que tengo, y como dns secundario puse un ip cualquiera,

el tema es cuando consulto desde internet con nslookup no encuentra mi dominio, o sea no me responde.

Me falta hacer algo mas en nic.ar ?, yo deseo usar mis dns propios, son los que ahora no funcionan ?,

tengo que abrir una regla en el isa ?


mi idea es poder tener registros A y MX propios, para poder usar un Exchange enviando y recibiendo correo, y tambien publicar mi el acceso OWA a traves de internet,


gracias desde ya a todos por darme una mano con esto.
Primero debes leerte el manual sobre DNSs, despues mencionar que s,o. tienes en el server, despues debes enternder que para tener DNSs propios necesitas minimo 3 ips fijas, estas apuntando (por ejemplo) al mismo serverdir dedicado, despues levantar la zona de tu dominio con las reglas de:

ns1 <--- 10.10.10.2
ns2 <--- 10.10.10.3
midominio.com <--- 10.10.10.1

Despues en el registro nic cambiar los namerserver del dominio y poner: ns1.midominio.com y ns2.midominio.com.

Teniendo levantado el DNS Server con la zona y reglas como te dije, el servidor respondera....

No te dire como hacer la zonas ni reglas ya que yo trabajo con GNU/Linux y no se que S.O. usas !

Saludos !
  #24 (permalink)  
Antiguo 09/03/2011, 04:00
 
Fecha de Ingreso: febrero-2011
Mensajes: 19
Antigüedad: 13 años, 10 meses
Puntos: 0
Exclamación Respuesta: Consulta sobre DNS propio.

Hola, gracias desde ya por responder,

no es posible entonces que tenga los dns en el mismo server "host" de mi dominio entonces ?,


o sea que necesito 3 IPs ? (3 equipos distintos, que bien podrian ser virtuales),
ya veo que es una regla que los dns servers propios se llamen "NS1", "NS2" etc,


necesitaria 3 ips publicos "fijos" entonces ?


consulta: con 1 solo dns podria funcionar ? (usaria solo NS1),


gracias desde ya,
saludos.
  #25 (permalink)  
Antiguo 09/03/2011, 04:45
 
Fecha de Ingreso: febrero-2011
Mensajes: 581
Antigüedad: 13 años, 10 meses
Puntos: 81
Respuesta: Consulta sobre DNS propio.

Nunca he montado un dominio sin servidor DNS secundario, la verdad. Supongo que puedes, sí. No recuerdo si el RFC hacía referencia a la "obligatoriedad" de tener dos servidores de nombres (aunque sí que es MUY recomendable, o podrías estar haciéndote a ti mismo un DDOS por tu incapacidad para responder a multiples consultas en tiempo, o cualquier fallo en el DNS principal).

En todo caso serían DOS IPs. El resto de los servicios puedes colgarlos de una sola... De hecho puedes tener DNS, WEB y eMAIL en la misma IP. Dado que son puertos distintos puedes redirigir en tu router el tráfico a máquinas internas diferentes. Una sola IP podría bastarte.

¿Probastes ya a hacer el NAT en el router a ver si al menos te responde?
  #26 (permalink)  
Antiguo 09/03/2011, 04:57
 
Fecha de Ingreso: febrero-2011
Mensajes: 19
Antigüedad: 13 años, 10 meses
Puntos: 0
Exclamación Respuesta: Consulta sobre DNS propio.

Hola,

tengo todo windows 2008 server,
con un solo ip publico estaria bien entonces ?,


pregunta, este ejemplo:


" ns1 <--- 10.10.10.2
ns2 <--- 10.10.10.3
midominio.com <--- 10.10.10.1 "

1)
esos ips serian por ejemplo los de mi red interna no?,

2)
que ips pondria en nic.ar para midominio.com y para mis ns1 y ns2 ?
no podrian ser los ips de la red interna, cierto ?, deberia tener mas ips publicos ?
si tengo solo 1 ip publico pondria el mismo ip publico en todas ?


3)
yo actualmente tengo como dns el mismo servidor de midominio.com,
eso esta bien ? o si o si tiene que ser otro server para que despues resueva el de midominio.com ?

4) Con respecto a lo que me decis de NAT, que prueba podria hacer ?, yo probe con nmap con mi ip publico y asi tengas apagado mi host que tiene el isa server me dice "995 puertos cerrados", y aunque tenga el host encendido sigue diciendo lo mismo,

entro esos puertos que estan abiertos NO aparece el puerto 80, entonces por eso no me anda nada, es asi ?

como te comente antes, otro ip publico de mi empleo anterior dice "995 puertos filtrados", o sea filtrados por el isa, y no cerrados como me dice ahora,

eso puede ser porque tenga un router que antes me filtra y yo no lo vi ?,
(no es de mi acceso mejor dicho)



gracias desde ya,
saludos.
  #27 (permalink)  
Antiguo 09/03/2011, 06:06
 
Fecha de Ingreso: febrero-2011
Mensajes: 581
Antigüedad: 13 años, 10 meses
Puntos: 81
Respuesta: Consulta sobre DNS propio.

Cita:
Hola,

tengo todo windows 2008 server,
con un solo ip publico estaria bien entonces ?,
Como te vengo diciendo dede el principio... No. No está bien. Pero puede funcionarte.


Cita:
pregunta, este ejemplo:


" ns1 <--- 10.10.10.2
ns2 <--- 10.10.10.3
midominio.com <--- 10.10.10.1 "





1)
esos ips serian por ejemplo los de mi red interna no?,
Esas IPs son, ciertamente, reservadas para subredes internas. No son válidas en Internet.

Cita:
2)
que ips pondria en nic.ar para midominio.com y para mis ns1 y ns2 ?
no podrian ser los ips de la red interna, cierto ?, deberia tener mas ips publicos ?
si tengo solo 1 ip publico pondria el mismo ip publico en todas ?
Tendráis que poner la IP pública (si solo tienes una, pues una), y TENDRIA que coincidir con tu registro NS en tu DNS público en cuanto al nombre NS.


Cita:
3)
yo actualmente tengo como dns el mismo servidor de midominio.com,
eso esta bien ? o si o si tiene que ser otro server para que despues resueva el de midominio.com ?
¿Quieres decir que estás mezclando el DNS interno y el DNS externo? Ya te he comentado lo que pienso al respecto en este mismo hilo.

Cita:
4) Con respecto a lo que me decis de NAT, que prueba podria hacer ?, yo probe con nmap con mi ip publico y asi tengas apagado mi host que tiene el isa server me dice "995 puertos cerrados", y aunque tenga el host encendido sigue diciendo lo mismo,
Ya. Probaste con nmap. Pero ANTES de hacer NAT en tu router... Te contesté que lo hicieras para determinados puertos y volvieses a probar. ¿Lo hicistes?

Cita:
entro esos puertos que estan abiertos NO aparece el puerto 80, entonces por eso no me anda nada, es asi ?

como te comente antes, otro ip publico de mi empleo anterior dice "995 puertos filtrados", o sea filtrados por el isa, y no cerrados como me dice ahora,

eso puede ser porque tenga un router que antes me filtra y yo no lo vi ?,
(no es de mi acceso mejor dicho)
La respuesta que da un filtro de paquetes a una consulta sobre puertos difiere según lo configures... No espero que lo entiendas, dado los problemas que tienes para entender un simple redireccionamiento NAT/PAT. Pero el hecho de que devuelva "filtrado" o "cerrado" depende principalmente de lo que hagas con los paquetes que piensas rechazar (borrarlos silenciosamente o no). En cualquiera de los dos casos lo que te están diciendo es básicamente lo mismo: NO TIENES acceso a 995 puertos. No te escuchan (al menos no a ti).

Para cambiar eso en tu actual trabajo, DEBES ENTRAR EN EL ROUTER Y REDIRIGIR LOS PUERTOS QUE QUIERES EXPONER A INTERNET. Que son los que te detallé antes.

Visto lo visto, no me queda más remedio que intentar aconsejarte bien... En este hilo tienes todo lo necesario para exponer tu dominio a Internet usando tu propio DNS... Si sabes algo de DNSs, claro. Pero como veo que tienes problemas con algunos conceptos, mi consejo es que intentes apreneder algunas cosas ANTES de exponer tus máquinas a Internet... Y desde luego antes de gestionar tu propio DNS. No se trata de ponerlo ahí y "olvidarte"...

En cualquier caso, si insistes en hacerlo así, repásate el hilo y trata de dar los pasos que te hemos ido comentando, por favor.

Cita:
gracias desde ya,
saludos.
De nada. Aunque no se si todo esto te está ayudando mucho, la verdad...
  #28 (permalink)  
Antiguo 09/03/2011, 06:48
 
Fecha de Ingreso: febrero-2011
Mensajes: 19
Antigüedad: 13 años, 10 meses
Puntos: 0
Exclamación Respuesta: Consulta sobre DNS propio.

Hola, gracias por responder,


es cierto que tengo problemas en conceptos dns,

por eso como te comente lo que estoy haciendo es un entorno virtual para aprender a configurar un dns desde cero, solo con una ip publica,

por lo cual si no cierro bien algunos puertos o tengo problemas de seguridad no habria problema, es todo virtual y solo de prueba,

mi red interna tiene lo siguiente:

1) un isa server, es servidor que tiene corriendo el dns que seria publico, es en donde entra la la conexion de red de la ip publica, y funciona bien,
abri una regla en el isa para navegar, y las reglas de consulta dns como te comente,

o sea puedo navegar desde cualquiera de las maquinas que tengo en mi red interna,


2) un domain controller + dns interno + active directory,

3) un exchange server 2010 que solo corre eso, y por ahora hasta que no resuelva el problema de dns solo funciona en forma interna.

Se ven perfectamente entre todas las maquinas internas una con otra.


Preguntas:
1)
Quiero saber si esto esta bien,
en NIC al consultar mi nombre de dominio me aparece:

Servidores DNS:
DNS Primario: Nombre: host.dominio.com.ar
Dirección IP:190.xxx.xx.xx

NOMENCLATURA que interpreté de lo anterior:
host= es el nombre de pc de mi isa server
dominio= es el nombre de dominio registrado en nic
(diferente al nombre de dominio de mi red interna)
direccion IP= es mi ip publica


como dns secundario puse un ip publico que no existe ya que no tengo,


2)
lo que no entiendo es en donde dice nombre del DNS dentro de NIC: es el nombre del host en donde tengo corriendo el servicio de dns

o es el nombre interno que aparece DENTRO del servicio de dns ?,



Si conocen algun link o el nombre de algun libro para bajar de internet y empezar a estudiar se agradece, igual de momento necesitaria ir resolviendo esto y arranzando mi propio dns, que es de prueba, no es para poner nada en productivo,


saludos y gracias desde ya.
  #29 (permalink)  
Antiguo 09/03/2011, 06:59
 
Fecha de Ingreso: febrero-2011
Mensajes: 19
Antigüedad: 13 años, 10 meses
Puntos: 0
Exclamación Respuesta: Consulta sobre DNS propio.

Con respecto a entrar al router y ver los puertos lo voy a consultar,

1)
pero, si en teoria tengo un cable de datos con internet tal como viene de Iplan . . . que tiene la ip publica !, no deberia tener todos puertos abiertos por defecto ?


2) ns1 y ns2 son nombres que tendria que usar si o si ?
cuando consulto otros dominios me aparecen casi siempre como nombres de los servidores dns,

entonces ns1 o ns2 son los nombres de pc (host) de esos server ?, o es el "nombre de zona de busqueda dns" dentro del servicio de DNS ?


gracias desde ya.
  #30 (permalink)  
Antiguo 09/03/2011, 09:20
 
Fecha de Ingreso: diciembre-2003
Ubicación: En la luna
Mensajes: 29
Antigüedad: 21 años
Puntos: 0
Respuesta: Consulta sobre DNS propio.

nparede te recomiendo primero estudiar, leer y leer, para despues entrar en practica, porque por mas que se te explica no hagarras el hilo :S.

Un dominio necesita para funcionar 2 DNSs, en donde cada DNS es una IP, cada IP puede ser un Servidor distinto o el mismo Servidor, eso es lo de menos. El punto es que cuando compras un dominio debes poner 2 DNSs y estas deben ser 2 IPs distintas.

Dentro del DNS (en las zonas y reglas) la 3er IP la utilizarias para configurar las peticiones de "dominio.com" y establecer tus DNSs, que dando mas o menos asi:

tudominio.com. IN A 10.10.10.1
ns1 IN NS 10.10.10.2
ns2 IN NS 10.10.10.3

OJO hacer esto de dominios en windows, es lo mas inseguro, horrible e inusual, lo mejor es usar Linux. Pero bueno, la teoría es la misma.

Estas 3 IPs pueden ser un servidor distinto o bien, el mismo servidor pero claro, eso ya lo manejarias con interfaces de red virtuales o bien interfaces fisicas.

En mi caso, io tengo un Dedicado para mis clientes donde guardo los registros de mis clientes, mis webs, y todos mis sistemas, de esta forma centralizo toda mi base de datos, y aparte este mismo servidor lo uso como DNS.

Este por defecto (con mi proveedor) trae 4 IPs, una interface fisica de red y 4 interfaces virtuales, asi puedo poner una IP en cada interface virtual de red.

Es un tema mas avanzado, te aconsejo primero estudies sobre DNSs (BIND).

Lo del router ya es tema aparte, ya que un proveedor de Servidores Dedicados no tiene sun router con firewall cerrado, este siempre va abierto para que los servidores configuren su propio IP Fijo y su propio firewall. Si estas probando en casa entonces te aconsejo que configures tu Router de forma que tu IP de tu servidor tenga abiertos los puertos que vayas a usar.

Saludos !

Etiquetas: dns, propio
Atención: Estás leyendo un tema que no tiene actividad desde hace más de 6 MESES, te recomendamos abrir un Nuevo tema en lugar de responder al actual.
Respuesta




La zona horaria es GMT -6. Ahora son las 19:20.