|
|
| Línea 1: |
Línea 1: |
| | En esta guía se mostrará cómo implementar y configurar un servidor DNS Reverso en BrbOS. |
|
| |
|
| = DNS Reverso: Guía de Configuración =
| | Antes de comenzar, asegúrese de que BrbOS ya esté instalado en su red y que cuente con un DNS autoritativo previamente configurado. |
|
| |
|
| == Introducción ==
| | En caso de que aún no haya configurado su DNS autoritativo, consulte la siguiente guía antes de continuar: |
|
| |
|
| El '''DNS Reverso''' es el mecanismo que permite resolver una dirección IP hacia un nombre de host (también llamado ''hostname'').
| | 👉 [[Guía de configuración de DNS autoritativo en BrbOS]] |
|
| |
|
| Por ejemplo:
| | Requisito previo a la configuración: |
|
| |
|
| <pre>
| | Para realizar la configuración del DNS Reverso, es necesario contar con al menos una instalación del servicio DNS con licencia nivel 3. |
| 200.10.20.3 → mail.ejemplo.net
| |
| </pre>
| |
|
| |
|
| Mientras que el '''DNS directo (forward DNS)''' responde a la pregunta ''¿qué IP corresponde a este nombre?'', el '''DNS reverso''' responde a ''¿qué nombre corresponde a esta IP?''.
| | '''Importante:''' Estos pasos deben realizarse en el orden indicado para asegurar el correcto funcionamiento del servicio. |
| | |
| Esto se logra creando '''zonas inversas''', que son espacios especiales en el DNS:
| |
| | |
| * '''.in-addr.arpa''' → para direcciones IPv4
| |
| * '''.ip6.arpa''' → para direcciones IPv6
| |
|
| |
|
| ---- | | ---- |
|
| |
|
| == Importancia == | | == Delegación del DNS Reverso == |
|
| |
|
| Configurar correctamente el DNS Reverso es fundamental por varias razones:
| | Una vez configurada la zona reversa en su servidor (según lo indicado en la guía del autoritativo), el siguiente paso consiste en delegar la zona correspondiente en el proveedor del bloque IP o entidad responsable de su asignación. |
|
| |
|
| * '''Correo electrónico (SMTP):''' la mayoría de los servidores de correo (ej: Gmail, Outlook, Yahoo) verifican que las direcciones IP de los remitentes tengan un registro PTR válido.
| | La forma de realizar esta delegación puede variar dependiendo del proveedor, pero normalmente se encuentra dentro de las opciones de '''DNS Reverso''' o '''Name Servers personalizados'''. |
| ** Sin PTR correcto, los correos suelen ser marcados como ''spam'' o directamente rechazados.
| |
|
| |
|
| * '''Diagnóstico de red:''' herramientas como <code>ping</code>, <code>traceroute</code> o <code>mtr</code> utilizan el DNS reverso para mostrar nombres de host en lugar de solo IPs, facilitando la identificación de equipos y rutas.
| | == Nota sobre la delegación == |
|
| |
|
| * '''Buenas prácticas de Internet:''' según el [https://datatracker.ietf.org/doc/html/rfc1912 RFC 1912, sección 2.1], ''todos los hosts deberían tener un registro PTR que apunte a un nombre válido''.
| | No es estrictamente necesario realizar una delegación completa para que el DNS Reverso funcione. |
| | En muchos casos, basta con agregar los registros '''NS''' y '''A''' correspondientes dentro del DNS autoritativo, siempre que el proveedor o entorno lo permita. |
| | Sin embargo, la delegación completa sigue siendo la práctica recomendada, ya que otorga control total sobre la resolución reversa de direcciones IP. |
|
| |
|
| * '''Requisito de los registros regionales de Internet (RIRs):''' organismos como '''LACNIC''' (en América Latina y el Caribe), '''ARIN''', '''RIPE NCC''' y otros, exigen que los bloques de direcciones IPv4 e IPv6 delegados tengan configurado un reverso válido.
| | ---- |
| ** En el caso de LACNIC, al recibir un bloque IP, el titular debe configurar o delegar la zona reversa correspondiente.
| |
| | |
| * '''Imagen profesional:''' disponer de nombres reversos consistentes transmite organización y seriedad técnica ante clientes, proveedores y socios.
| |
| | |
| | |
| == Conceptos básicos ==
| |
| | |
| === Registro directo (A) ===
| |
| Un registro A asocia un nombre de host a una dirección IPv4.
| |
| <pre>
| |
| mail.ejemplo.net. IN A 200.10.20.3
| |
| </pre>
| |
| | |
| === Registro inverso (PTR) ===
| |
| Un registro PTR asocia una dirección IP a un nombre de host.
| |
| <pre>
| |
| 3.20.10.200.in-addr.arpa. IN PTR mail.ejemplo.net.
| |
| </pre>
| |
| | |
| === SOA (Start of Authority) ===
| |
| Es el registro principal de la zona. Define parámetros de control:
| |
| * **Serial**: versión de la zona (debe incrementarse en cada cambio).
| |
| * **Refresh**: intervalo de actualización entre master y slave.
| |
| * **Retry**: tiempo de reintento si falla la actualización.
| |
| * **Expire**: tiempo máximo que un slave mantiene datos sin actualizar.
| |
| * **Minimum TTL**: tiempo de cacheo por defecto.
| |
| | |
| === NS (Name Server) ===
| |
| Indica qué servidores son responsables de la zona DNS.
| |
| Ejemplo:
| |
| <pre>
| |
| ejemplo.net. IN NS ns1.ejemplo.net.
| |
| ejemplo.net. IN NS ns2.ejemplo.net.
| |
| </pre>
| |
| | |
| == Método simplificado ==
| |
| | |
| El método recomendado actualmente es usar un dominio ya existente del cliente para simplificar el proceso.
| |
| De esta forma, solamente se crea la **zona inversa** correspondiente al bloque IP delegado, evitando la necesidad de manejar una zona de dominio adicional.
| |
| | |
| === Requisitos previos ===
| |
| * El cliente debe contar con un **dominio propio** (ej: ejemplo.net).
| |
| * Deben existir al menos **dos servidores DNS autoritativos**, cada uno con **IP pública distinta**.
| |
| * Se deben agregar registros en el dominio del cliente:
| |
| <pre>
| |
| ns1.ejemplo.net. IN A 200.10.20.2
| |
| ns2.ejemplo.net. IN A 200.10.20.3
| |
| </pre>
| |
| | |
| === Pasos de configuración en BrbOS ===
| |
| # Ingresar al panel de administración de BrbOS.
| |
| # Ir al menú **DNS Zone** y crear una nueva zona del tipo **Reversa** para el bloque /24 asignado.
| |
| * Ejemplo para el bloque 200.10.20.0/24:
| |
| <pre>20.10.200.in-addr.arpa.</pre>
| |
| # Una vez creada la zona, añadir el registro **SOA** (Start of Authority).
| |
| Ejemplo:
| |
| <pre>
| |
| @ IN SOA ns1.ejemplo.net. admin.ejemplo.net. (
| |
| 2025090301 ; Serial
| |
| 3600 ; Refresh
| |
| 1800 ; Retry
| |
| 604800 ; Expire
| |
| 86400 ) ; Minimum TTL
| |
| </pre>
| |
| # Agregar los registros **NS** de la zona:
| |
| <pre>
| |
| @ IN NS ns1.ejemplo.net.
| |
| @ IN NS ns2.ejemplo.net.
| |
| </pre>
| |
| # Crear los registros **PTR** para los hosts principales:
| |
| <pre>
| |
| 1 IN PTR router.ejemplo.net.
| |
| 2 IN PTR ns1.ejemplo.net.
| |
| 3 IN PTR mail.ejemplo.net.
| |
| </pre>
| |
| # (Opcional) Usar la función **Generar PTR en lote** para crear automáticamente todos los registros de 0 a 255 en el bloque /24.
| |
| | |
| === Configuración IPv6 ===
| |
| En el caso de IPv6, las zonas inversas se crean bajo `.ip6.arpa`, normalmente por bloques /48.
| |
| | |
| Ejemplo:
| |
| <pre>
| |
| $ORIGIN 0.0.0.0.0.8.b.0.4.0.8.2.ip6.arpa.
| |
| @ IN SOA ns1.ejemplo.net. admin.ejemplo.net. (
| |
| 2025090301 ; Serial
| |
| 3600 ; Refresh
| |
| 600 ; Retry
| |
| 86400 ; Expire
| |
| 3600 ) ; Minimum TTL
| |
| @ IN NS ns1.ejemplo.net.
| |
| @ IN NS ns2.ejemplo.net.
| |
| | |
| 2.0.0.0.d.d.0.0....ip6.arpa. IN PTR host.ejemplo.net.
| |
| </pre>
| |
| | |
| * Solo se crean registros PTR para los hosts necesarios (ej: ns1, ns2).
| |
| * No es necesario declarar todos los IPs del bloque, ya que sería inviable.
| |
| | |
| | |
| == Delegación en LACNIC / Registro.br ==
| |
| | |
| Una vez configurados los servidores de nombres y la zona inversa, es necesario delegar el bloque en el portal de LACNIC o el NIC correspondiente.
| |
| | |
| === Pasos en LACNIC ===
| |
| # Ingresar a [[https://milacnic.lacnic.net MiLACNIC]].
| |
| # Seleccionar el bloque de direcciones IP.
| |
| # Ir a la opción **Delegación de DNS Reverso**.
| |
| # Indicar los servidores configurados:
| |
| <pre>
| |
| ns1.ejemplo.net. 200.10.20.2
| |
| ns2.ejemplo.net. 200.10.20.3
| |
| </pre>
| |
| # Confirmar la operación.
| |
| | |
| === Validación ===
| |
| * LACNIC valida automáticamente que ambos servidores respondan correctamente.
| |
| * Si uno de ellos no funciona o no resuelve la zona, la delegación será rechazada.
| |
| * Es obligatorio contar con **dos servidores distintos** (ns1 y ns2), cada uno con **IPs públicas diferentes**.
| |
| | |
| === Nota ===
| |
| El proceso en **Registro.br** es equivalente: seleccionar el bloque, indicar los servidores, confirmar y esperar propagación.
| |
| | |
| | |
| == Pruebas y validación ==
| |
| | |
| Después de delegar, es importante probar que los registros funcionan.
| |
| | |
| === Linux/Unix ===
| |
| <pre>
| |
| host 200.10.20.3 ns1.ejemplo.net
| |
| </pre>
| |
| | |
| === Windows ===
| |
| <pre>
| |
| nslookup 200.10.20.3 ns1.ejemplo.net
| |
| </pre>
| |
|
| |
|
| Resultado esperado:
| | == Verificación == |
| <pre>
| |
| 3.20.10.200.in-addr.arpa. IN PTR mail.ejemplo.net.
| |
| </pre>
| |
|
| |
|
| Si la consulta devuelve el nombre configurado, la zona inversa está funcionando.
| | Una vez finalizado el proceso, será necesario aguardar a que los cambios efectuados sean vigentes. |
| | Este proceso puede tomar cierto tiempo dependiendo del proveedor. |
|
| |
|
| | Cuando la propagación haya finalizado, podrá realizar pruebas utilizando herramientas como: |
|
| |
|
| == Buenas prácticas ==
| | * https://www.whatsmydns.net/ |
| | * https://mxtoolbox.com/ |
|
| |
|
| * Contar siempre con al menos **dos servidores DNS autoritativos**.
| | De esta forma, podrá confirmar que los registros reversos se encuentran correctamente configurados y accesibles desde Internet. |
| ** Esto no es solo una recomendación: LACNIC exige informar al menos 2 servidores para aprobar la delegación.
| |
| ** Los servidores deben estar en **IPs públicas distintas**.
| |
| * Mantener los **seriales SOA sincronizados** entre el servidor maestro y los esclavos.
| |
| * Verificar la consistencia entre los registros PTR y sus registros A correspondientes.
| |
| * Documentar todos los bloques y zonas delegadas.
| |
| * Realizar pruebas periódicas con herramientas como `dig`, `host` o `nslookup`.
| |
En esta guía se mostrará cómo implementar y configurar un servidor DNS Reverso en BrbOS.
Antes de comenzar, asegúrese de que BrbOS ya esté instalado en su red y que cuente con un DNS autoritativo previamente configurado.
En caso de que aún no haya configurado su DNS autoritativo, consulte la siguiente guía antes de continuar:
👉 Guía de configuración de DNS autoritativo en BrbOS
Requisito previo a la configuración:
Para realizar la configuración del DNS Reverso, es necesario contar con al menos una instalación del servicio DNS con licencia nivel 3.
Importante: Estos pasos deben realizarse en el orden indicado para asegurar el correcto funcionamiento del servicio.
Delegación del DNS Reverso
Una vez configurada la zona reversa en su servidor (según lo indicado en la guía del autoritativo), el siguiente paso consiste en delegar la zona correspondiente en el proveedor del bloque IP o entidad responsable de su asignación.
La forma de realizar esta delegación puede variar dependiendo del proveedor, pero normalmente se encuentra dentro de las opciones de DNS Reverso o Name Servers personalizados.
Nota sobre la delegación
No es estrictamente necesario realizar una delegación completa para que el DNS Reverso funcione.
En muchos casos, basta con agregar los registros NS y A correspondientes dentro del DNS autoritativo, siempre que el proveedor o entorno lo permita.
Sin embargo, la delegación completa sigue siendo la práctica recomendada, ya que otorga control total sobre la resolución reversa de direcciones IP.
Verificación
Una vez finalizado el proceso, será necesario aguardar a que los cambios efectuados sean vigentes.
Este proceso puede tomar cierto tiempo dependiendo del proveedor.
Cuando la propagación haya finalizado, podrá realizar pruebas utilizando herramientas como:
De esta forma, podrá confirmar que los registros reversos se encuentran correctamente configurados y accesibles desde Internet.