Aurich Lawson | imágenes falsas
Aquí hay un breve resumen de las siguientes 7000 palabras para las personas que odian lo que hacen los sitios de recetas donde los autores balbucean sobre sus vidas personales durante páginas y páginas antes de comenzar a cocinar: Este artículo trata sobre cómo instalar bind, dhcpd y tie. Júntelos en una configuración de DNS dinámica y funcional para su LAN, de modo que los clientes DHCP se registren automáticamente con DNS y usted siempre tenga búsquedas de DNS directas e inversas. Este artículo pretende ser la primera parte de una serie de dos, y en la segunda parte, combinaremos nuestra instancia de DNS vinculante con una autoridad de certificación LAN habilitada para ACME y configuraremos certificados de renovación automática estilo LetsEncrypt para servicios LAN.
Si esto te parece un par de proyectos divertidos para el fin de semana, ¡estás en el lugar correcto! Si desea avanzar rápidamente hasta donde comenzamos a instalar cosas, omita un par de subtítulos hasta las partes del tutorial. Ahora, discúlpenme mientras hablo sobre mi vida personal.
Mi nombre es Lee y tengo un problema.
(Hola, Lee.)
Soy un administrador de sistemas de laboratorio doméstico que siempre persigue al dragón empresarial. Mi comprensión de lo que significa «normal», en términos de las cosas que debería poder hacer en cualquier entorno de red que funcione mínimamente, se formó en los días previos y posteriores al 11 de septiembre, cuando yo era un administrador novato recién salido de universidad, trabajando en una enorme empresa que fabricaba aviones que comenzaban con el número «7». Recibí tutoría de rodillas de un montón de diferentes administradores de sistemas mentores, que oscilaban en la escala de barba gris desde «bastante normal, simplemente escribe sus propias campañas GURPS personalizadas» hasta «vive en una cabaña de Unabomber en el bosque y solo se comunica a través de GPG». » Si hubo un estribillo constante a lo largo de mis años de formación marinando en esa sopa de TI empresarial, fue que El DNS directo e inverso siempre debería funcionar. ¿Por qué? Porque así como un baño limpio es generalmente señal de un buen restaurante, tener un buen y funcional DNS (reenviar y reverso) es una señal de que su equipo de TI sabe lo que está haciendo.
Basta con mirar a lo que tienen que enfrentarse las masas fuera del centro de datos, donde reina la locura. Observe el estado de la LAN del usuario promedio: ¿hay siquiera un dominio de búsqueda configurado? ¿Funcionan las consultas inversas en hosts dinámicos? Hacer adelante ¿Las consultas sobre hosts dinámicos funcionan? ¡¿Cómo puede alguien vivir así?!
Decidí hace mucho tiempo que I No era necesario, por lo que mantuve una configuración de enlace vinculado y dhcpd en mi LAN durante más de diez años. Además, tengo problemas de control y me gusta que la LAN de mi hogar funcione como las LAN empresariales bien administradas que solía administrar. Es algo así como lo que piensan los automovilistas: si no estás conduciendo con una palanca de cambios, en realidad no estás conduciendo. Tengo el mismo tipo de problema tonto, pero para los servicios de red.
Sin embargo, honestamente, ejecutar su LAN con bind y dhcpd ni siquiera es mucho trabajo: esas dos aplicaciones sustentan una gran parte de la Internet moderna. Las versiones empaquetadas que vienen con la mayoría de las distribuciones de Linux modernas están listas para usar. Ciertamente, superaron los servicios mínimos de DNS/DHCP que ofrecen la mayoría de los enrutadores SOHO NAT. Una vez que haya configurado bind y dhcpd, serán a prueba de balas. La única vez que interactúo con mi configuración es si necesito agregar una nueva asignación DHCP estática para un host y quiero obtener siempre la misma dirección IP.
Entonces, oye, si la idea de tener búsquedas DNS directas e inversas perfectas en tu LAN suena emocionante y, vamos, ¿quién? no ¡¿Quieres eso?!—entonces levanta tu terminal y abróchalo porque vamos a hacerlo realidad.
(Tenga en cuenta que me baso un poco en Past Lee y en esta antigua entrada del blog para algunas de las explicaciones de este artículo, por lo que si alguna de las tres personas que leen mi blog nota alguna similitud en parte del texto, es porque Past Lee Lo escribí primero y le estoy robando absolutamente).
¡Pero espera hay mas!
Esta pieza pretende ser la primera parte de dos. Si la idea de tener servidores propios bind y dhcpd suena un poco tonta (y no lo es, es impresionante), en realidad es un requisito previo para un proyecto futuro adicional con implicaciones prácticas serias: nuestra propia autoridad de certificación local habilitada para ACME en pleno funcionamiento capaz de responder a los desafíos DNS-01 para que podamos emitir nuestros propios certificados para servicios LAN y no tener que lidiar con TLS. Advertencias como plebes.
(«Pero Lee», dices, «¿por qué no usar LetsEncrypt real y real con un dominio real en mi LAN?» Porque eso es considerablemente más complicado de implementar si se hace de la manera correcta, y significa potencialmente lidiar con DNS de horizonte dividido y horquillado si también necesita usar ese dominio para cualquier cosa accesible a Internet. El DNS de horizonte dividido es práctico y útil si tiene requisitos que lo exigen, pero si es un usuario doméstico, probablemente no t. Mantendremos esto lo más simple posible y usaremos zonas DNS específicas de LAN en lugar de nombres de dominio públicos reales).
Abordaremos todo el tema del certificado en la segunda parte, porque tenemos mucho camino por recorrer antes de poder llegar allí.