mm

Clever Flores

Lic at Cloud Perú
Clever es arquitecto de sistemas, programador y desarrollador de productos Cloud. Es licenciado en administración de empresas y cuenta con estudios de maestría en Ing. de Software.

Cuenta con 16 años de experiencia en Infraestructura de TI, servidores de red, virtualización y cloud computing (KVM, Vmware, docker y Open Stack), servidores de aplicaciones, seguridad firewall y ethical hacking, especialista en Linux, senior en Software Libre y Open Source.

Es también programador experto en PHP, JavaScript, Bash, Java y Python.

Desde el 2003 ha dictado cursos en plataformas Open Source como Linux, Ubuntu, CentOS, RHEL, Debian, SuSE, Certificación LPIC 1 y 2, Ethical Hacking, Zimbra, Endian, Zentyal, Zabbix, Alfresco, programación en PHP, Zend Framework, Java, JavaScript, NodeJS.

Cuenta con certificaciones: RHCSA, RHCE, LPIC 1,LPIC 2 y LPIC 3, CPTE de Mile2 y CCNSP de Cyberoam.
mm

Ver Manual en PDF
Iniciamos esta serie de Manuales de Zimbra, que se dicta en el curso de Zimbra de Aula Útil, asumiendo primero que ya instalamos previamente un firewall UTM, donde tenemos la Ip pública nateando hacia un servidor CentOS 7 en zona DMZ para instalar y configurar nuestro servidor Zimbra.
Primero debemos registrar un dominio público y configurar un DNS público.

Si Ud. desea llevar un curso de Zimbra; puede ver mi Curso en Aula Útil https://aulautil.com/curso/online/zimbra. Clases con Videoconferencia y asistencia en tiempo real con Anydesk. Incluye Gratis 2 Servidores VPS Cloud (Firewall UTM+Zimbra) + 1 IP pública y dominio real por alumno.

Tabla de Contenidos

1.- Conceptos Básicos de Resolución de Nombres

Los nombres de host se pueden resolver por 2 métodos
– De forma local, poniendo nombre al equipo con hostnamectl y editando el archivo /etc/hosts
– En red, con el uso de un servidor DNS y configurando el cliente en /etc/resolv.conf

1.1- Nombre de Host del equipo local

La resolución local de host del equipo, se hace con el nombre de host y se asigna con el comando hostnamectl

1.2.- Resolución Local de Hostnames y dominios

La resolución local de nombres de hosts y dominios se hace con el archivo /etc/hosts
Ej.

1.3.- Resolución de hosts y dominios en red

Para resolver nombres de hosts y dominios en red, usamos un servidor DNS.
Los servidores DNS puede estar desplegados en diferentes zonas

1.3.1.- DNS WAN:

Es el servidor DNS que resuelve con Ips públicas los nombres de nuestros dominios
Ej:

1.3.2.- DNS DMZ:

Es el servidor DNS que resuelve con Ips privadas los nombres de los servidores de la DMZ
solo se usa en DMZ, no debe ser usado en la LAN

Ej:

1.3.3.- DNS LAN:

Es el servidor DNS que resuelve con Ips privadas los nombres de los pcs y servidores de la LAN; así como de los servidores DMZ con sus ips privadas; el DNS de LAN no debe ser usado en la DMZ

Ej:

2.- Registros de DNS y Cliente DNS

2.1.- Cliente de DNS

El cliente DNS se configura en el archivo /etc/resolv.conf

En CentOS 7 el archivo resolv.conf es generado por la utilidad de red, por eso hay que editar el archivo de configuración de red y agregar el parámetro DNS1

Ej: Tenemos una tarjeta de red llamada ens18 (esto se sabe con el comando ip addr show)

2.2.- Registros de DNS

Registro Valor
A Zona de dominio (ej: mail.dominio.com –> 149.56.218.3)
NS Name Server (Servidores DNS del dominio)
SOA Servidor DNS principal (Server of Authorization)
MX Servidores de correo (Mail Exchange)
TXT Información adicional del dominio (ej: SPF para hotmail)
CNAME Alias de una zona de dominio (ej: web –> www.dominio.com)
PTR Resolución Inversa (ej: 149.56.218.3 –> mail.dominio.com)

2.3.- Comprobación de registros DNS con dig

Instalar dig

Dig tiene las siguientes Secciones

QUESTION SECTION
consulta que se está realizando
ANSWER SECTION
respuesta (si la hubiera de la consulta)
AUTHORITY SECTION
detalle de los servidores de autorización (SOA)
ADDITIONAL SECTION
información adicional de zonas y otros

Ejercicios:

2.4.- Registro A

Verificar la zona de dominio www.dominio.com

2.5.- Registro NS

Verificar los DNS Server de dominio.com

2.6.- Registro MX

Verificar los servidores de correo de dominio.com

Ejemplo de Configuración de los Registros MX

Balanceo de Carga

dominio.com. IN MX 10 ns.dominio.com.
dominio.com. IN MX 10 ns1.dominio.com.

Alta Disponibilidad

dominio.com. IN MX 10 ns.dominio.com.
dominio.com. IN MX 20 ns1.dominio.com.

2.7.- Registro PTR

El PTR verifica que una IP tenga un nombre de hosts, normalmente se aplica a
los servidores de correo

Primero verificamos cuales son los servidores de correo de un dominio

Ahora preguntamos por el registro A de uno de los servidores de correo

Vemos que la IP de mx1.dominio.com es 181.65.173.25
pasamos ahora a preguntar por el PTR de ese IP

2.8.- Registro TXT (SPF)

Verificar si hay registro SPF en el dominio dominio.com

Para crear un registro SPF ir a
www.spfwizard.com

Verificar TODOS los registros de DNS del dominio dominio.com

Verificar si hay zona de dominio configurado para el dominio raiz
dominio.com

Vemos que no está configurado el dominio raíz como zona A (mala práctica)

2.9.- Verificación de todos los registros mediante transferencias de zonas

3.- Configuración del dominio público de Internet, selección de la Ip pública

Los dominios públicos se adquieren en un proveedor de Dominios (register)
Godaddy : com, org, net, cloud, etc …
RCP : pe, com.pe, org.pe …
Freenom : tk, ml … (dominios gratuitos por 1 año)

3.1.- Seleccionar una Ip pública

Las Ip pública para el servidor de correo Zimbra deben estar limpia, usaremos como ejemplo la IP 149.56.218.201

Adicionalmente para verificar si la Ip está en listas negras ir a:
MultiRBL http://multirbl.valli.org/

También debemos configurar en el Firewall perimetral:
– Un Nat de entrada (DNAT) desde la Ip pública hacia la Ip privada del servidor zimbra (Ej: 192.168.3.201).
Ej con iptables:

Un Nat de salida (SNAT) desde la Ip privada del servidor Zimbra para que salga a la WAN con la IP pública asignada.
Ej con iptables:

3.2.- Registrar un dominio público gratuito en freenom

Crear una cuenta en Freenom (usar la cuenta google)
Ir a la derecha superior, click en registrarse
Loguearse con cuenta google, facebook, o ms

3.2.1.- Registrar un nuevo dominio

Service –> Register a New Domain ej: aulautil.tk
Selected y luego checkout
Period: 12 Months Free —> Continue
LLENAR DATOS del Formulario
Dar checkc en: I have read and agree to the Terms & Conditions
Finalizar con Complete Order
Click here to go to client area

3.3.2.- Comprobar Registro

Services –> My Domains

3.3.3.- Configurar los registros pegamento o nombres de host de los DNS server

Se deben registrar primero los nombres de hosts de los servidores DNS
asociados a la IP pública del VPS
Ej:

Ir a Freenom
Services –> My Domains
click en la fila del dominio en el botón “Manage Domain”
Management Tools –> Register Glue Records
Register a NameServer Name
Namserver: NS1
IP: 149.56.218.201 Save Changes

Register a NameServer Name
Namserver: NS2
IP: 149.56.218.201 Save Changes

Click en Back

3.3.4.- Configurar los DNS Server del dominio

Click en Management Tools –> Nameservers
Use custom Nameserver:
Nameserver 1: ns1.aulautil.tk
Nameserver 2: ns2.aulautil.tk
Click Change Nameservers

3.3.5.- Nat de Puerto desde firewall

Una vez que hemos adquirido nuestro dominio púbico y asociado los DNS a nuestro Ip público,
lo que debemos hacer es un NAT de destino desde la IP pública, puerto 53/udp hacia la Ip interna de nuestro servidor Zimbra, que se le configurará también como servidor de DNS público.
Esto se configura en el firewall perimetral de la empresa

4.- Configuración del Servidor DNS Público en modo enjaulado chroot

Instalar los paquetes de servidor de DNS, bind 9

Para configurar el DNS público seguimos los siguientes procedimientos:
– Copiar los archivos de dns al entorno chroot
– Generar la firma digital
– Copiar la firma digital al entorno chroot
– Configurar los parámetros de DNS y el dominio en el archivo principal de configuración de bind
/var/named/chroot/etc/named.conf
– Configurar los registros de dns en el archivo
/var/named/chroot/var/named/dominio.com.zone
– Reiniciar el servidor DNS
– Configurar el dns cliente el archivo
/etc/resolv.conf apuntado a nuestra propia ip
– Configurar la resolución inversa en el proveedor de Internet (ISP) o en el panel del hosting de VPS contratado
– Hacer consultas de nuestro dominio con dig

4.1.- Copiar los archivos del DNS al entorno chroot

4.2.- Generar la Firma Digital

4.3.- Copiar la firma digital al entorno chroot

Nota

Si se falla en algùn procedimiento en la instalación desinstalar y volver a
instalar

ejecutar solo si hubo error al instalar
$> yum erase bind bind-chroot bind-utils
$> rm -fR /var/named
$> rm -fR /etc/named*
$> rm -f /etc/rndc.key
$> yum -y install bind bind-chroot bind-utils

4.4.- Configurar los parámetros de DNS y el dominio en el archivo principal de configuración de bind

4.5.- Creando los archivo zone por los dominios configurados

4.6.- Configuración de PTR

El PTR debe configurarse; solicitando al Proveedor de Internet que ponga un nombre de host a la IP pública.
Es probable que si contratamos servidores cloud, tengamos una opción para poner el PTR a las Ips públicas.

Reiniciar los servicios

Si salen errores en el servicio; verificar los logs

Nota si sale errores de permisos o selinux

4.7.- Reglas de Firewall para habilitar el puerto 53 UDP del servidor DNS

Instalar firewalld

Habililitar el servicio DNS

Verificar el firewall con

Natear en el Firewall UTM, ej: Endian el puerto 53 UDP hacia la IP interna de Zimbra

4.8.- Comprobación del DNS público (Ejecutar en su máquina local laptop)

Comprobación del DNS

4.9.- Crear un registro SPF para el dominio

Entrar a spfwizard.com y poner nuestro dominio
Domain: aulautil.tk
Current MX handlers:
mail.aulautil.tk (pref 10) : YES
Current IP Address:
149.56.218.201 YES
Enter any IP addresses in CIDR
format for netblocks that
originate or relay mail
for this domain 149.56.218.201
How stringent should SPF-aware
MTAs treat this? Soft fail:

EL valor generado: aulautil.tk. IN TXT “v=spf1 mx a ip4:149.56.218.201 ~all”
Lo copiamos en nuestro archivo de DNS

Comprobación desde nuestra laptop