Na semana passada falamos sobre o desenho da infra da minha rede, antes disso fizemos várias introduções aos conceitos básicos, com o objetivo de facilitar o entendimento do que ainda vamos falar por aqui. Agora nada mais justo que mostrar na prática como configurei o serviço de DNS na minha rede, por que fiz dessa forma e os objetivos que atingi com isso.
Depois que o servidor de roteamento estava no ar a primeira máquina virtual que subi foi a dns-01.rede.lab, ou simplesmente dns-01, porque seu eu preparo o DNS antes de mais nada não preciso ficar reconfigurando os outros servidores, economizando minutos preciosos!
No DNS a “área” que corresponde a um determinado domínio é chamado de zona.
Na dns-01 atualmente tenho as seguintes zonas:
- casa.langoni.net
- kadu.langoni.net
- galia.lan
- rede.lab
- 145.249.10.in-addr.arpa
- 150.249.10.in-addr.arpa
As duas primeiras zonas são subdomínios do domínio langoni.net, lá na zona deste domínio (que hoje está hospedado na NipBr Telecom) existem os apontamentos que dizem que para obter informações dos subdomínios casa e kadu as requisições devem ser enviadas para o servidor dns-01. Este subdomínios são este blog e um projeto de treinamento que estou terminando de montar a primeira fase.
Depois temos mais duas zonas que são os domínios galia.lan (minha casa) e rede.lab (a rede que existe dentro do cluster, nas máquinas virtuais e containers que carrego nele). O objetivo, como eu já disse em outras oportunidades, é poder acessar meus dispositivos em casa pelo nome e não pelo IP, pode ser “frescura”; pode, mas eu acho bem melhor assim :D.
Depois disso temos duas zonas de dns reverso, ou seja, que traduz IP para nome, neste caso para as redes 10.249.145.0/24 (minha casa) e 10.249.150.0/24 (as máquinas do cluster). O objetivo neste caso é se um dia eu quiser saber quem é um determinado IP eu faço a consulta; aqui eu concordarei se vocês disserem que é redundante e desnecessário, visto que todas as atualizações são manuais, mas já que estamos treinando um assunto vamos ver tudo que pode ser feito :).
O serviço de DNS no servidor dns-01 também possui uma ACL que contém as redes que podem utiliza-lo como recursivo, desta forma não crio um servidor que pode ser consultado por qualquer um, principalmente considerando que ele está público na internet.
A cereja no bolo
Claro que até aqui eu não estava fazendo nada de novo, venho trabalhando com essas configurações ha mais de 20 anos. Eu precisava de um algo a mais, de um desafio diferente.
Por isso resolvi subir um segundo servidor, o dns-hole.rede.lab. O servidor dns-hole roda o pi-hole, que é um DNS recursivo com recursos de filtragem que pode ser utilizado para bloquear pornografia, redes sociais e principalmente domínios exclusivamente voltados a propaganda na web. Eu já mostrei pra vocês que minha navegação está mais limpa e falei um pouco mais sobre como funciona isso.
Vamos dar uma olhada em algumas estatísticas que colhi agora pouco:
A função do dns-01 ser um recursivo veio exatamente do fato de que não quero entregar minhas traduções de nome diretamente para google, microsoft e outros, é uma opção minha.
Com o servidor dns-01 configurado para recursivo eu aponto ele nas configurações do pi-hole, e teremos o caminho meu note -> pi-hole -> dns-01 -> root-servers e o que mais precisar para traduzir os nomes.
Consideremos também que eu tenho uma filha que hoje tem 4 anos, em alguns anos vou ter que começar a controlar melhor o acesso dela, e essa ferramenta me provê muitas possibilidades.
Posso acompanhar o histórico de navegação, posso criar bloqueios definitivos e ainda, usando alguma criatividade criar bloqueios em horários específicos.
Com um pouquinho de observação e avaliação do tráfego de rede dá pra controlar por horário praticamente qualquer coisa.
Por que estes exemplos são importantes?
Eu posso estar falando da minha rede doméstica, mas com poucos ajustes tudo isso se torna o cenário de uma rede corporativa para pequenos e médios escritórios e empresas. A filtragem de DNS pode ser uma primeira camada de controle para evitar abusos no uso da internet.
Poder acessar um determinado servidor interno pelo nome também pode ser mais fácil que acessar pelo endereço IP.
Em um próximo texto introdutório vou falar um pouco sobre o DHCP e como, em combinação com o DNS, ele pode servir para organizar sua rede doméstica ou corporativa.
Em um tutorial que estou preparando mostrarei que com pouco, ou nenhum, investimento é possível monitorar melhor o que fazem os filhos, por exemplo.
Por hoje é isso! Se ficou alguma dúvida deixa um comentário que me ajudará a melhorar o texto e responderei com o maior prazer!
Meu muito obrigado a quem teve a paciência de chegar até aqui, nos vemos na próxima!
bem explicado, apenas ancioso pelos próximos estudos, obg