Testando o DNS


Para finalizar essa série de posts sobre DNS, vou mostrar alguns comandos para que você teste o seu e outros servidores DNS. Com isso podemos verificar erros na configuração, na propagação ou erros de segurança.

WHOIS
O comando whois exibe informações sobre um determinado domínio ou IP. Permite não somente consultar a respeito do proprietário, dns, data de um domínio/IP, como também verificar a origem de um endereço descoberto em um possível ataque. O comando whois consulta o órgão ou empresa responsável de cada país para exibir as informações.
Sintaxe do comando:
whois
Exemplo:
root:~# whois www.google.com.br
HOST
O comando host é utilizado para verificar o funcionamento de um domínio, ele mostra se a resolução de nomes e apelidos está funcionando, seja na zona direta ou inversa.
Sintaxe do comando:
host
Exemplo:
root:~# host www.uol.com.br
root:~# host -t NS uol.com.br
root:~# host -t MX uol.com.br
root:~# host 200.147.36.15

NSLOOKUP
O comando nslookup faz pesquisa sobre domínios de internet de forma interativa (em um shell próprio) e não interativa, faz consultas que podem ou não ter uma resposta de um DNS de autoridade sobre um domínio.
Sintaxe do comando:
nslookup
Consulta sobre o domínio ig.com.br através do seu servidor DNS, consulta não autoritativa.
root:~# nslookup ig.com.br
Consulta sobre o domínio ig.com.br através do próprio DNS do domínio ig.com.br, uma consulta autoritativa, pois quem respondeu foi o próprio DNS do domínio.
root:~# nslookup ig.com.br dnssec1.ig.com.br
DIG
O comando dig permite fazer resoluções diretas de nomes ou indiretas de endereços, e retorna muito mais informação do que o comando host. Mostra dados do cabeçalho dos arquivos db do DNS, mostra a query time que é o tempo de duração da consulta, etc.
Sintaxe do comando:
dig
Exemplo:
Consultando informações de um DNS.
root:~# dig empresa.net
Consultando os servidores de DNS de um domínio:
root:~# dig NS empresa.net
Consultando apenas os servidores de DNS de um domínio:
root:~# dig NS empresa.net +noall +answer
Consultando os servidores MX de um domínio:
root:~# dig MX empresa.net
Consultando apenas os servidores MX de um domínio:
root:~# dig MX empresa.net +noall +answer
Consultando um apelido de um host:
root:~# dig CNAME www.empresa.net
Consultando uma chave pública do DNSSEC:
root:~# dig +dnssec ig.com.br DNSKEY @dnssec1.ig.com.br
Consultando a versão do bind:
root:~# dig @eliot.uol.com.br version.bind txt chaos
Consultando sobre o registro SOA:
root:~# dig ig.com.br +nssearch
Consultando sobre a vulnerabilidade de um domínio, onde (POOR é vulnerável e GREAT é com melhor segurança):
root:~# dig +short @ns1.empresa.net porttest.dns-oarc.net TXT
Consultando a rota utilizada para resolver um nome:
root:~# dig www.google.com.br +trace
Atualizando a lista de Root Server
root:~# dig @a.root-servers.net. ns . > /etc/bind/db.root
Com esses comandos você pode consultar como está o registro de um domínio, quais as informações ele fornece, quais os servidores descritos no DNS e como estão as informações de segurança.
Não esqueça de assinar nosso Portal e votar no TopBlog.

Share

    Comments

    1. Vagner, me dá uma ajuda, ao fazer todos os passos apareceram algumas dúvidas,
      tenho apenas um Ip externo ex: 200.200.200.201, vou configurar o bind com este ip como ns1.empresa.com, só que eu queria ter um mx1.empresa.com em outro micro na rede interna com ip 192.168.1.10 e um http://www.empresa.com também em outro com ip 192.168.1.15, ou seja 3 micros, um com ip válido e 2 não, isto é possível ?, como ficaria esta configuração tanto para o ns1, quanto para as outras maquinas, eu preciso ter o bind instalado nos outros micros tbém ?, desculpa o texto, mas eu não estou conseguindo encontrar este tipo de informação no google.
      Obrigado
      Junior

      • Junior,
        A configuração do IP é no DNS é a mesma, todos com o mesmo IP mas com nomes diferentes. A questão é que você vai ter que fazer o redirecionamento das portas 80 para a máquina que faz HTTP, e das portas 25/110/143 para máquina que faz Email, isso tudo através do Iptables.

    2. Vagner, me deixa eu ver se entendi:
      no db.junior eu deixo assim:
      @ IN NS ns1.junior.com.br.
      @ IN MX 5 mx1.junior.com.br.
      ns1 IN A 200.201.177.150
      mx1 IN A 200.201.177.150
      ftp IN A 200.201.177.150
      www IN A 200.201.177.150
      webmail IN A 200.201.177.150
      no db.reverso eu deixo assim:
      @ IN NS ns1.junior.com.br.
      @ IN MX 5 mx1.junior.com.br.
      ; Reverso Junior.com.br
      150 IN PTR ns1.junior.com.br.
      150 IN PTR mx1.junior.com.br.
      150 IN PTR http://ftp.junior.com.br.
      150 IN PTR http://www.junior.com.br.
      seria isso ?, como se todos os serviços estivessem instalados no mesmo micro ?, Porem no iptables eu redireciono as portas 200.201.177.150:80 para 192.168.1.15 e as portas 200.201.177.150:[25, 110, 143] para 192.168.1.10:[25, 110, 143].?
      Entendi direito ?
      Obrigado mais uma vez pela paciência e ajuda.

      • Junior,
        Exatamente isso. Assim fica a cargo do Iptables alterar o destino dos pacotes que antes iam para a máquina firewall e agora vão para as máquinas da rede interna/DMZ. Lembre de liberar na FORWARD também.

        • Vagner, bom dia
          comecei a fazer o que me informou, mas pintou uma dúvida, a porta 80 eu redireciono para o servidor www, mas o servidor de e-mail possui webmail que tbém seria na porta 80, como fazer neste caso ?, poderia postar umas regras de firewall para eu ver se estou fazendo certo ?
          Obrigado
          Junior

          • Junior,
            Já que você resolveu enrolar a situação fazendo dois serviços rodarem na mesma porta, faça o seguinte: Coloque o webmail pra funcionar em outra porta (tipo 81) e aponte a porta 80 no firewall para a máquina servidor Web e a porta 81 para o Webmail, depois na página do servidor Web coloque um link de referencia para o servidor Webmail na porta 81.

    Deixe um comentário

    O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *

    © 2019 All Rights Reserved. Cooperati. 

    %d blogueiros gostam disto: