Stealth DNS
merupakan suatu metode yang memungkinkan DNS server untuk memberikan
answer yang berbeda pada client yang berbeda untuk sebuah pertanyaan
yang sama. Alasan metode ini adalah memungkinkannya pemberian nama DNS
untuk komputer-komputer yang berada pada jaringan lokal pada satu DNS
server tanpa harus terresolve dari dunia luar.
pembedanya adalah dengan membuat beberapa view dan mendaftarkan alamat network yang bersesuaian dengan view tersebut. Masing-masing view mempunyai definisi DNS zone sendiri, dan data dari zone itulah yang digunakan untuk menjawab query si client.
yang pasti menggunakan Bind9
Skenario Kasus
Networking
House "4linux" mempunyai komputer dengan IP publik, dan beberapa
komputer lain dalam jaringan lokal. Domain yang harus bisa diresolve
dari jaringan internet adalah www.4linux.com, mail.4linux.com, dan
ns.4linux.com. Kemudian beberapa domain yang digunakan untuk keperluan
internal adalah mng.4linux.com, it.4linux.com, dan db.4linux.com.
Instalasi BIND
Instalasi seperti biasa dengan
apt-get.Konfigurasi named.conf
Konfigurasi
file zone sama dengan konfigurasi umum, tidak ada perbedaan.
Implementasi split DNS ini hanya membutuhkan sedikit konfigurasi pada
named.conf.
Perlu kembali diingat bahwa masing-masing view tidak dapat berbagi
zone. Walaupun semua zone mempunyai data yang sama untuk kedua view,
kita tetap harus menyebutkan definisi zone tersebut dalam semua view
yang ada.
Pertama
kita harus memisahkan network mana saja yang boleh meresolve domain
internal, kemudian kita kelompokkan pada view yang bersesuaian. Kita
akan membuat dua buah view, yakni eksternal dan internal.
View eksternal memuat data yang bisa dilihat oleh seluruh dunia, dan
view internal memuat data yang dapat dilihat dari jaringan internal 4linux
Daftar alamat IP dan domain yang dimiliki oleh 4linux:
- Nama domain: 4linux.com.
- www: 110.138.78.75
- mail: 110.138.78.76
- ns: 110.138.78.77
- mng: 192.168.1.5
- it: 192.168.1.6
- db: 192.168.1.7
Alamat-alamat di atas kita kelompokkan menjadi dua
view:- view eksternal: www, mail, ns - dapat diresolve oleh semua client internet(0.0.0.0/0).
- view Internal: semua yang ada di eksternal ditambah mng, it, dan db - hanya dapat diresolve oleh jaringan milik 4linux(192.168.1.0/24, 110.138.78.0/29).
Contoh konfigurasi pada file
named.conf:view "internal" { match-clients { 192.168.1.0/24; 110.138.78.0/29; }; zone "." { type hint; file "/etc/bind/db.root"; }; zone "4linux.com" { type master; file "/etc/bind/4linux.com.int"; }; }; view "eksternal" { match-clients { 0.0.0.0/0; }; zone "." { type hint; file "/etc/bind/db.root"; }; zone "4linux.com" { type master; file "/etc/bind/4linux.com.eks"; }; };
Satu hal yang perlu diingat adalah saat ada query dari client, maka bind akan mencoba mencocokkan IP penanya dengan view(s) yang ada di dalamnya secara berurutan dari atas ke bawah. Oleh karena itu view yang mengandung network 0.0.0.0 harus dituliskan setelah view yang lainnya.
Konfigurasi zone file
Zone
file yang kita buat pertama kali adalah yang digunakan untuk view
"eksternal". Kemudian setelah itu kita dapat membuat sebuah file lagi
untuk view "internal" yang isinya juga menyertakan file eksternal dengan
menggunakan
$INCLUDE.
File
/etc/bind/4linux.com.eks:@ IN SOA ns.4linux.com. admin.4linux.com. ( 23 7200 3600 604800 86400 ) IN NS ns.4linux.com. IN MX 1 mail.4linux.com. IN A 110.138.78.75 $ORIGIN 4linux.com. www IN A 110.138.78.75 mail IN A 110.138.78.76 ns IN A 110.138.78.77
Kemudian file
/etc/bind/4linux.com.int:$INCLUDE "/etc/bind/4linux.com.eks" mng IN A 192.168.1.5 it IN A 192.168.1.6 db IN A 192.168.1.7
Dengan
cara itu maka semua definisi yang berlaku untuk view eksternal berlaku
juga untuk view internal. Selain dengan cara itu pembuatan file zone
secara total juga bisa dilakukan. Dengan konsep yang sama kita juga bisa
membuat sebuah domain yang berIP x.x.x.x bila dilihat dari jaringan x,
namun berIP y.y.y.y bila dilihat dari jaringan y.
0 comments:
Post a Comment