Lecturare placuta!

______________________________________________________________________

Linux Networking-concepts HOWTO
HOWTO privind conceptele de retea linux
Rusty Russell
$Revision: 1.3 $ $Date: 2002/06/05 13:21:56 $

Acest document descrie ce este acea o retea (cum ar fi internetul), si foarte
primar cum functioneaza acesta.

______________________________________________________________________

Cuprins

1. Introducere
2. Ce este aceea o “retea de calculatoare”?
3. Ce este “Internetul”?
3.1. Cum functioneaza Internetul?
4. Aceast lucru numit IP
4.1. Grupuri de adrese IP: Netmask-uri
5. Nume de computere si Adrese IP
6. Servici diferite: Email, Web, FTP, DNS
7. Interfete dialup: PPP
8. Cum arata pachetele
9. Sumar
10. Multumiri
11. Index
______________________________________________________________________

1. Introducere

Bine ai venit!
Am scris in trecut un numar de howto-uri in ceea ce privesc retelele, si mi-a
venit in minte ca sunt in fiecare o multime de termeni jargonici. Am avut de
ales intre trei variante: celelalte doua ignorau problema si explicau
termenii peste tot. Nici una dintre ele nu era atractiva.

Scopul software-ului liber este faptul ca ar trebui sa ai libertatea sa
explorezi si sa te joci cu software-ul sistemului pe care il folosesti. Cred
ca dandu-le posibilitatea oamenilor sa experimenteze aceasta libertate este un
scop nobil; nu numai fac pe oameni sa se simt puternici printr-o ocupatie (cum
ar fi reconstruirea unui motor de masina) dar prin natura internetului si
software-ului liber ti se pune la dispozitie posibilitatea sa partajezi
experienta ta cu milioane de oameni.

Dar trebuie sa incepi de undeva, asa ca iata-ne.

(C) 2000 Paul “Rusty” Russell. Sub licenta GNU GPL.

2. Ce este aceea o “retea de calculatoare”?

O retea de calculatoare sunt mai multe materiale folosite pentru ca nodurile sa
schimbe informatie intre ele (prin “noduri” inteleg computere, imprimante,
masini de gatit si orice alceva doresti). Nu conteaza foarte mult cum sunt
interconectate: pot sa foloseasca fibra optica sau porumbei calatori.
E clar, unele alegeri sunt mai bune decat altele, mai ales daca ai prin casa
pisici.

In mod normal conectarea a doua calculatoare impreuna nu se poate numi
retea, este nevoie de trei sau mai multe pentru a deveni retea. Acest lucru
seamana cu cuvantul “grup”: doi oameni inseamna doar doua persoane, pe cand
trei persoane formeaza un grup. Deasemenea, retelele sunt adesea prinse
impreuna, pentru a forma retele mai mari, fiecare retea mai mica (deobicei
numita o “sub-retea”) poate fi parte dintr-o retea mai mare.

De fapt conexiunea intre doua computere este adesea denumita “legatura de
retea”. Daca este ceva cablu in spatele computer-ului tau catre alte
computere atunci aceea este legatura ta de retea.

Sunt patru lucruri despre care suntem interesati cand vorbim despre o retea de
calculatoare:

Marimea

Daca pur si simplu conectezi intre ele cele patru calculatoare de
acasa, ai realizat ceea ce se numeste LAN (Local Area Network – retea
locala). Daca totul este la distanta de mers pe jos, este denumit
deobicei LAN, oricate masini ar fi conectate, si din orice
infrastructura ar fi contruita reteaua.

La celalalt pol se situeaza WAN-ul (Wide Area Network – retea
intinsa). Daca ai un computer la Bucuresti, Romania, altul in New
York, SUA, si unul in Lhasa, Tibet, si reusesti sa le conectezi,
aceasta este atunci un WAN.

Topologia: Forma

Deseneaza harta unei retele: linile sunt “legaturile din retea”,
si fiecare nod este un punct. Poate ca fiecare linie duce intr-un
punct central ca o stea, insemnand ca fiecare vorbeste printr-un
singur punct ( o “topologie stea”):

o o o
\_ | _/
\|/
o—–o—–o
_/|\_
/ | \
o o o

Sau poate ca fiecare comunica in linie, astfel:

o——o——o——-o——–o
| |
| |
| o
| |
o |
o

Sau poate ca ai trei subretele conectate printr-un singur nod:

o
o | o–o–o
| | |
o–o–o–o–o o
\ |
o——o
/ |
o–o–o–o–o o
| | |
o | o–o
o

Vei vedea multe topologii ca acestea in realitate si multe altele mult
mai complicate.

Fizic: Din ce este facuta reteaua.

Al treilea lucru de care trebuie sa fim interesati este din ce este
constuita reteaua noastra. Cea mai ieftina este “sneakernet-u”, erau
oamenii care transportau diskete de la un computer la altul.
Sneakernet-ul este aproape intodeauna un “LAN”. Disketele costa mai
putin de 1$ si o pereche de skeakers (incaltaminte care nu face
zgomot) in jur de 20$.

Cel mai obisnuit sistem folosit pentru a conecta reteaua de acasa
catre alte retele mai mari este numit “modem”
(MODulator/DEModulator), care transforma o legatura telefonica intr-o
legatura de retea. Transforma ceea ce transmite calculatorul in
sunete, si asculta sunetele venite de la celalalt capat pe care le
transforma iar in informatie pentru calculator. Dupa cum iti
imaginezi acest lucru nu este din cale afara de eficient, deoarece
liniile telefonice nu au fost facute pentru genul acesta de lucruri, dar
este un sistem raspandit deoarece liniile telefonice sunt atat de
obisnuite si ieftine: modemurile costa sub 50$ si linia telefonica
200$ pe an.

Cel mai obisnuit sistem sa conectezi computerele intr-un LAN este sa
folosesti Ethernet. Ethernetul poate fi de trei tipuri (in ordinea
in care au fost realizate): Thinwire/Coax/10base2, UTP/10baseT si
UTP/100baseT. Gigabit ethernet (1000baseT incepe sa sune ciudat)
este in curs de a fi realizat. 10baseT este deobicei un fir coaxial
negru care are din loc in loc T-uri pentru a putea fi conectate la
computere, toti sunt conectati intr-o linie, linie care are la
capete terminatori speciali. UTP este deobicei un cablu de culoare
albastru deschis, care au doua capete prevazute cu terminatori din
plastic similari celor de la telefon, care sunt conectate in
dispozitivele fizice (placa ethernet, hub, etc.). Cablul costa cativa
dolari metrul, si placile de retea 10baseT/10base2 (multe au
connectori pentru ambele tipuri) sunt greu de gasit noi de firma.
100baseT sunt de 10 ori mai rapide decat 10baseT, sunt compatibile si
cu acestea, si costa cam 30$.

Tehnologia de varf este insa fibra optica; un fir de sticla subtire
in camasa protectoare care poate fi folosita pentru a lega in retea
continente. In general costa mii de dolari.

In mod normal numim fiecare conexiune la un nod “interfata de retea”
sau pe scurt “interfata”. Linux le numeste astfel “eth0″ pentru
prima interfata ethernet, si “fddi0″ pentru prima interfata de
fibra. Comanda “/sbin/ifconfig” ni le listeaza.

Protocol: Cum comunica.
Ultimul lucru care te intereseaza este limbajul pe care il folosesc
doua noduri interconectate. Cand doua modemuri comunica unul cu altul
printr-o linie telefonica, trebuie sa se puna de acord ce vor insemna
fiecare sunet, astfel pur si simplu nu vor comunica. Aceasta
conventie este denumita “protocol”. Pe masura ce oamenii au descoperit
noi posibilitati de codare astfel incat computerele sa spuna mai
multe in sunete mai scurte, noi protocoale s-au inventat; sunt cel
putin o duzina de protocoale diferite, si fiecare modem va incerca
cateva pana cand va gasi unul care sa fie inteles si de celalalt
modem.

Un alt exemplu este reteaua 100baseT mentionata mai sus. Aceasta
foloseste aceeasi legatura fizica “UTP” ca si 10baseT, dar
comunica de 10 ori mai rapid.

Aceste doua protocoale sunt denumite protocoale de nivel de legatura
(link level); care determina cum este transportata informatia intre
doua puncte pe conexiuni de retea individuale. Cuvantul “protocol” se
refera si la alte conventii dupa cum vom vedea mai jos.

3. Ce este “Internetul”?

Internetul este o retea de tip WAN, care impanzeste intre globul: este cea
mai mare retea de calculatorea existenta. “Internetworking” inseamna
conectarea mai multor retele pentru a crea una mai mare, prin urmare
internetul este connectarea a o mare ingramadire de subretele.

Asa ca acum uitandu-ne la lista de mai sus, ne punem intrebarea: care este
marimea Internetului, din ce este formata fizic si care sunt protocoalele
folosite?

Marimea am spus-o deja. Este globala.

Structura fizica este variata, fiecare subretea este conectata intr-un mod
diferit. Incercarea de a creea o harta folositoare este sortita deci esecului.

Protocoalele folosite de fiecare legatura este deasemnea diferita: toate
protocoalele de mai sus pentru nivel de legatura sunt folosite si multe
altele.

3.1. Cum functioneaza Internetul?

Atunci aceasta intrebare se pune: cum functioneaza? Cum poate fiecare nod sa
vorbeasca altor noduri daca folosesc protocoale de nivel legatura diferite?

Raspunsul este simplu: avem nevoie de un alt protocol care sa controleze cum
circula informatia prin retea. Protocolul pentru nivel de lagatura descrie
cum sa circule informatia intre doua noduri care sunt legate direct:
protocolul pentru nivel de retea face posibila transportul informatie intre
un nod si un altul peste oricat de mult legaturi de retea.

Pentru internet, protocolul la nivel de retea este INTERNET PROTOCOL
(versiunea 4) sau “IP”. Nu este singurul protocol existent (Apple”s
AppleTalk, Novell”s IPX, Digital”s DECNet and Microsoft”s NetBEUI fiind
altele), dar este cel mai adoptat. A aparut o noua versiune de protocol “IP”
numit IPv6, dar inca nu este atat de utilizat.

Asa ca pentru a transmite un mesaj dintr-un punct al globului in altul,
computerul tau foloseste protocolul IP, trimite informatia la modem, care
foloseste protocol pentru nivel de legatura pentru a trimite informatia
modemului din celalalt capat, modem care se afla probabil intr-un rack de
modemuri, care trimite informatia catre un alt nod, nod care la randul sau
trimite catre altul, si tot asa. Un nod care face lagatura intre doua sau
mai multe retele este denumit “ruter”: acesta va avea cate o interfata
pentru fiecare retea.

Numim aceast sir de protocoale o “stiva de protocoale”, de obicei desenata
asa:

[ Aplicatia: Primeste poze ] [ Nivelul aplicatie: transmite poze ]
| ^
v |
[ TCP: are grija de trasport ] [ TCP: are grija de trasport ]
| ^
v |
[ IP: are grija de routare ] [ IP: are grija de routare ]
| ^
v |
[ Link: doar pentru conexiune directa ] [ Link: doar pentru conexiune directa ]
| |
+——————————————+

Deci, in diagrama, vedem cum netscape (aplicatia din stanga sus) acceseaza
niste poze de pe un server web (aplicatia din dreapta sus). Pentru a face
acest lucru aplicatia noastra foloseste nivelul TCP, protocol pentru controlul
transportului: peste 90% din din traficul internet foloseste TCP, deoarece
este folosit mai ales pentru serviciile web si mail.

Deci, Netscape-ul trimite o cerere pentru o conexiune TCP catre serverul
remote: aceasta cerere este preluata la nivel de protocol de transport TCP,
care trimite mai departe cererea nivelului protocolului de retea IP, care la
randul lui transmite informatia mai departe catre nivelul protocolului de
legatura.

La celalat capat nivelul protocolului de legatura inainteaza informatia catre
nivelul protocolului IP, care vede ca informatia este destinata
computer-ului respectiv (daca nu va inainta informatia nivelului de legatura
pentru ca informatia sa ajunga la urmatorul nod), care inainteaza informatia
nivelului protocolului de transport TCP, care o inainteaza server-ului,
respectiv aplicatiei.

Deci avem urmatoarele trei puncte:

1. Aplicatia (Netscape, sau serveru din capatul celalalt) decide cu cine anume
doreste sa vorbeasca si ce anume doreste sa trimita

2. Nivelul de transport trimite pachete speciale pentru a incepe conversatia
cu celalalt capat si apoi impacheteaza informatia intr-un “pachet” TCP: un
pachet este doar un termen pentru o bucata de date care trece printr-o
retea. Nivelul de transport TCP paseaza acest pachet catre nivelul de retea
IP: apoi transmite in continuare pana cand celalat capat la nivel de
transport TCP transmite receptionarea pachetului. Acest mecanism este numita
“retransmitere”, si are o multime de reguli complexe care controleaza cand sa
transmita, cat sa astepte, etc. Ii da deasemenea fiecarui pachet o multime
de numere, pentru ca la celalalt capat sa fie sortate in ordinea corecta.

3. La nivel de retea IP se ia in considerare destinatia pachetului si
se decide urmatorul nod catre care sa se transmita pachetul. Aceasta operatie
este numita in mod simplu “rutare”(routing), si difera de la foarte simplu
(daca nu ai decat un singur modem si nici o alta interfata de retea,
pachetele ar trebui sa iasa numai prin acea interfata) pana la extrem de
complex (daca ai 15 retele complexe conectata direct prin tine).

4. Aceast lucru numit IP

Asadar rolul nivelului de legatura IP este sa realizeze cum sa “ruteze”
pachetele catre destinatia finala. Pentru ca acest lucru sa fie posibil,
fiecare interfata din retea trebuie sa aiba o “adresa IP”. Aceast adresa
este formata din patru numere separate prin puncte, cum ar fi
“167.216.245.249″. Fiecare numar trebuie sa fie cuprins intre 0 si 255.

Interfetele in aceeasi retea au tendinta sa aiba adrese Ip vecine. De
exemplu “1.1.1.19″ sta chiar langa sistemul cu adresa IP “1.1.1.20″. Deasemenea
nu uita ca un ruter este un nod cu interfete pentru mai mult de o retea,
asa ca ruter-ul va avea cate o adresa Ip pentru fiecare interfata.

Asa ca nivelul de retea IP al kernelului tine un tabel cu “rute” diferite,
punand la dispozitie calea pentru a ajunge la grupuri variate de adrese IP.
Cea mai simpla dintre rute este numita “ruta default”: daca nici o alta ruta
nu se potriveste aceasta este calea pe care o iau pachetele. Poti vedea o
lista a acestor rute cu ajutorul comenzii “/sbin/route”.

Rutele fie indica o legatura, fie un nod particular care este conectat la o
alta retea. De exemplu, cand suni la ISP, ruta default va fi catre legatura
cu modemul, deorece acolo este punctul de acces catre intreaga lume.

Modemul
Modemul lui ISP-ului ~~~~~~~~~~~~
Rusty { }
o——————o { Internetul }
{ }
~~~~~~~~~~~~

Dar daca ai un sistem care este in permanenta conectat la lumea din afara,
este putin mai complicat. In diagrama de mai jos, sistemul meu poate sa
comunica in mod direct cu computerele lui Paul si Tridge, si cu firewall-ul,
dar este necesar ca sistemul meu sa stie ca pachetele care trebuiesc livrate
restului lumii trebuie sa se indrepte catre firewall care le va pasa mai
incolo. Aceasta inseamna ca vei avea doua rute: una care sa zica “daca
destinatia este in reteaua mea trimite informatia direct acolo” si apoi o
ruta default care sa spuna “in caz contrar, trimite-o catre firewall”.

o Masina de lucru
| a lui Tridge ~~~~~~~~~~~~
Masina de lucru | { }
a lui Rusty o——–+—————–o–{ Internetul }
| Firewall { }
| ~~~~~~~~~~~~
o Masina de lucru
a lui Paul

4.1. Grupuri de adrese IP: Netmask-uri

Mai este un ultim detaliu: exista o notatie standard pentru grupuri de adrese
IP, uneori numita “adresa de retea”. La fel cum un numar de telefon poate fi
impartit in prefix si restul, la fel putem divide o adresa IP intr-un prefix
de retea si restul.

Oamenii obisnuiau sa vorbeasca despre “reteaua 1.2.3″, insemnand toate cele
256 de adrese de la 1.2.3.0 la 1.2.3.255. si daca asta nu era o retea destul
de mare ar fi putut sa vorbeasca despre “reteaua 1.2″ care inseamna toate
adresele de la 1.2.0.0 la 1.2.255.255.

In mod normal nu scriem “1.2.0.0-1.2.255.255″. In loc scriem prescurtat
“1.2.0.0/16″. Notatia ciudata “/16″ (numita netmask) cere o mica explicatie.

Fiecare numar despartit prin puncte intr-o adresa IP este defapt un numar
binar format din 8 cifre (00000000 la 11111111): le scriem in format zecimal
pentru a putea fi mai usor de citit. “/16″ inseamna ca primele 16 cifre
binare reprezinta adresa retelei, cu alte cuvinte partea “1.2″ este reteaua.
(tine minte fiecare numar reprezinta 8 cifre binare). Aceasta inseamna ca
orice adresa care incepe cu “1.2″ face parte din aceasta retea: “1.2.3.4″ si
“1.2.5.22″ fac parte din aceasta retea, dar “1.3.4.2″ nu.

Pentru a face viata mai usoara, in mod normal folosim retele care au
netmask “/8″, “/16″ si “/24″. De exemplu, “10.0.0.0/8″ este o retea imensa
care contine orice adresa de la 10.0.0.0 la 10.255.255.255 (peste 16 milioane
de adrese!). “10.0.0.0/16″ este mai mica, continand adresele doar de la
10.0.0.0 la 10.0.255.255. “10.0.0.0/24″ este si mai mica detinand adresele
de la 10.0.0.0 la 10.0.0.255.

Pentru a face lucrurile si mai confuze, mai este un mod prin care putem sa
scriem netmask-urile. Putem sa le scriem ca adrese IP:

10.0.0.0/255.0.0.0

In sfarsit, nu valoreaza nimic faptul ca cea mai mare adresa dintr-o retea
este rezervat ca “adresa de broadcast”, care poate fi folosita pentru a
transmite un mesaj catre toate host-urile din retea.

Mai jos este un tabel cu netmask-uri:

Forma Forma Numarul de Comentarii
scurta lunga masini maxim

/8 /255.0.0.0 16,777,215 numita in trecut retea de clasa A
/16 /255.255.0.0 65,535 numita in trecut retea de clasa B
/17 /255.255.128.0 32,767
/18 /255.255.192.0 16,383
/19 /255.255.224.0 8,191
/20 /255.255.240.0 4,095
/21 /255.255.248.0 2,047
/22 /255.255.252.0 1,023
/23 /255.255.254.0 511
/24 /255.255.255.0 255 numita in trecut retea de clasa C
/25 /255.255.255.128 127
/26 /255.255.255.192 63
/27 /255.255.255.224 31
/28 /255.255.255.240 15
/29 /255.255.255.248 7
/30 /255.255.255.252 3

5. Nume de computere si Adrese IP

In concluzie orice interfata de pe fiecare nod are o adresa IP. Foarte repede
s-a constatat ca oamenii retin destul de greu numerele, asa ca s-a hotarat
(la fel ca la numerele de telefon) sa avem un director cu nume. Dar cum
folosim computere oricum, este mai simplu sa punem computerele sa gaseasca
numele in mod automat.

Prin urmare avem DNS, sistemul de nume al domeniilor. Sunt noduri cu adrese IP
bine cunoscute pe care programele le pot interoga trimitand nume pentru a
primi adrese IP. Aproape toate programele pe care le folosesti pot realiza
aceasta interogare, de asta poti pune “www.linuxcare.com” in Netscape in loc
de “167.216.245.249″.

Bineinteles, ai nevoie de adresele de retea a cel putin unuia dintre aceste
“servere de nume”: in mod normal aceste adrese se gasesc in fisierul
“/etc/resolv.conf”.

Cum interogarile si raspunsurile DNS sunt relativ mici (1 pachet de fiecare),
protocolul TCP nu este folosit: acesta pune la dispozitia retransmisie
automata, ordonare a pachetelor si o siguranta a conexiunii, dar cu costul
trimiterii de pachete in plus in retea. De aceea folosim foarte simplul
protocol UDP (protocol pentru datagrame utilizator), care nu ofera extra
facilitatile pe care le ofera TCP si de care nu avem nevoie.

6. Servici diferite: Email, Web, FTP, DNS

Intr-un exemplu anterior, am arata cum Netscape trimite o cerere TCP catre un
server de web care ruleaza pe un alt nod. Dar sa ne imaginam ca acel nod care
este si server de web ruleaza si server de email, un server de ftp si un
server DNS, cum stie nodul pentru ce server este conexiunea TCP?

Aici TCP si UDP au conceptul de “port”. Fiecare pachet precizat in el “portul
destinatie” care spune pentru ce serviciu este destinat pachetul. De exemplu,
portul 25 TCP este pentru server-ul de mail, si portul 80 TCP este server-ul
de web (deasemenea cateodata poti sa intalnesti servere web pe porturi
diferite). O lista a porturile poate fi gasita in “/etc/services”.

Deasemenea, daca doua ferestre Netscape, amandoua acceseaza parti diferite din
acelasi site web, cum face sistemul linux pe care ruleaza Netscape sa sorteze
pachetele care se intorc de la server?

Aici intervine “portul sursa”: fiecarei conexiune noua TCP ii se atribuie un
nou port sursa, asa ca sunt separate, chiar daca se duc spre aceeasi
adresa destinatie IP si acelasi port destinatie. In mod normal primul port
sursa alocat va fi 1024 si creste odata cu trecerea timpului.

7. Interfete dialup: PPP

Cand suni cu modemul tau la un ISP, si se conecteaza la modemul lor, kernelul
nu incepe pur si simplu sa trimita pachete IP prin conexiune. Exista un
protocol numit PPP (point-to-point protocol), care este folosit pentru a
negocia cu celalalt capat inainte de a se permite trimiterea oricaror pachete.
Acesta este folosit de catre ISP pentru identificarea celui care a sunat: pe
sistemul tau linux, un program numit “daemon PPP” se ocupa cu partea ta de
negociere.

Pentru ca in lume sunt atatia utilizatori de dial-up, de obicei acestia nu
au propria lor adresa IP: cele mai multe ISP-uri iti vor aloca una din
adresele lor cand te vei conecta (daemonul PPP va negocia acest lucru). Aceasta
este adesea numita “adresa IP dinamica”, diferita fata de “adresa IP statica”
care este cazul normal cand ai propria ta conexiune permanenta. In mod normal
aceasta adresa este determinata de modem, data urmatoare cand te conectezi,
probabil ca vei nimeri alt modem, si astfel vei avea alta adresa IP.

8. Cum arata pachetele

Pentru cei foarte curiosi iata o descriere a structurii unui pachet. Sunt mai
multe aplicatii care captureaza pachetele care intra sau care ies dintr-un
sistem linux: cel mai comun este “tcpdump” (care intelege mai multe
protocoale decat TCP), dar unul mai fain este “ethereal”. Aceste aplicatii
sunt numite “snifere de pachete”.

Inceputul fiecarui pachet contine informatii cum ar fi destinatia, sursa,
tipul pachetului, si alte detalii administrative. Aceasta parte a unui pachet
este numita “header”. Restul pachetului, ce contine datele propriu-zise, este
in mod uzual numit “corpul pachetului”.

Asa ca orice pachet IP incepe cu un “header IP”: in marime de cel putin 20
bytes. Arata cam asa (aceasta diagrama fu furata cu nerusinare din RFC 791
(nu de catre traducator:))):

.——-+——-+—————+——————————-.
|Version| IHL |Type of Service| Total Length |
|——-+——-+—————+——————————-|
| Identification |Flags| Fragment Offset |
|—————+—————+——————————-|
| Time to Live | Protocol | Header Checksum |
|—————+—————+——————————-|
| Source Address |
|—————————————————————|
| Destination Address |
“—————————————————————”

Campurile importante sunt Protocol, care indica daca pachetul este de tip TCP
(numarul 6), un pachet UDP (numar 17) sau alceva, adresa IP sursa, si adresa
IP destinatie.

Acum, daca acel camp referitor protocolului spune ca pachetul este TCP, atunci
imediat un header TCP va urma imediat header-ului IP: header-ul TCP este
deasemenea de cel putin 20 bytes marime:

.——————————-+——————————-.
| Source Port | Destination Port |
|——————————-+——————————-|
| Sequence Number |
|—————————————————————|
| Acknowledgment Number |
|——————-+-+-+-+-+-+-+——————————-|
| Data | |U|A|P|R|S|F| |
| Offset| Reserved |R|C|S|S|Y|I| Window |
| | |G|K|H|T|N|N| |
|——-+———–+-+-+-+-+-+-+——————————-|
| Checksum | Urgent Pointer |
“—————————————————————”

Cele mai importante campuri sunt aici campurile reprezentand portul sursa si
portul destinatie care determina catre ce serviciu este destinat pachetul
(sau, in cazul pachetelor replica, de la care serviciu provine). Numerele
“sequence” si “acknowledgment” sunt folosite pentru a tine o ordine in
pachete si pentru a spune celuilalt capat ce pachete au fost primite.
Flag-urile ACK, SYN, RST si FIN (scrise pe verticala) sunt biti unici
folositi pentru negocierea deschiderii (SYN) sau inchiderii (RST sau FIN)
conexiunilor.

Dupa acest header urmeaza mesajul real pe care il trimite aplicatia (corpul
pachetului). Un pachet normal are pana la 1500 bytes: aceasta inseamna ca cel
mai mare spatiu pe care il poate ocupa datele este de 1460 bytes (20 bytes
header-ul IP, 20 bytes header-ul TCP): peste 97%.

9. Sumar

In concluzie internetul modern foloseste pachete IP pentru a comunica, si
cele mai multe dintre aceste pachete folosesc TCP pentru controlul conexiunii.
Noduri speciale denumite “rutere” conecteaza micile retele in retele mai
mari, si paseaza pachetele catre destinatia lor finala. Marea majoritatea a
computerelor sunt parte doar dintr-o retea (au doar o singura interfata),
spre deosebire de rutere.

Fiecare interfata are o adresa IP unica, care seamana cu “1.2.3.4″:
interfetele in aceeasi retea vor avea adrese IP inrudite, cu acelasi
inceput, la fel cum telefoanele dintr-o anumita zona au acelasi prefix.
Adresele de retea sunt asemanatoare adreselor IP, urmate insa de semnul “/”
si un numar pentru a se specifica portiunea din acea adresa care reprezinta
prefixul, de exemplu “1.12.0.0/24″ inseamna ca primele 3 grupuri de cifre
reprezinta adresa de retea, fiecare cifra reprezinta 8 biti.

Masinile au asignate nume de catre serviciul de nume pe domenii: programele
interogheaza serverele de nume adrese IP, furnizand acestora nume de genul:
“www.lug.ro”. Aceasta adresa IP este apoi folosita ca adresa IP
destinatie pentru a vorbi cu acel nod.

Rusty este destul de nepriceput pentru a scrie documente, in special pentru
incepatori.

Enjoy!

Rusty.

10. Multumiri

Multumiri lui Alison, pentru ca mi-a spus in cel mai frumos mod posibil ce
tampenii am scris in versiunile de inceput.

11. Index

o “100baseT”

o “10base2″

o “10baseT”

o “Broadcast address” – adresa de broadcast

o “Coax, Coaxial cable”

o “Computer network” – retea de computere

o “Default route” – ruta default

o “Destination port” – port destinatie

o “DNS, Domain Name Service” – serviciu de nume pe domenii DNS

o “Dynamic IP address”- adresa IP dinamica

o “Ethernet”

o “Fiber” – fibra

o “Gigabit Ethernet”

o “Hop”

o “Hub”

o “Internet”

o “IP, Internet Protocol”

o “IP address” – adresa ip

o “IP header” – header IP

o “IPv4, IP version 4″

o “IPv6, IP version 6″

o “LAN, Local Area Network” – retea locala

o “Link-level protocol” – protocol de nivel de legatura

o “Modem”

o “Name server” – server de nume

o “Netmask” – netmask

o “Network address, network mask” – adresa de retea, mask de retea

o “Network interface, interface” – interfata de retea, interfata

o “Network link” – legatura de retea

o “Network protocol, protocol” – protocol de retea, protocol

o “Node” – nod

o “Packet body” – corp al pachetului

o “Packet header” – header al pachetului

o “Packet sniffer” – snifer de pachete

o “Packet” – pachet

o “Port, TCP port, UDP port” – port, port TCP, port UDP

o “PPP, Point-to-Point Protocol”

o “PPP daemon” – daemon PPP

o “Protocol stack” – stiva de protocoale

o “Retransmission” – retransmitere

o “Route” – ruta

o “Router” – ruter

o “Routing” – rutare

o “Sneakernet”

o “Source port” – port sursa

o “Star-topology” – topologie in stea

o “Static IP address” – adresa IP statica

o “Sub-network” – sub-retea

o “TCP, Transmission Control Protocol” TCP, protocol cu controlul
transportului

o “TCP header” – header TCP

o “Terminator” – terminator

o “Topology” – topologie

o “UDP, User Datagram Protocol” – UDP, protocol pentru datagrame
utilizator

o “UTP, Unshielded Twisted Pair”

o “WAN, Wide Area Network” – retea intinsa

CUM SA administrati rapid un DNS.
______________________________________________________________________

Cuprins

1. Preambul

1.1 Chestiuni legale
1.2 Credit si cereri de suport.
1.3 Dedicatie

2. Introducere.

3. Caching name server.

3.1 Pornirea lui named
3.2 Resolvere
3.3 Felicitari

4. Forwarding

5. Un domeniu simplu

5.1 Intai teorie seaca
5.2 Propriul nostru domeniu
5.3 Zona reverse
5.4 Cuvinte de atentionare
5.5 De ce nu functioneaza interogarile inverse.
5.5.1 Zona reverse nu este investita.
5.5.2 Aveti un subnet fara clase
5.6 Servere slave (sclav)

6. Optiuni de securitate fundamentale.

6.1 Restrictionarea transferurilor pe zone
6.2 Protectia in situatii de spoofing
6.3 Rularea lui named ca non-root

7. Un exemplu real de domeniu

7.1 /etc/named.conf (sau /var/named/named.conf)
7.2 /var/named/root.hints
7.3 /var/named/zone/127.0.0
7.4 /var/named/zone/land-5.com
7.5 /var/named/zone/206.6.177

8. Intretinere

9. Conversia de la versiunea 4 la versiunea 8

10. Intrebari si raspunsuri

11. Cum sa deveniti un administrator DNS la scara mare.

______________________________________________________________________

1. Preambul

Cuvinte cheie: DNS, BIND, BIND 4, BIND 8, named, dialup, ppp, slip, ISDN,
internet, domeniu, nume, rezolutie, hosturi, caching.

Acest document este parte din Proiectul Documentatiei Linux (Linux
Documentation Project)

1.1. Chestiuni legale

(C)opyright 1995-2001 Nicolai Langfeldt, Jamie Norrish & Co.
Nu distribuiti modificand fara copyright, distribuiti liberi dar
pastrati mesajul de copyright.

1.2. Credite si cereri de suport

Vreau sa multumesc lui Arnt Gulbrandsen caruia i-am cauzat suferinta
cu aceste tiparituri si care mi-a oferit multe sugestii utile. Vreau
sa multumesc de asemeni numeroselor persoane care mi-au trimis sugestii si
note prin e-mail.

Acesta nu va fi niciodata un document final; va rog sa imi trimiteti
e-mailuri despre problemele si succesele dumneavoastra. Puteti da o mana
de ajutor la imbunatatirea acestui HOWTO. Asa ca va rog sa trimiteti
comentarii si/sau sugestii la janl@linpro.no. Sau cumparati cartea mea
despre DNS. Vedeti bibliografia despre informatii in legatura cu aceasta
chestiune. Daca trimiteti un e-mail si asteptati raspunsuri, dati dovada de
curtoazie si asigurati-va ca adresa de reply este corecta si functioneaza.
Tot astfel, va rog sa cititi sectiunea “qanda” inainte de a-mi trimite
e-mail. Inca un lucru, inteleg doar limbile norvegiana si engleza.

Acesta este un HOWTO (CUM_SA). L-am intretinut ca parte a LDP din 1995. Am
scris, in timpul anului 2000 o carte pe aceiasi tema. Vreau sa spun ca,
desi acest HOWTO este asemanator cartii din multe puncte de vedere, nu
este o versiune redusa astfel incat sa promovez vinderea cartii. Veti gasi
cartea in bibliografie in finalul acestui HOWTO. Cititorii acestui HOWTO
m-au ajutat sa inteleg ceea ce e dificil de inteles in legatura cu
DNS. Aceasta m-a ajutat la carte, iar cartea m-a ajutat de asemeni
sa inteleg la ce ar servi acest HOWTO. Acest HOWTO a completat cartea.
Cartea a completat versiunea 3 a acestui HOWTO. Multumirile mele
editorului cartii, care si-a incercat norocul cu mine

1.3. Dedicatie

Acest HOWTO este dedicat lui Anne Line Norheim Langfeldt, desi dansa nu il
va citi niciodata pentru ca nu e genul.

1. Introducere

Ce este si ce nu este aceasta.

DNS este Domain Name System (Sistemul Domeniului de Nume). DNS converteste
numele masinilor (de calcul) in adrese IP pe care toate masinile de pe
Internet le au. Translateaza (sau “mapeaza” cum se zice in jargon) din
nume in adrese si din adrese in nume, precum si alte cateva lucruri. Acest
HOWTO documenteaza definirea acestor mapari folosind sisteme UNIX, cu
cateva lucruri specifice Linux-ului.

O mapare este o simpla asociere intre doua lucruri, in acest caz un nume
de masina, ca ftp.linux.org, si IP-ul masinii (sau adresa)
199.249.150.4. DNS-ul contine de asemeni mapari si in alt sens, din
IP catre numele masinii; aceasta se numeste “mapare inversa”

DNS este, pentru neinitiati (dumneavoastra , una dintre
cele mai obscure domenii din administrarea retelelor. Din fericire, DNS nu
este chiar asa de greu. Acest HOWTO va incerca sa va clarifice
cateva lucruri. Descrie cum sa setati un server de nume DNS simplu,
incepand doar cu un server cache si pana la a seta un sever DNS primar
pentru domeniu. Pentru setari mai complexe consultati sectiunea “qanda”
din acest document. Daca nu este descris acolo (ceea ce va trebuie),
va trebui sa consultati documentatie “adevarata”. Voi reveni si voi arata
in ce consta aceasta documentatie “adevarata” in “ultimul capitol”.

Inainte de a incepe ar trebui sa va configurati masina astfel incat sa
puteti folosi telnet de la si catre aceasta masina si sa puteti face tot
felul de conexiuni in retea, si in special sa puteti da telnet 127.0.0.1
si sa reusiti sa intrati pe propria masina (ar trebui sa incercati
asta chiar acum!). Va trebuie de asemeni fisierele /etc/nsswitch.conf,
/etc/resolv.conf si /etc/hosts corecte, ca punct de plecare pentru ca nu
le voi explica functiile aici. Daca nu aveti toate acestea configurate si
in stare de functionare, Networking-HOWTO si/sau Networking-Overview-HOWTO
explica cum sa le configurati. CItiti-le.

Cand spun “masina dumneavoastra” inteleg masina pe care vreti
sa configurati DNS, nu orice alta masina pe care o aveti si care ar fi
implicata in efortul de a pune la punct reteaua.

Presupun ca nu sunteti in spatele nici unui fel de firewall care blocheaza
interogarile de nume. Daca sunteti in atare situatie, vedeti sectiunea
“quanda”.

Serverul de nume in UNIX este indeplinit de un program numit named. Acesta
este o parte a pachetului “BIND” coordonat de The Internet
Software Cosortium. Named este inclus in majoritatea distributiilor de Linux
si este de obicei instalat in /usr/sbin/named, de obicei dintr-un pachet
BIND.

Daca aveti un named probabil ca il puteti si folosi. Daca nu aveti unul,
puteti lua distributia binara de de pe un site ftp Linux, sau luati ultima
si cea mai “tare” sursa de la <ftp://ftp.isc.org/isc/bind/src/>. Acest
HOWTO se refera la BIND versiunea 8. Versiunea veche a acestui document,
despre BIND 4 este inca disponibila la <http://www.math.uio.no/~janl/DNS/>.
in caz ca folositi BIND 4. Daca paginile man ale named (chiar la sfarsit,
in sectiunea FILES) fac referire la named.conf, aveti BIND 8. Daca fac
referire la named.boot, aveti BIND 4. Daca aveti BIND 4
si sunteti constient de problemele de securitate, ar fi bine sa faceti
uprade la BIND 8. Acum.

DNS este o baza de date distribuita in retea. Aveti grija ce puneti in ea.
Daca puneti “balarii” in ea, dumneavoastra si altii, tot “balarii”
veti avea. Mentineti DNS-ul restrans si consistent si veti avea parte de
servicii de buna calitate de la el. Invatati sa il folositi, administrati,
depanati si veti fi inca un bun administrator, evitand ingenuncherea
Internetului din cauza prostului management.

Indicatie: faceti copii de rezerva a tuturor fisierelor pe care va indic
sa le modificati, daca le aveti deja, asa incat daca trecand
prin acestea (configurari, modificari) nimic nu mai merge, sa puteti
reveni la vechea dumneavoastra stare de functionare.

3. Caching name server

Un prim model de configurarie DNS, foarte util pentru dialup, modem
de cablu si utilizatori ADSL.

In distributiile Redhat si inrudite puteti obtine aceleasi rezultate
practice ca in prima sectiune a acestui HOWTO, instaland
pachetul BIND, utilitarele bind si caching-nameserver-ul. Daca
folositi Debian, instalati bind si bind-doc. Bine inteles ca
doar instaland aceste pachete nu veti invata atat de mult ca si cand ati
citi acest HOWTO. Asa ca instalati pachetele si verificati fisierele
instalate.

Un server cache de nume va gasi raspunsuri la interogarile de nume si va
memora aceste raspunsuri pentru data viitoare cand veti
avea nevoie. Aceasta va scurta semnificativ timpul de asteptare urmatoarea
data, in special daca aveti o conexiune lenta.

In primul rand aveti nevoie de un fisier numit /etc/named.conf
(Debian: /etc/bind/named.conf). Acesta este citit cand named porneste.
Deocamdata ar trebui sa contina pur si simplu:

______________________________________________________________________
// Config file for caching only name server

options {
directory “/var/named”;

// Uncommenting this might help if you have to go through a
// firewall and things are not working out. But you probably
// need to talk to your firewall admin.

// query-source port 53;
};

zone “.” {
type hint;
file “root.hints”;
};

zone “0.0.127.in-addr.arpa” {
type master;
file “pz/127.0.0″;
};
______________________________________________________________________

Pachetele distributiilor Linux pot folosi diferite nume de fisiere
pentru fiecare tip de fisier mentionat aici, cu toate acestea, continutul
va fi identic.

Linia “directory” ii spune lui named unde sa caute fisiere. Toate fisierele
named subsecvente vor fi relative la aceasta. pz este un director sub
/var/named, de ex. /var/named/pz. /var/named este directorul corect
potrivit Standardului de Fisiere Linux.

Fisierul /var/named/root.hints ar trebui sa contina urmatoarele: (daca
execuati cut si paste dintr-o versiune electronica a acestui document,
aveti in vedere ca nu trebuie sa existe spatii de inceput in acest fisier,
de exemplu toate liniile trebuie sa inceapa cu un caracter
non-blank. Anumite programe de procesare de text vor insera spatii
la inceputul liniilor, cauzand confuzie. In acest caz va rog
sa indepartati spatiile goale.)

______________________________________________________________________
;
; There might be opening comments here if you already have this file.
; If not don’t worry.
;
. 6D IN NS M.ROOT-SERVERS.NET.
. 6D IN NS I.ROOT-SERVERS.NET.
. 6D IN NS E.ROOT-SERVERS.NET.
. 6D IN NS D.ROOT-SERVERS.NET.
. 6D IN NS A.ROOT-SERVERS.NET.
. 6D IN NS H.ROOT-SERVERS.NET.
. 6D IN NS C.ROOT-SERVERS.NET.
. 6D IN NS G.ROOT-SERVERS.NET.
. 6D IN NS F.ROOT-SERVERS.NET.
. 6D IN NS B.ROOT-SERVERS.NET.
. 6D IN NS J.ROOT-SERVERS.NET.
. 6D IN NS K.ROOT-SERVERS.NET.
. 6D IN NS L.ROOT-SERVERS.NET.
;
M.ROOT-SERVERS.NET. 6D IN A 202.12.27.33
I.ROOT-SERVERS.NET. 6D IN A 192.36.148.17
E.ROOT-SERVERS.NET. 6D IN A 192.203.230.10
D.ROOT-SERVERS.NET. 6D IN A 128.8.10.90
A.ROOT-SERVERS.NET. 6D IN A 198.41.0.4
H.ROOT-SERVERS.NET. 6D IN A 128.63.2.53
C.ROOT-SERVERS.NET. 6D IN A 192.33.4.12
G.ROOT-SERVERS.NET. 6D IN A 192.112.36.4
F.ROOT-SERVERS.NET. 6D IN A 192.5.5.241
B.ROOT-SERVERS.NET. 6D IN A 128.9.0.107
J.ROOT-SERVERS.NET. 6D IN A 198.41.0.10
K.ROOT-SERVERS.NET. 6D IN A 193.0.14.129
L.ROOT-SERVERS.NET. 6D IN A 198.32.64.12
______________________________________________________________________

Fisierul descrie serverele de nume “radacina” din lume. Acestea se schimba
in timp si trebuie mentinute permanent. Vedeti sectiunea “intretinere”
despre cum sa mentineti la curent acest fisier.

Urmatoarea sectiune in named.conf este ultima zona. II voi explica
utilizarea intr-un capitol ulterior. Deocamdata creati din aceasta un
fisier numit 127.0.0 in subdirectorul pz (din nou, indepartati
spatiile goale daca executati cut si paste).

______________________________________________________________________
$TTL 3D
@ IN SOA ns.linux.bogus. hostmaster.linux.bogus. (
1 ; Serial
8H ; Refresh
2H ; Retry
4W ; Expire
1D) ; Minimum TTL
NS ns.linux.bogus.
1 PTR localhost.
______________________________________________________________________

Pe urma, aveti nevoie de un fisier /etc/resolv.conf care sa arate cam asa:
(indepartati spatiile!)

______________________________________________________________________
search subdomain.your-domain.edu your-domain.edu
nameserver 127.0.0.1
______________________________________________________________________

Linia “search” specifica ce domenii ar trebui cautate pentru un nume de
host la care vreti sa va conectati. Linia “nameserver” indica serverul
dumneavoastra de nume, in acest caz propria dumneavoastra masina,
daca acolo ruleaza named (127.0.0.1 e perfect, nu conteaza ca mai aveti si
alta adresa IP). Daca doriti sa apara mai multe servere de nume, puneti
cate o linie “nameserver” pentru fiecare. (Nota: named niciodata
nu citeste acest fisier, ci rezolverul, programul care il utilizeaza
pe named. Nota2 :in unele fisiere resolv.conf gasiti o linie “domain”. E
in regula, dar nu folositi si “search” si “domain”, doar una dintre ele va
merge).

Pentru a ilustra ce face acest fisier: daca un client incearca
sa caute (hostul) “foo”, atunci foo.subdomeniu.domeniul-tau.edu este
incercat primul, apoi foo.domeniul-tau.edu si apoi foo. Nu e de preferat
sa puneti prea multe domenii in linia “search” pentru ca va dura mult sa
le interogheze pe toate.

Exemplul de mai sus presupune ca apartineti domeniului
subdomeniu.domeniul-tau.edu; atunci masina dumneavoastra este numita
probabil masina-ta.subdomeniu.domeniul-tau.edu Linia “search” n-ar trebui
sa contina TLD-ul dumneavoastra (Top Level Domain “edu”- Domeniul de Nivel
Inalt) in acest caz. Daca aveti nevoie sa va conectati
la hosturi din alt domeniu, in mod frecvent, puteti adauga acel domeniu in
linia “search” astfel: (indepartati spatiile!)

______________________________________________________________________
search subdomain.your-domain.edu your-domain.edu other-domain.com
______________________________________________________________________

si asa mai departe. Evident, trebuie sa puneti nume reale de domeniu
in locul celor din exemplu. Importat: observati lipsa punctelor de
la sfarsitul numelor de domeniu.

3.1 Pornirea lui named

Dupa toate acestea este timpul sa pornim named. Daca folositi o conexiune
dialup, conectati-va intai. Dati comanda “ndc start” si apasati Enter,
fara nici o optiune. Daca nu merge asa, incercati “/usr/sbin/ndc start”.
Daca tot nu merge, vedeti sectiunea “qanda”. Daca observati in
fisierul mesajelor syslog (de obicei /var/adm/messages sau
/var/log/messages) in timp ce porniti named (incercati tail -f
/var/log/messages), ar trebui sa vedeti ceva asemanator :

(liniile care se incheie in \ continua pe linia urmatoare)

Dec 15 23:53:29 localhost named[3768]: starting. named 8.2.2-P7 \
Fri Nov 10 04:50:23 EST 2000^Iprospector@porky.\
devel.redhat.com:/usr/src/bs/BUILD/bind-8.2.2_P7/\
src/bin/named
Dec 15 23:53:29 localhost named[3768]: hint zone “” (IN) loaded\
(serial 0)
Dec 15 23:53:29 localhost named[3768]:Zone “0.0.127.in-addr.arpa”\
(file pz/127.0.0): No default TTL set using SOA\
minimum instead
Dec 15 23:53:29 localhost named[3768]: master zone\
“0.0.127.in-addr.arpa” (IN) loaded (serial 1)
Dec 15 23:53:29 localhost named[3768]:listening on [127.0.0.1].53 (lo)
Dec 15 23:53:29 localhost named[3768]: listening on [10.0.0.129].53\
(wvlan0)
Dec 15 23:53:29 localhost named[3768]: Forwarding source address is\
[0.0.0.0].1034
Dec 15 23:53:29 localhost named[3769]: Ready to answer queries.

Daca sunt multe mesaje de eroare, trebuie sa fie o greseala
pe undeva. Named va indica fisierul unde se afla greseala. Reveniti si
verificati fisierul respectiv. Dati comanda “ndc restart” si ati
rezolvat problema.

Acum puteti testa configurarea. In mod traditional, un program numit
nslookup e folosit pentru aceasta. In mod curent, dig e recomandat.

$ dig -x 127.0.0.1

; <<>> DiG 8.2 <<>> -x
;; res options: init recurs defnam dnsrch
;; got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 4
;; flags: qr aa rd ra; QUERY: 1, ANSWER: 1, AUTHORITY:1, ADDITIONAL: 0
;; QUERY SECTION:
;; 1.0.0.127.in-addr.arpa, type = ANY, class = IN

;; ANSWER SECTION:
1.0.0.127.in-addr.arpa. 1D IN PTR localhost.

;; AUTHORITY SECTION:
0.0.127.in-addr.arpa. 1D IN NS ns.penguin.bv.

;; Total query time: 30 msec
;; FROM: lookfar to SERVER: default — 127.0.0.1
;; WHEN: Sat Dec 16 00:16:12 2000
;; MSG SIZE sent: 40 rcvd: 110

Daca ati obtinut aceasta, serviciul functioneaza. Speram. Daca treburile
stau altfel, reveniti si verificati totul. De fiecare data cand moficati
fisierul named.conf, trebuie sa reporniti named cu comanda ndc restart.

Acum puteti efectua o interogare. Incercati sa cautati o masina apropiata.
pat.uio.no este apropiata de mine, la Universitatea din Oslo.

$ dig pat.uio.no

; <<>> DiG 8.2 <<>> pat.uio.no
;; res options: init recurs defnam dnsrch
;; got answer:
;; ->>HEADER<<- opcode:QUERY, status: NOERROR, id: 4
;; flags: qr aa rd ra; QUERY: 1, ANSWER: 1, AUTHORITY:3, ADDITIONAL: 3
;; QUERY SECTION:
;; pat.uio.no, type = A, class = IN

;; ANSWER SECTION:
pat.uio.no. 1D IN A 129.240.130.16

;; AUTHORITY SECTION:
uio.no. 1D IN NS nissen.uio.no.
uio.no. 1D IN NS ifi.uio.no.
uio.no. 1D IN NS nn.uninett.no.

;; ADDITIONAL SECTION:
nissen.uio.no. 1D IN A 129.240.2.3
ifi.uio.no. 1H IN A 129.240.64.2
nn.uninett.no. 1D IN A 158.38.0.181

;; Total query time: 112 msec
;; FROM: lookfar to SERVER: default — 127.0.0.1
;; WHEN: Sat Dec 16 00:23:07 2000
;; MSG SIZE sent: 28 rcvd: 162

De data aceasta dig a cerut lui named sa caute masina pat.uio.no.
A contactat una dintre masinile server de nume indicate in fisierul
root.hints si a cerut calea de acolo. Poate dura putin pana obtine
rezultatul, dupa cum va trebui sa caute in domeniile din /etc/resolv.conf.
Observati “aa” in linia “flags:”. Inseamna ca raspunsul este
autoritativ, venit proaspat de la un server autoritativ. Voi explica
ce inseamna “autoritativ” mai tarziu.

Daca veti face aceiasi interogare din nou, veti obtine aceasta:

$ dig pat.uio.no

; <<>> DiG 8.2 <<>> pat.uio.no
;; res options: init recurs defnam dnsrch
;; got answer:
;; ->>HEADER<<- opcode: QUERY, status:NOERROR, id: 4
;; flags: qr rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 3, ADDITIONAL: 3
;; QUERY SECTION:
;; pat.uio.no, type = A, class = IN

;; ANSWER SECTION:
pat.uio.no. 23h59m58s IN A 129.240.130.16

;; AUTHORITY SECTION:
UIO.NO. 23h59m58s IN NS nissen.UIO.NO.
UIO.NO. 23h59m58s IN NS ifi.UIO.NO.
UIO.NO. 23h59m58s IN NS nn.uninett.NO.

;; ADDITIONAL SECTION:
nissen.UIO.NO. 23h59m58s IN A 129.240.2.3
ifi.UIO.NO. 1d23h59m58s IN A 129.240.64.2
nn.uninett.NO. 1d23h59m58s IN A 158.38.0.181

;; Total query time: 4 msec
;; FROM: lookfar to SERVER: default — 127.0.0.1
;; WHEN: Sat Dec 16 00:23:09 2000
;; MSG SIZE sent: 28 rcvd: 162

Observati lipsa flagului “aa” din acest rezultat. Inseamna ca named
nu a mai iesit in retea pentru a afla acest raspuns, daca informatia se
afla in cache acum. Dar informatia din cache poate fi veche (stale). Asa
ca sunteti informati despre aceasta (foarte subtil)
prin lipsa lui “aa”. Dar oricum, acum stiti ca serviciul cache functioneaza.

3.2. Rezolvere

Toate sistemele de operare care implementeaza standardul C API fac uz de
apelul gethostbyname si gethostbyaddr. Acestea pot obtine informatii din
diverse surse. Din ce surse se alimenteaza, este indicat in fisierul
/etc/nsswitch.conf in Linux (si alte UNIX-uri). Acesta este un fisier lung
care specifica din ce fisier sau baza de date se vor obtine diferitele
tipuri de date. De obicei contine informatii folositoare la inceput, pe
care ar trebui sa le cititi. Dupa aceasta, cautati linia incapand cu
“hosts:”; va trebui sa aveti:

______________________________________________________________________
hosts: files dns
______________________________________________________________________

(va aduceti aminte de spatiile de inceput, nu-i asa? Nu le voi mai mentiona)

Daca nu exista nici o linie cu “hosts:”, puneti una ca mai
sus. Aceasta indica cum ca programele ar trebui sa examineze
fisierul /etc/hosts intai, apoi sa verifice DNS-ul conform /etc/resolv.conf.

3.3. Felicitari

Acum deja stiti cum sa configurati un named cu caching. Luati o bere, un
lapte acru si sarbatoriti.

4. Forwarding

In retele mari, bine organizate, academice sau ISP (Internet Service
Provider – Furnizor de Servicii Internet), veti constata uneori ca
administratorii de retea au pus la punct o ierarhie de servere DNS
pentru forwarding (inaintare- transfer), care usureaza
incarcarea retelei interiorare si exterioare. Nu e usor de stiut daca va
aflati intr-o asemenea retea sau nu. Oricum, nu este important si,
folosind serverul DNS al furnizorului dumneavoastra din retea ca “forwarder”
puteti obtine raspunsurile mai rapid si cu o incarcare mai mica a retelei.
Daca folositi un modem, aceasta poate fi chiar un castig. De
dragul acestui exemplu sa presupunem ca furnizorul are doua servere de
nume pe care vrea sa le folositi cu IP-urile 10.0.0.1 si 10.1.0.1. Atunci,
in named.conf la dumneavoastra, in interiorul sectiunii “options”,
inserati aceste linii:

______________________________________________________________________
forward first;
forwarders {
10.0.0.1;
10.1.0.1;
};
______________________________________________________________________

Exista de asemeni o smecherie draguta pentru masinile dialup care folosesc
“forwardere”. Este descrisa in sectiunea “qanda”.

Restartati serverul de nume si testati-l cu dig. Ar trebui sa mearga perfect.

5. Un domeniu simplu

Cum configurati propriul domeniu.

5.1. Intai teorie seaca

In primul rand: ati citit tot pana aici, nu? Trebuie.

Inainte de a porni intr-adevar aceasta sectiune, va voi expune ceva
teorie si un exemplu despre cum functioneaza DNS. Si o veti citi pentru ca
va este necesara. Daca nu doriti, ar trebui macar sa o parcurgeti rapid.
Opriti-va din cititul printre randuri cand ajungeti la ceea ce ar trebui
sa aveti in fisierul named.conf.

DNS este un sistem ierarhic, arborescent. Varful este notat “.” si
este denumit “root”, cum este uzual pentru structurile de
date arborescente. Dedesubt exista un numar de Top Level Domain – Domenii
de Nivel Inalt – TLD-uri. Cele mai cunoscute sunt .COM .ORG .EDU .NET, dar
sunt mai multe. Ca si la un arbore, exista o radacina care se imparte pe
ramuri. Daca aveti ceva cunostinte despre computere, veti recunoaste DNS
ca un arbore de cautare si veti fi capabili sa gasiti nodurile nodurile
mici (leaf nodes) si marginile (edges). Punctele sunt noduri, marginile
sunt in nume. Cand cautati o masina, interogarea porneste recursiv
in ierarhie, plecand de la radacina (root). Daca doriti sa aflati adresa
pentru prep.ai.mit.edu, serverul dumneavoastra de nume va incepe
sa caute undeva. Incepe prin a cauta in cache. Daca stie raspunsul,
avandu-l in cache mai dinainte, va raspunde imediat, asa cum am vazut in
ultima sectiune. Daca nu stie, va indeparta partea din nume incepand de la
stanga, verificand daca stie ceva despre ai.mit.edu, apoi mit.edu., apoi
edu., si apoi daca nu cumva “.” are cunostinta, pentru ca asa s-a specificat in
fisierul hints (indicii). Apoi va intreba un server “.” (root)
despre prep.ai.mit.edu. Acest server “.” nu va sti raspunsul dar
va ajuta serverul dumneavoastra in calea sa, dandu-i o referinta,
spunandu-i unde sa mai caute. Aceste referinte vor conduce eventual
serverul dumneavoastra catre un server de nume care cunoaste
raspunsul. Voi ilustra aceasta acum, “+norec” inseamna ca “dig” aplica
interogari ne-recursive, asa ca va trebui sa aplicam chiar noi
recursivitatea. Cealalta optiune ar fi sa reducem cantitatea de date
pe care “dig” o produce asa incat sa nu avem de-a face cu prea multe pagini:

$ dig +norec +noH +noques +nostats +nocmd prep.ai.mit.edu.
;; res options: init defnam dnsrch
;; got answer:
; flags: qr ra; QUERY: 1, ANSWER: 0, AUTHORITY: 13, ADDITIONAL: 13
;; AUTHORITY SECTION:
. 5d23h48m47s IN NS I.ROOT-SERVERS.NET.
. 5d23h48m47s IN NS E.ROOT-SERVERS.NET.
. 5d23h48m47s IN NS D.ROOT-SERVERS.NET.
. 5d23h48m47s IN NS A.ROOT-SERVERS.NET.
. 5d23h48m47s IN NS H.ROOT-SERVERS.NET.
. 5d23h48m47s IN NS C.ROOT-SERVERS.NET.
. 5d23h48m47s IN NS G.ROOT-SERVERS.NET.
. 5d23h48m47s IN NS F.ROOT-SERVERS.NET.
. 5d23h48m47s IN NS B.ROOT-SERVERS.NET.
. 5d23h48m47s IN NS J.ROOT-SERVERS.NET.
. 5d23h48m47s IN NS K.ROOT-SERVERS.NET.
. 5d23h48m47s IN NS L.ROOT-SERVERS.NET.
. 5d23h48m47s IN NS M.ROOT-SERVERS.NET.

;; ADDITIONAL SECTION:
I.ROOT-SERVERS.NET. 6d23h48m47s IN A 192.36.148.17
E.ROOT-SERVERS.NET. 6d23h48m47s IN A 192.203.230.10
D.ROOT-SERVERS.NET. 6d23h48m47s IN A 128.8.10.90
A.ROOT-SERVERS.NET. 6d23h48m47s IN A 198.41.0.4
H.ROOT-SERVERS.NET. 6d23h48m47s IN A 128.63.2.53
C.ROOT-SERVERS.NET. 6d23h48m47s IN A 192.33.4.12
G.ROOT-SERVERS.NET. 6d23h48m47s IN A 192.112.36.4
F.ROOT-SERVERS.NET. 6d23h48m47s IN A 192.5.5.241
B.ROOT-SERVERS.NET. 6d23h48m47s IN A 128.9.0.107
J.ROOT-SERVERS.NET. 6d23h48m47s IN A 198.41.0.10
K.ROOT-SERVERS.NET. 6d23h48m47s IN A 193.0.14.129
L.ROOT-SERVERS.NET. 6d23h48m47s IN A 198.32.64.12
M.ROOT-SERVERS.NET. 6d23h48m47s IN A 202.12.27.33

Aceasta este referinta. Ne ofera doar o “sectiune autoritativa”
nu o “sectiune de raspuns”. Propriul nostru nameserver ne raporteaza
la alt nameserver. Alegeti la intamplare:

$ dig +norec +noH +noques +nostats +nocmd
prep.ai.mit.edu. @H.ROOT-SERVE
; (1 server found)
;; res options: init defnam dnsrch
;; got answer:
; flags: qr; QUERY: 1, ANSWER: 0, AUTHORITY: 3, ADDITIONAL: 3
;; AUTHORITY SECTION:
MIT.EDU. 2D IN NS BITSY.MIT.EDU.
MIT.EDU. 2D IN NS STRAWB.MIT.EDU.
MIT.EDU. 2D IN NS W20NS.MIT.EDU.

;; ADDITIONAL SECTION:
BITSY.MIT.EDU. 2D IN A 18.72.0.3
STRAWB.MIT.EDU. 2D IN A 18.71.0.151
W20NS.MIT.EDU. 2D IN A 18.70.0.160

Se refera la serverele MIT.EDU odata. Din nou, alegeti unul la intamplare:

$ dig +norec +noH +noques +nostats +nocmd prep.ai.mit.edu. @bitsy.mit.edu
; (1 server found)
;; res options: init defnam dnsrch
;; got answer:
; flags: qr ra; QUERY: 1, ANSWER: 1, AUTHORITY: 4, ADDITIONAL: 4
;; ANSWER SECTION:
prep.ai.mit.edu. 3h50m7s IN A 198.186.203.18

;; AUTHORITY SECTION:
AI.MIT.EDU. 6H IN NS FEDEX.AI.MIT.EDU.
AI.MIT.EDU. 6H IN NS LIFE.AI.MIT.EDU.
AI.MIT.EDU. 6H IN NS ALPHA-BITS.AI.MIT.EDU.
AI.MIT.EDU. 6H IN NS BEET-CHEX.AI.MIT.EDU.

;; ADDITIONAL SECTION:
FEDEX.AI.MIT.EDU. 6H IN A 192.148.252.43
LIFE.AI.MIT.EDU. 6H IN A 128.52.32.80
ALPHA-BITS.AI.MIT.EDU. 6H IN A 128.52.32.5
BEET-CHEX.AI.MIT.EDU. 6H IN A 128.52.32.22

DE data aceasta avem o “sectiune de raspuns” si un raspuns la interogarea
noastra. “Sectiunea autoritativa” contine informatii despre ce servere
sa interogam despre ai.mit.edu data viitoare. Asa ca le puteti interoga
data viitoare direct despre ce nume va intereseaza din domeniul ai.mit.edu.

Deci pornind de la “.” am gasit serverele de nume pentru fiecare nivel
in numele de domeniu, prin referinte. Daca ati folosit propriul
server de nume in loc de alte servere,
nameserverul dumneavoastra a stocat, bineinteles in cache, toata
informatia pe care a gasit-o “sapand” (comanda “dig”) pentru aceasta, si
nu va trebui sa cerceteze mult pentru raspunsuri, un timp.

In structura arborescenta analoga, fiecare “.” este un punct
de ramificatie si fiecare parte intre “.” reprezinta
numele ramurilor individuale in arbore. Unul urca pe arbore luand numele
pe care il dorim (prep.ai.mit.edu) intreband root-ul “.” sau orice
server parinte dinspre root catre prep.ai.mit.edu despre care
avem informatii in cache. Odata ce limitele cache-ului
sunt atinse, rezolverul recursiv “iese” interogand serverele, obtinand
referinte (margini – edges) in nume.

Un domeniu mai putin discutat, dar la fel de important
este in-addr.arpa. Este de asemeni catalogat ca un domeniu “normal” ne
permite sa obtinem numele host-ului cand ii cunoastem adresa. Un lucru
important de retinut aici este ca adresele IP sunt scrise in
ordine inversa in domeniul in-addr.arpa. Daca aveti adresa unei masini, de
exemplu 192.148.52.43, named procedeaza ca in exemplul cu
prep.ai.mit.edu:
cauta serverele arpa. , cauta serverele in-addr.arpa, cauta serverele
192.in-addr.arpa. , cauta serverele 148.192.in-addr.arpa., cauta serverele
52.148.192.in-addr.arpa. , cauta inregistrarile necesare pentru
43.52.148.192.in-addr.arpa. Inteligent, nu? (Spuneti “da”.) Reversia
numerelor poate crea confuzie.

5.2. Propriul nostru domeniu

Acum sa definim propriul nostru domeniu. Vom face domeniul linux.bogus
si vom defini masini in el. Voi folosi nume de domenii total aiurea,
astfel incat sa ne asiguram ca nu deranjam pe nimeni Acolo Afara.

Inca un lucru inainte de a incepe. Nu toate caracterele sunt permise
in numele de domenii. Suntem restrictionati la caracterele din alfabetul
englez: a-z si numere 0-9 si caracterul “-”. Limitati-va la aceste
caractere. Caracterele majuscule si minuscule sunt identice pentru DNS,
deci pat.uio.no este identic cu Pat.Uio.No.

Am pornit deja aceasta parte cu o linie in named.conf:

______________________________________________________________________
zone “0.0.127.in-addr.arpa” {
type master;
file “pz/127.0.0″;
};
______________________________________________________________________

Va rog sa observati lipsa lui “.” la sfarsitul numelor de domeniu in acest
fisier. Acesta spune ca acum vom definit zona 0.0.127.in-addr.arpa, care
este serverul master pentru ea si care este stocat in fisierul numit
pz/127.0.0. Deja am configurat acest fisier, care arata:

______________________________________________________________________
$TTL 3D
@ IN SOA ns.linux.bogus. hostmaster.linux.bogus. (
1 ; Serial
8H ; Refresh
2H ; Retry
4W ; Expire
1D) ; Minimum TTL
NS ns.linux.bogus.
1 PTR localhost.
______________________________________________________________________

Observati “.” la sfarsitul fiecarui nume de domeniu in acest fisier,
in contrast cu named.conf de mai sus. Unii prefera sa inceapa fiecare zona
cu directiva $ORIGIN, dar aceasta configurare este superflua. Originea
(din care face parte ierarhia DNS) unei fisier zona este specificata
in sectiunea “zone” din fisierul named.conf; in acest caz este
0.0.127.in-addr.arpa.

Acest “fisier zona” contine 3 “inregistrari resursa” (RR): A SOA RR. A NS
RR si un PTR RR. SOA este prescurtarea pentru Start of Authority. “@”
este notatia speciala semnificand originea, si cum coloana “domain” pentru
acest fisier indica 0.0.127.in-addr.arpa, prima linie inseamna in realitate:

0.0.127.in-addr.arpa. IN SOA …

NS este name server RR. Nu este nici un “@” la inceputul acestei linii;
este implicit pentru ca inceputul liniei anterioare incepe cu un “@”. Va
scuteste de redactat. Astfel, linia NS poate fi scrisa deasemeni:

0.0.127.in-addr.arpa. IN NS ns.linux.bogus

Aceasta spune DNS-ului ce masina este name-serverul pentru
domeniul 0.0.127.in-addr.arpa, este ns.linux.bogus. “ns” este un nume
uzitat pentru serverele de nume, dar ca si pentru serverele web care
sunt numite www.ceva numele poate fi oricare.

Si, in final, inregistrarea PTR (Domain Name Pointer – Pointerul Numelui
de Domeniu) arata ca hostul de la adresa 1 din
subnetul 0.0.127.in-addr.arpa, de exemplu 127.0.0.1 este numit localhost.

Inregistrarea SOA este preambulul tuturor fisierelor de zona, si ar trebui
sa fie exact cate una pentru fiecare fisier de zona. Aceasta descrie zona,
de unde vine (o masina numita ns.linux.bogus), cine este responsabil
pentru continutul ei (hostmaster@linux.bogus; ar trebui sa inserati adresa
dumneavoastra de e-mail aici), ce versiune a fisierului zona este (serial:1)
si alte lucruri care au de-a face cu cachingul si serverele DNS secundare.
Pentru restul campurilor (refresh, retry, expire si minimum)
folositi numerele utilizate in acest HOWTO si ar trebui sa fiti in
siguranta. Inainte de SOA apare o linie esentiala, linia $TTL 3D. Puneti
in ea toate fisierele de zona.

Acum reporniti named (cu comanda ndc restart) si folositi “dig” pentru a
examina rezultatele. -x cere o interogare inversa:

$ dig -x 127.0.0.1

; <<>> DiG 8.2 <<>> -x
;; res options: init recurs defnam dnsrch
;; got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 4
;; flags: qr aa rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 1, ADDITIONAL: 0
;; QUERY SECTION:
;; 1.0.0.127.in-addr.arpa, type = ANY, class = IN

;; ANSWER SECTION:
1.0.0.127.in-addr.arpa. 1D IN PTR localhost.

;; AUTHORITY SECTION:
0.0.127.in-addr.arpa. 1D IN NS ns.penguin.bv.

;; Total query time: 5 msec
;; FROM: lookfar to SERVER: default — 127.0.0.1
;; WHEN: Sat Dec 16 01:13:48 2000
;; MSG SIZE sent: 40 rcvd: 110

Deci se descurca sa obtina localhostul din 127.0.0.1, e OK. Acum, pentru
scopul nostru principal, inserati o noua sectiune zona (“zone”) in
named.conf:

______________________________________________________________________
zone “linux.bogus” {
notify no;
type master;
file “pz/linux.bogus”;
};
______________________________________________________________________

Observati din nou lipsa “.” din numele de domeniu din fisierul named.conf.
In fisierul zona linux.bogus vom pune niste date total aiurea.

______________________________________________________________________
;
; Zone file for linux.bogus
;
; The full zone file
;
$TTL 3D
@ IN SOA ns.linux.bogus. hostmaster.linux.bogus. (
199802151 ; serial, todays date + todays serial
8H ; refresh, seconds
2H ; retry, seconds
4W ; expire, seconds
1D ) ; minimum, seconds
;
NS ns ; Inet Address of name server
MX 10 mail.linux.bogus ; Primary Mail Exchanger
MX 20 mail.friend.bogus. ; Secondary Mail Exchanger
;
localhost A 127.0.0.1
ns A 192.168.196.2
mail A 192.168.196.4
______________________________________________________________________

Doua lucruri trebuie observate in legatura cu inregistrarea SOA:
ns.linux.bogus trebuie sa fie o masina cu inregistrare “A”. Nu este in
regula sa avem o inregistrarea CNAME pentru masina mentionata in
inregistrarea SOA. Numele ei nu este obligatoriu sa fie “ns”, poate
fi orice nume “legal”, acceptabil, de host. Apoi, hostmaster.linux.bogus
trebuie citit ca hostmaster@linux.bogus. Acesta ar trebui sa fie un mail
alias sau un mailbox (cutie postala) unde persoanele care intretin DNS-ul
ar trebui sa citeasca frecvent mailul. Orice mail privind domeniul va fi
trimis la adresa listata aici. Numele nu e necesar
sa fie “hostmaster”, paote fi adresa dumneavoastra normala
de e-mail, dar adresa de e-mail “hostmaster” ar trebui sa functioneze
la fel de bine.

Exista un tip nou “RR” in acest fisier, RR-ul “MX”-ului sau
Mail Exchanger-ului. Acesta indica sistemului de e-mail unde
sa trimita mailul adresat cuiva@linux.bogus, dupa nume
mail.linux.bogus sau mail.friend.bogus. Numerele din fata fiecarei
masini este prioritatea RR-ului MailExchangerului. RR-ul
cu cel mai mic numar (10) este unde mailul ar trebui sa fie trimis daca
este posibil. Daca acesta rateaza, mailul va fi trimis urmatorului
cu numar mai mare, un manager de e-mail secundar (mail handler),
de exemplu mail.friend.bogus, care are prioritatea 20 aici.

Restartati named cu “ndc restart”. Examinati rezultatul cu “dig”:

$ dig any linux.bogus +pfmin
;; res options: init recurs defnam dnsrch
;; got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 23499
;; QUERY: 1, ANSWER: 4, AUTHORITY: 1, ADDITIONAL: 1
;; QUERY SECTION:
;; linux.bogus, type = ANY, class = IN

;; ANSWER SECTION:
linux.bogus. 3D IN MX 10 mail.linux.bogus.linux.bogus.
linux.bogus. 3D IN MX 20 mail.friend.bogus.
linux.bogus. 3D IN NS ns.linux.bogus.
linux.bogus. 3D IN SOA ns.linux.bogus.hostmaster.linux
199802151 ; serial
8H ; refresh
2H ; retry
4W ; expiry
1D ) ; minimum

Examinand cu atentie rezultatele de mai sus, veti descoperi o hiba. Linia

linux.bogus. 3D IN MX 10 mail.linux.bogus.linux.bogus.

este total gresita. Ar trebui sa fie:

linux.bogus. 3D IN MX 10 mail.linux.bogus.

Am facut intentionat o greseala, ca sa puteti invata din ea . Privind
in fisierul zona, vom observa aceasta linie;

MX 10 mail.linux.bogus ; Primary Mail Exchanger

Lipseste un punct. Sau are prea multe “linux.bogus”. Daca un nume de
masina nu se termina cu punct intr-un fisier zona, originea este adaugata
la sfarsitul lui, cauzand dublura linux.bogus.linux.bogus. Asa ca ori

______________________________________________________________________
MX 10 mail.linux.bogus. ; Primary Mail Exchanger
______________________________________________________________________

ori

______________________________________________________________________
MX 10 mail ; Primary Mail Exchanger
______________________________________________________________________

este corect. Prefer ultima forma, e mai putin de scris.
Sunt anumiti experti in BIND care dezaproba, si altii care aproba aceasta.
Intr-un fisier zona, domeniul ar trebui sa fie ori scris si terminat
in “.” ori ne inclus deloc, caz in care ramane implicita originea.

Trebuie sa va stresez cu ideea ca in fisierul named.conf nu trebuie sa fie
semne “.” dupa numele de domenii. N-aveti idee de cate ori
prea multe sau prea putine “.” au pus in stare de confuzie utilizatorii.

Deci, ideea mea aici este noul fisier zona , cu cateva informatii in plus:

______________________________________________________________________
;
; Zone file for linux.bogus
;
; The full zone file
;
$TTL 3D
@ IN SOA ns.linux.bogus. hostmaster.linux.bogus. (
199802151 ; serial, todays date + todays serial
8H ; refresh, seconds
2H ; retry, seconds
4W ; expire, seconds
1D ) ; minimum, seconds
;
TXT “Linux.Bogus, your DNS consultants”
NS ns ; Inet Address of name server
NS ns.friend.bogus.
MX 10 mail ; Primary Mail Exchanger
MX 20 mail.friend.bogus. ; Secondary Mail Exchanger

localhost A 127.0.0.1

gw A 192.168.196.1
HINFO “Cisco” “IOS”
TXT “The router”

ns A 192.168.196.2
MX 10 mail
MX 20 mail.friend.bogus.
HINFO “Pentium” “Linux 2.0″
www CNAME ns

donald A 192.168.196.3
MX 10 mail
MX 20 mail.friend.bogus.
HINFO “i486″ “Linux 2.0″
TXT “DEK”

mail A 192.168.196.4
MX 10 mail
MX 20 mail.friend.bogus.
HINFO “386sx” “Linux 1.2″

ftp A 192.168.196.5
MX 10 mail
MX 20 mail.friend.bogus.
HINFO “P6″ “Linux 2.1.86″
______________________________________________________________________

Aici sunt cateva noi RR-uri: HINFO (Host INFOrmation) are doua parti; e un
obicei bun sa le comentati pe fiecare. Prima parte este harware-ul si
CPU-ul din respectiva masina, iar a doua parte
este software-ul sau sitemul de operare de pe masina. Masina “ns” este
un Pentium si ruleaza Linux 2.0. CNAME (Canonical NAME) este o cale de a
da fiecarei masini mai multe nume. Deci “www” este un alias pentru “ns”.

Utilizarea inregistrarii CNAME este controversata. Dar e in OK sa urmati
regula potrivit careia o inregistrare MX, CNAME sau SOA nu trebuie sa nu
se refere niciodata la o inregistrare CNAME, trebuie intotdeauna sa se
refere la o inregistrare “A”, deci este inadmisibil sa avem:

______________________________________________________________________
foobar CNAME www ; NO!
______________________________________________________________________

dar corect sa avem

______________________________________________________________________
foobar CNAME ns ; Yes!
______________________________________________________________________

Este de asemeni sigur sa presupunem ca un CNAME nu este un nume de
host corect pentru o adresa de e-mail: webmaster@www.linux.bogus
este o adresa de e-mail ilegala, incorecta, data de configurarea de mai sus.
Va puteti chiar astepta la cativa administratori de e-mail de Afara sa
restrictioneze aceasta regula, daca pentru
dumneavoasta functioneaza. Calea pentru a evita aceasta este sa folositi
inregistrari “A” (si poate si altele, cum ar fi reguli MX) in loc:

______________________________________________________________________
www A 192.168.196.2
______________________________________________________________________

Un numar de arch-BIND-wizards recomanda sa nu utilizati de loc
CNAME. Dar discutia legata aceasta nu face obiectul acestui HOWTO.

Dar cum vedeti, acest HOWTO si multe site-uri nu urmeaza aceasta regula.

Incarcati noua baza de date cu “ndc reload” ceea ce il obliga
pe named sa-si reciteasca fisierele.

$ dig linux.bogus axfr

; <<>> DiG 8.2 <<>> linux.bogus axfr
$ORIGIN linux.bogus.
@ 3D IN SOA ns hostmaster (
199802151 ; serial
8H ; refresh
2H ; retry
4W ; expiry
1D ) ; minimum

3D IN NS ns
3D IN NS ns.friend.bogus.
3D IN MX 10 mail
3D IN MX 20 mail.friend.bogus.
3D IN TXT “Linux.Bogus, your DNS consultants”
gw 3D IN TXT “The router”
3D IN HINFO “Cisco” “IOS”
3D IN A 192.168.196.1
localhost 3D IN A 127.0.0.1
mail 3D IN HINFO “386sx” “Linux 1.2″
3D IN MX 10 mail
3D IN MX 20 mail.friend.bogus.
3D IN A 192.168.196.4
www 3D IN CNAME ns
donald 3D IN TXT “DEK”
3D IN HINFO “i486″ “Linux 2.0″
3D IN MX 10 mail
3D IN MX 20 mail.friend.bogus.
3D IN A 192.168.196.3
ns 3D IN HINFO “Pentium” “Linux 2.0″
3D IN MX 10 mail
3D IN MX 20 mail.friend.bogus.
3D IN A 192.168.196.2
ftp 3D IN HINFO “P6″ “Linux 2.1.86″
3D IN MX 10 mail
3D IN MX 20 mail.friend.bogus.
3D IN A 192.168.196.5
@ 3D IN SOA ns hostmaster (
199802151 ; serial
8H ; refresh
2H ; retry
4W ; expiry
1D ) ; minimum

;; Received 29 answers (29 records).
;; FROM: lookfar to SERVER: 127.0.0.1
;; WHEN: Sat Dec 16 01:35:05 2000

Asta e bine. Si observati ca arata chiar ca fisierul zona. Sa verificam ce
spune doar pentru www:

$ dig www.linux.bogus +pfmin
;; res options: init recurs defnam dnsrch
;; got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 27345
;; QUERY: 1, ANSWER: 2, AUTHORITY: 2, ADDITIONAL: 1
;; QUERY SECTION:
;; www.linux.bogus, type = A, class = IN

;; ANSWER SECTION:
www.linux.bogus. 3D IN CNAME ns.linux.bogus.
ns.linux.bogus. 3D IN A 192.168.196.2

Cu alte cuvinte, numele real al lui www.linux.bogus este ns.linux.bogus,
si va da si cateva informatii despre “ns” de asemeni, suficient pentru a
va conecta la el daca cere un program.

Acum suntem la jumatatea drumului.

5.3. Zona reverse

Acum programele pot converti numele din linux.bogus in adrese la care se
conecteaza. Dar de asemeni este ceruta o zona reverse, una care sa
faca DNS-ul capabil sa converteasca adresele in nume. Acest nume
este folosit de o multime de servere de diverse tipuri (FTP, WWW, IRC si
altele) pentru a decide daca vor comunica cu dumneavoastra sau nu, si daca
da, ce prioritate vi se va acorda. Pentru acces deplin la toate serviciile
Internet , o zona reverse este necesara.

Puneti aceasta in named.conf:

______________________________________________________________________
zone “196.168.192.in-addr.arpa” {
notify no;
type master;
file “pz/192.168.196″;
};
______________________________________________________________________

Este exact acelasi lucru ca si cu 0.0.127.in-addr.arpa si continuturile
sunt similare:

______________________________________________________________________
$TTL 3D
@ IN SOA ns.linux.bogus. hostmaster.linux.bogus. (
199802151 ; Serial, todays date + todays serial
8H ; Refresh
2H ; Retry
4W ; Expire
1D) ; Minimum TTL
NS ns.linux.bogus.

1 PTR gw.linux.bogus.
2 PTR ns.linux.bogus.
3 PTR donald.linux.bogus.
4 PTR mail.linux.bogus.
5 PTR ftp.linux.bogus.
______________________________________________________________________

Acum restartati named-ul cu “ndc restart” si examinati rezultatele cu “dig”:

______________________________________________________________________
$ dig -x 192.168.196.4 +pfmin
;; res options: init recurs defnam dnsrch
;; got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 8764
;; QUERY: 1, ANSWER: 1, AUTHORITY: 1, ADDITIONAL: 1
;; QUERY SECTION:
;; 4.196.168.192.in-addr.arpa, type = ANY, class = IN

;; ANSWER SECTION:
4.196.168.192.in-addr.arpa. 3D IN PTR mail.linux.bogus.
______________________________________________________________________

deci arata OK, executati “dig” pentru toata configuratia pentru a o examina:

______________________________________________________________________
dig -x 192.168.196 AXFR

; <<>> DiG 8.2 <<>> -x AXFR
$ORIGIN 196.168.192.in-addr.arpa.
@ 3D IN SOA ns.linux.bogus. hostmaster.linux.bogus. (
199802151 ; serial
8H ; refresh
2H ; retry
4W ; expiry
1D ) ; minimum

3D IN NS ns.linux.bogus.
4 3D IN PTR mail.linux.bogus.
2 3D IN PTR ns.linux.bogus.
5 3D IN PTR ftp.linux.bogus.
3 3D IN PTR donald.linux.bogus.
1 3D IN PTR gw.linux.bogus.
@ 3D IN SOA ns.linux.bogus. hostmaster.linux.bogus. (
199802151 ; serial
8H ; refresh
2H ; retry
4W ; expiry
1D ) ; minimum

;; Received 8 answers (8 records).
;; FROM: lookfar to SERVER: 127.0.0.1
;; WHEN: Sat Dec 16 01:44:03 2000
____________________________________________________________________

Arata bine! Daca output-ul dumneavoastra nu arata la fel, cautati eroarea
in mesajele din syslog. Am explicat cum sa faceti aceasta in prima
sectiune la paragraful “Pornirea lui named”.

5.4. Cuvinte de atentionare.

Trebuie sa adaug niste lucruri aici. Numerele IP utilizate in exemplele de
mai sus sunt luate din blocul “retelelor private”, ele nu sunt permise a
se utiliza in Internet, deci sunt potrivite a fi utilizate intr-un exemplu
ca acest HOWTO. Al doilea lucru este numarul de notificare:linia. Acesta
ii spune lui named sa nu notifice serverele secundare (slave)
cand a suferit o actualizare la unul dintre fisierele sale “zone”. In BIND 8
named poate notifica celelalte servere listate in inregistrarile NS in
fisierul “zone” cand o zona este actualizata. Aceasta situatie
este avantajoasa in mod normal. Dar pentru experimente private
cu zone, aceasta optiune ar trebui sa fie dezactivata – nu vrem sa
poluam Internetul cu experimentele noastre, nu?

Si, bineinteles, acest domeniu este total aiurea si la fel
sunt toate adresele din el. Pentru un exemplu real vedeti urmatoarea
sectiune principala.

5.5. De ce nu functioneaza interogarile inverse (reverse lookups).

Sunt cateva “chestii” care in mod normal sunt evitate la interogarile
de nume vazute adesea la configurarea zonelor inverse. Inainte
de a trece mai departe, trebuie ca pe masinile dumneavoastra, interogarile
inverse sa fie functionale pe propriul nameserver. Daca nu functioneaza,
reveniti si puneti totul la punct inainte de a continua.

Voi discuta doua situatii de nefunctionare a interogarilor
inverse, asa cum sunt vazute din afara retelei dumneavoastra.

5.5.1 Zona inversa nu este investita.

Cand cereti unui provider o plaja de adrese si un nume de domeniu,
numele de domeniu este in mod normal investit. Investirea este “eticheta”
pe care NS (Name Server) o inregistreaza si care va ajuta sa treceti de la
un nameserver la altul, asa cum am explicat in “teoria seaca” de mai
sus. Ati citit aceasta, nu-i asa? Daca zona inversa nu functioneaza,
reveniti si cititi-o. Acum.

Zona inversa trebuie de asemeni investita. Daca aveti clasa 192.168.196 de
la provider cu domeniul linux.bogus, ei trebuie sa insereze inregistrarile
NS atat pentru zona directa (forward) cat si pentru cea inversa. Daca
urmati lantul de la in-addr.arpa in sus pana la reteaua dvs, probabil
gasiti o ruptura in acest lant, cel mai probabil la providerul dvs. Gasind
ruptura din lant, contactati providerul si cereti-i sa corecteze eroarea.

5.5.2. Aveti un subnet fara clase.

Acesta este oarecum un subiect avansat, dar subneturile fara clase sunt
ceva comun in ziua de azi si probabil ca aveti unul daca sunteti intr-o
firma mica.

Un subnet fara clase este ceea ce tine Internetul in picioare in
zilele noastre. Cu cativa ani in urma au fost discutii intense cu privire
la limitarile adreselor IP. Tipii de la IETF (Internet Engineering
Task Force – ei mentin Internetul in stare de functionare) si-au stors
creierii si au rezolvat problema. Cu un pret. Pretul este ca veti
obtine mai putin de un subnet de clasa “C” si unele lucruri s-ar putea
sa crape. Va rog consultati ASK MR DNS la:
<http://www.acmebw.com/askmrdns/00007.htm> pentru o buna explicatie
cu privire la aceste lucruri, si cum sa va descurcati.

Ati citit-o? Eu nu o voi explica, asa ca, va rog cititi-o!

Prima parte a acestei probleme este ca ISP-ul dvs. trebuie
sa inteleaga tehnica descrisa de Mr. DNS. Nu toti ISP-stii mici au habar
de aceasta problema. Daca asa sta treaba, va trebui sa le explicati
problema si sa si insistati. Asigurati-va ca ati inteles-o dvs. intai.

Ei vor configura atunci o zona inversa foarte draguta pe serverul lor,
pe care o puteti examina spre corectitudine cu “dig”.

A doua si ultima parte a problemei este ca trebuie sa intelegeti
tehnica. Daca nu sunteti sigur, reveniti si recititi-o. Atunci puteti sa
va configurati propria zona inversa fara clase, asa cum este descrisa
de Mr. DNS.

Mai e o capcana care pandeste aici. Rezolverele vechi nu vor fi capabile
sa urmeze “fenta” cu CNAME in lantul de rezolvare si vor esua in
incercarea de a rezolva invers masina dvs. Rezultatul poate fi acela
ca serverul ii aloca o clasa de acces incorecta,
interzicerea accesului sau ceva de genul aceasta. Daca va impotmoliti
intr-un asemena serviciu, singura solutie (despre care am cunostinta) este
pentru ISP sa insereze inregistrarea dvs. PTR direct in fisierul zonei
fara clase in loc de inregistrare CNAME.

Alte ISP-uri ofera alte cai de a rezolva aceasta problema, cum ar fi
formularele bazate pe Web care va permit sa va introduceti maparile inverse.

5.6. Servere slave (sclav)

Odata ce v-ati setat corect zonele pe serverele master, trebuie sa
configurati macar un server slave (“sclav”). Serverele slave sunt necesare
pentru a asigura robustetea serviciilor. Daca serverul master a picat,
oamenii de pe internet vor putea totusi primit date despre doemeniu de
la serverul slave. Un server slave ar trebui sa fie cat mai indepartat
de dvs posibil si sa imparta cu serverul master cat mai
putine din resursele de alimentare cu energie, LAN, ISP, oras, tara.
Daca toate aceste lucruri sunt diferite de ale serverului master, aveti un
bun server slave.

Un server slave este pur si simplu un nameserver care copie fisierele zone
de la master. Il configurati astfel:

______________________________________________________________________
zone “linux.bogus” {
type slave;
file “sz/linux.bogus”;
masters { 192.168.196.2; };
};
______________________________________________________________________

Un mecanism numit trasfer de zone este folosit pentru a copia datele.
Transferul de zone este controlat de inregistrarea SOA:

______________________________________________________________________
@ IN SOA ns.linux.bogus. hostmaster.linux.bogus. (
199802151 ; serial, todays date + todays serial
8H ; refresh, seconds
2H ; retry, seconds
4W ; expire, seconds
1D ) ; minimum, seconds
______________________________________________________________________

O zona este transferata doar daca numarul serial al masterului este mai
mare decat al slave-ului. Dupa fiecare interval de refresh, slave-ul
va verifica daca masterul a fost actualizat.
Daca verificarea esueaza (pentru ca masterul nu este disponibil)
va reincerca verificarea. Daca va continua sa esueze atat timp cat dureaza
intervalul de expirare, slave-ul va sterge zona din propriul sistem de
fisiere si nu va mai actiona ca server pentru acea zona.

6. Optiuni fundamentale de securitate.

de Jamie Norrish

Seterea optiunilor de configurare pentru a reduce posibilitatea aparitiei
problemelor

Sunt cativa pasi simpli pe care ii puteti parcurge si care va vor asigura
un server mai sigur si totodata ii vor reduce incarcarea. Materialul
prezentat aici nu este mai mult decat un puct de plecare. Daca va preocupa
securitatea (si ar trebui sa va preocupe), va rog sa consultati si
alte resurse de pe Internet (vedeti “ultimul capitol”).

Urmatoarele directive de configurare apar in named.conf.
Daca o directiva apare in sectiunea “options” din fisier, se
aplica tuturor zonelor listate in acel fisier. Daca apare in optiunile
unei zone, se aplica numai acelei zone. On optiune dintr-o
zona suprascrie, anuleaza o inregistrare din zona “options”.

6.1. Restrictionarea trasferului pe zone.

Pentru ca serverele slave sa fie capabile sa raspunda interogarilor spre
domeniul dvs. trebuie sa fie capabile sa transfere informatia zona de la
serverul primar. In foarte putine cazuri e nevoie de aceasta. De
aceea, restrictionati transferurile pe zona, folosind optiunea
“allow-trasfer”. Presupunand ca 194.168.1.4 este adresa IP a lui
ns.friend.bogus, si adaugandu-va in scop de depanare:

______________________________________________________________________
zone “linux.bogus” {
allow-transfer { 192.168.1.4; localhost; };
};
______________________________________________________________________

Restrictionand transferul pe zone, va asigurati ca singura
informatie disponibila utilizatorilor este cea pe care acestia o cer
direct = nimeni nu poate cere, interoga toate detaliile configurarii dvs.

6.2. Protectia impotriva spoofing-ului.

In primul rand, dezactivati orice interogari pentru domenii care nu va
apartin, cu exceptia masinii dvs. interne/locale. Aceasta nu
doar preintampina utilizarea frauduloasa a serverului dvs. DNS, dar reduce
si utilizarea ne-necesara a acestuia.

______________________________________________________________________
options {
allow-query { 192.168.196.0/24; localhost; };
};

zone “linux.bogus” {
allow-query { any; };
};

zone “196.168.192.in-addr.arpa” {
allow-query { any; };
};
______________________________________________________________________

Mai departe, dezactivati interogarile recursive cu exceptia celor de
la masinile locale/interne. Aceasta reduce riscul atacurilor
prin “otravirea” cache-ului, cand date false alimenteaza serverul.

______________________________________________________________________
options {
allow-recursion { 192.168.196.0/24; localhost; };
};
______________________________________________________________________

6.3. Rularea lui named ca non-root.

Este o idee buna sa rulati named ca utilizator altul decat root, asa incat
daca acesta este compromis, privilegiile castigate de catre cracker
sa fie cat mai limitate. Intai trebuie sa creati un grup si un
utilizator sub care named sa ruleze, si apoi sa modificati scriptul pe
care il folositi pentru a porni named. Transferati noul grup si utilizator
catre named folosind flagurile -d si -u.

De exemplu, in Debian GNU/Linux 2.2 ati putea modifica scriptul /etc/init.d/bind
pentru a contine urmatoarea linie (unde userul si grupul “named” au fost
deja create):

______________________________________________________________________
start-stop-daemon –start –quiet –exec /usr/sbin/named — -u named -g named
______________________________________________________________________

La fel se procedeaza si cu RedHat si cu celelalte distributii. Dave Lugo a
descris un setup dual chroot
<http://www.etherboy.com/dns/chrootdns.html> care s-ar putea
sa fie interesant de citit.

7. Un exemplu real de domeniu.

Unde vom lista fisiere reale de zona.

Utilizatorii mi-au sugerat sa includ un exemplu real de domeniu, ca si
unul tutorial, de instructaj.

Folosesc acest exemplu cu permisiunea lui David Bullock de la LAND-5.
Aceste fisiere dateaza din 24 septembrie 1996, si au fost editate pentru a
se conforma restrictiilor BIND 8 si folosesc extensii scrise
de mine. Deci, ceea ce vedeti aici s-ar putea sa difere de ceea
ce ati putea afla interogand LAND-5 acum.

7.1. /etc/named.conf (sau /var/named/named.conf)

Aici gasim zona master pentru cele doua zone inverse necesare: reteaua
127.0.0 si subreteaua (subnetul) de la LAND-5 206.6.177 ca linie primara
pentru zona de forward a LAND-5 land-5.com. Observati ca in loc ca toate
fisierele sa fie adunate nu in directorul “pz” asa cum am facut in acest
HOWTO, le pune intr-un director numit “zone”.

______________________________________________________________________
// Boot file for LAND-5 name server

options {
directory “/var/named”;
};

zone “.” {
type hint;
file “root.hints”;
};

zone “0.0.127.in-addr.arpa” {
type master;
file “zone/127.0.0″;
};

zone “land-5.com” {
type master;
file “zone/land-5.com”;
};

zone “177.6.206.in-addr.arpa” {
type master;
file “zone/206.6.177″;
};
______________________________________________________________________

Daca puneti aceasta in fisierul dvs. named.conf spre a va juca, VA ROG
puneti “notify no: ” in sectiunea zone, pentru cele doua zone land-5,
spre a evita incidentele.

7.2. /var/named/root.hints

Tineti minte ca acest fisier este dinamic, iar cel listat aici este
vechi. Mai bine folositi unul produs cu “dig” asa cum am
explicat mai devreme:

______________________________________________________________________
; <<>> DiG 8.1 <<>> @A.ROOT-SERVERS.NET.
; (1 server found)
;; res options: init recurs defnam dnsrch
;; got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 10
;; flags: qr aa rd; QUERY: 1, ANSWER: 13, AUTHORITY: 0, ADDITIONAL: 13
;; QUERY SECTION:
;; ., type = NS, class = IN

;; ANSWER SECTION:
. 6D IN NS G.ROOT-SERVERS.NET.
. 6D IN NS J.ROOT-SERVERS.NET.
. 6D IN NS K.ROOT-SERVERS.NET.
. 6D IN NS L.ROOT-SERVERS.NET.
. 6D IN NS M.ROOT-SERVERS.NET.
. 6D IN NS A.ROOT-SERVERS.NET.
. 6D IN NS H.ROOT-SERVERS.NET.
. 6D IN NS B.ROOT-SERVERS.NET.
. 6D IN NS C.ROOT-SERVERS.NET.
. 6D IN NS D.ROOT-SERVERS.NET.
. 6D IN NS E.ROOT-SERVERS.NET.
. 6D IN NS I.ROOT-SERVERS.NET.
. 6D IN NS F.ROOT-SERVERS.NET.

;; ADDITIONAL SECTION:
G.ROOT-SERVERS.NET. 5w6d16h IN A 192.112.36.4
J.ROOT-SERVERS.NET. 5w6d16h IN A 198.41.0.10
K.ROOT-SERVERS.NET. 5w6d16h IN A 193.0.14.129
L.ROOT-SERVERS.NET. 5w6d16h IN A 198.32.64.12
M.ROOT-SERVERS.NET. 5w6d16h IN A 202.12.27.33
A.ROOT-SERVERS.NET. 5w6d16h IN A 198.41.0.4
H.ROOT-SERVERS.NET. 5w6d16h IN A 128.63.2.53
B.ROOT-SERVERS.NET. 5w6d16h IN A 128.9.0.107
C.ROOT-SERVERS.NET. 5w6d16h IN A 192.33.4.12
D.ROOT-SERVERS.NET. 5w6d16h IN A 128.8.10.90
E.ROOT-SERVERS.NET. 5w6d16h IN A 192.203.230.10
I.ROOT-SERVERS.NET. 5w6d16h IN A 192.36.148.17
F.ROOT-SERVERS.NET. 5w6d16h IN A 192.5.5.241

;; Total query time: 215 msec
;; FROM: roke.uio.no to SERVER: A.ROOT-SERVERS.NET. 198.41.0.4
;; WHEN: Sun Feb 15 01:22:51 1998
;; MSG SIZE sent: 17 rcvd: 436
______________________________________________________________________

7.3. /var/named/zone/127.0.0

Doar bazele, inregistrarea SOA obligatorie, si o inregistrare
care mapeaza 127.0.0.1 catre localhost. Ambele sunt necesare. Nimic mai
mult nu ar trebui sa fie in acest fisier. Nu vor
trebui niciodata updatate, decat daca nameserver-ul sau adresa hostmaster
a dvs se modifica.

______________________________________________________________________
@ IN SOA land-5.com. root.land-5.com. (
199609203 ; Serial
28800 ; Refresh
7200 ; Retry
604800 ; Expire
86400) ; Minimum TTL
NS land-5.com.

1 PTR localhost.
______________________________________________________________________

Daca veti cauta intr-o instalare BIND aleatorie, veti observa probabil
ca linia $TTL lipseste. Nu a fost folosita inainte si doar versiunea 8.2
BIND avertizeaza asupra lipsei acesteia. Va recomand sa puneti linia $TTL
in fisierele zona cand observati ca lipseste.

7.4. /var/named/zone/land-5.com

Aici observam inregistrarea SOA obligatorie, inregistrarea
NS necesara. Putem vedea ca are un nameserver secundar la ns2.psi.net. Asa
ar trebui sa fie, intotdeauna sa fie un al doilea nameserver
in afara retelei, ca backup. Observam ca exista un host master numit
land-5 care se ocupa de multiplele servicii Internet, si ca acesta
este inregistrat cu CNAME ( o alternativa este utilizarea inregistrarii A).

Asa cum vedem din inregistrarea SOA, fisierul zona incepe cu land-5.com,
persoana de contact este root@land-5.com. hostmaster este o alta
adresa folosita adesea pentru persoana de contact. Numarul serial este
obisnuitul format yyyymmdd cu numarul serial de astazi adaugat. Aceasta
este probabil a sasea versiune a fisierului zona, din 20
septembrie 1996. Tineti minte ca numarul serial trebuie sa creasca
monoton, aici este un singur digit pentru numarul serial de astazi, dupa 9
editari va trebui sa astepam pana maine inainte
de a edita din nou fisierul. Ganditi-ba la posibilitatea de a folosi 2
digiti.

______________________________________________________________________
@ IN SOA land-5.com. root.land-5.com. (
199609206 ; serial, todays date + todays serial
8H ; refresh, seconds
2H ; retry, seconds
4W ; expire, seconds
1D ) ; minimum, seconds
NS land-5.com.
NS ns2.psi.net.
MX 10 land-5.com. ; Primary Mail Exchanger
TXT “LAND-5 Corporation”

localhost A 127.0.0.1

router A 206.6.177.1

land-5.com. A 206.6.177.2
ns A 206.6.177.3
www A 207.159.141.192

ftp CNAME land-5.com.
mail CNAME land-5.com.
news CNAME land-5.com.

funn A 206.6.177.2

;
; Workstations
;
ws-177200 A 206.6.177.200
MX 10 land-5.com. ; Primary Mail Host
ws-177201 A 206.6.177.201
MX 10 land-5.com. ; Primary Mail Host
ws-177202 A 206.6.177.202
MX 10 land-5.com. ; Primary Mail Host
ws-177203 A 206.6.177.203
MX 10 land-5.com. ; Primary Mail Host
ws-177204 A 206.6.177.204
MX 10 land-5.com. ; Primary Mail Host
ws-177205 A 206.6.177.205
MX 10 land-5.com. ; Primary Mail Host
; {Many repetitive definitions deleted – SNIP}
ws-177250 A 206.6.177.250
MX 10 land-5.com. ; Primary Mail Host
ws-177251 A 206.6.177.251
MX 10 land-5.com. ; Primary Mail Host
ws-177252 A 206.6.177.252
MX 10 land-5.com. ; Primary Mail Host
ws-177253 A 206.6.177.253
MX 10 land-5.com. ; Primary Mail Host
ws-177254 A 206.6.177.254
MX 10 land-5.com. ; Primary Mail Host
______________________________________________________________________

Daca veti examina nameserverul lui land-5, veti observa ca numele
hosturilor sunt exprimate in forma ws_number. De la ultimele versiuni de
BIND4 ,named a inceput sa intareasca restrictiile in legatura
cu caracterele ce pot fi folosite in numele hosturilor. Asa ca aceasta
nu functioneaza sub BIND8, asa ca am inlocuit caracterul “-” (liniuta)
cu caracterul “_” pentru a fi folosit in acest HOWTO.

Un alt lucru de remarcat este ca statiile de lucru nu au nume individuale,
ci mai curand un prefix urmat de doua din ultimile parti ale
IP-ului. Folosirea unei astfel de conventii poate simplifica
intretinerea semnificativ, dar poate fi un pic impersonala si,
in fapt, o sursa de iritare printre clientii dumneavoastra.

De asemeni, observam ca funn.land-5.com este un alias
pentru land-5.com, dar folosind inregistrarea A nu CNAME. Aceasta este o
buna politica, asa cum am spus si mai devreme.

7.5. /var/named/zone/206.6.177

Voi face comentariile dupa acest fisier:

______________________________________________________________________
@ IN SOA land-5.com. root.land-5.com. (
199609206 ; Serial
28800 ; Refresh
7200 ; Retry
604800 ; Expire
86400) ; Minimum TTL
NS land-5.com.
NS ns2.psi.net.
;
; Servers
;
1 PTR router.land-5.com.
2 PTR land-5.com.
2 PTR funn.land-5.com.
;
; Workstations
;
200 PTR ws-177200.land-5.com.
201 PTR ws-177201.land-5.com.
202 PTR ws-177202.land-5.com.
203 PTR ws-177203.land-5.com.
204 PTR ws-177204.land-5.com.
205 PTR ws-177205.land-5.com.
; {Many repetitive definitions deleted – SNIP}
250 PTR ws-177250.land-5.com.
251 PTR ws-177251.land-5.com.
252 PTR ws-177252.land-5.com.
253 PTR ws-177253.land-5.com.
254 PTR ws-177254.land-5.com.
______________________________________________________________________

Zona inversa este partea de configurare care da dureri de cap. Este
folosita pentru a identifica numele de host daca aveti IP-ul
unei masini. Exemplu: sunteti un server IRC si acceptati conexiuni de la
clientii IRC. Oricum, sunteti un server norvegian si acceptati
doar conexiuni de la clientii din Norvegia si celelalte tari scandinave.
Cand primiti o conexiune de la un client, biblioteca C e capabila sa
va spune IP-ul masinii client, pentru ca numarul IP este continut in toate
pachetele care traverseaza reteaua. Acum puteti invoca o functie
numita gethostbyaddr care cauta numele unui host avand data adresa IP.
Gethostbyaddr va interoga un server DNS, care va traversa reteaua
de servere DNS cautand masina respectiva. Sa presupunem ca conexiunea client
este de la ws-177200.land-5.com. Numarul IP pe care biblioteca C il
livreaza catre serverul IRC este 206.6.177.200. Pentru a afla numele
acelei masini trebuie sa gasim 200.177.6.206.in-addr.arpa. Serverul DNS va
trebui intai sa gaseasca serverele arpa. , apoi in-addr.arpa. ,
urmand calea inversa spre 206, apoi 6, in final gasind serverul pentru
177.6.206.in-addr.arpa la LAND-5. De unde va lua raspunsul final, cum ca
pentru 200.177.6.206.in-addr.arpa avem o inregistrare “PTR
ws-177200.land-5.com” insemnand ca numele care insoteste 206.6.177.200
este ws-177200.land-5.com.

Inapoi la exemplul cu serverele IRC. Serverul IRC accepta doar conexiuni
din tari scandinave, de exemplu: *.no, *.se, *.dk, numele
ws-177200.land-5.com e clar ca nu indeplineste aceasta conditie si
serverul ii va respinge conexiunea. Daca nu a fost
mapare inversa a lui 206.2.177.200 prin zona in-addr.arpa serverul nu va
fi capabil sa gaseasca numele deloc si nici sa compare 206.2.177.200
cu *.no, *.se and *.dk, asa ca acestea nu se vor potrivi nicicum.

Unii va vor spune ca maparea inversa nu este importanta pentru servere sau
nu este importanta deloc. Nu este asa: multe servere FTP, news, IRC
si unele servere WWW (web) nu vor accepta conexiuni de la masini ale caror
nume nu le pot afla. Deci maparea inversa este de fapt obligatorie
si necesara.

8. Intretinere.

Tineti-l in viata.

Exista o sarcina de intretinere cand aveti de-a face cu named-uri, alta
decat a le mentine ruland. Aceea de a mentine fisierul
root.hints actualizat, la zi. Cea mai usoara cale este cu “dig”. Prima
data rulati “dig” fara nici un argument, si veti obtine datele din
“root.hints” conform propriului nameserver. Apoi interogati unul
dintre rootservere listate cu “dig @rootserver”. Veti observa ca
rezultatul seamana foarte bine cu un
fisier “root.hints”. Salvati-l intr-un fisier (dig
@e.root-servers.net . ns >root.hints.new) si inlocuiti vechiul
root.hints cu el.

Nu uitati sa restartati named dupa inlocuirea fisierului cache.

Al Longyear mi-a trimis acest script care rulat, poate actualiza automat
fisierul root.hints. Instalati-l intr-o intrare crontab pentru a
fi rulat odata pe luna si puteti uita de el. Scriptul presupune ca
va merge serviciul de mail si ca este definita adresa de hostmaster.
Puteti sa il modificati pentru a se potrivi configuratiei dvs.

______________________________________________________________________
#!/bin/sh
#
# Update the nameserver cache information file once per month.
# This is run automatically by a cron entry.
#
# Original by Al Longyear
# Updated for BIND 8 by Nicolai Langfeldt
# Miscelanious error-conditions reported by David A. Ranch
# Ping test suggested by Martin Foster
# named up-test suggested by Erik Bryer.
#
(
echo “To: hostmaster <hostmaster>”
echo “From: system <root>”

# Is named up? Check the status of named.
case ‘ndc status 2>&1 in
*’cannot connect to command channel’*)
echo “named is DOWN. root.hints was NOT updated”
echo
exit 0
;;
esac
PATH=/sbin:/usr/sbin:/bin:/usr/bin:
export PATH
# NOTE: /var/named must be writable only by trusted users or this script
# will cause root compromise/denial of service opportunities.
cd /var/named 2>/dev/null || {
echo “Subject: Cannot cd to /var/named, error $?”
echo
echo “The subject says it all”
exit 1
}

# Are we online? Ping a server at your ISP
case ‘ping -qnc 1 some.machine.net 2>&1′ in
*’100% packet loss’*)
echo “Subject: root.hints NOT updated. The network is DOWN.”
echo
echo “The subject says it all”
exit 1
;;
esac

dig @e.root-servers.net . ns >root.hints.new 2> errors

case ‘cat root.hints.new’ in
*NOERROR*)
# It worked
:;;
*)
echo “Subject: The root.hints file update has FAILED.”
echo
echo “The root.hints update has failed”
echo “This is the dig output reported:”
echo
cat root.hints.new errors
exit 1
;;
esac

echo “Subject: The root.hints file has been updated”
echo
echo “The root.hints file has been updated to contain the following
information:”
echo
cat root.hints.new

chown root.root root.hints.new
chmod 444 root.hints.new
rm -f root.hints.old errors
mv root.hints root.hints.old
mv root.hints.new root.hints
ndc restart
echo
echo “The nameserver has been restarted to ensure that the update is complete”
echo “The previous root.hints file is now called
/var/named/root.hints.old.”
) 2>&1 | /usr/lib/sendmail -t
exit 0
______________________________________________________________________

Unii dintre dvs v-ati prins ca fisierul root.hints este disponibil
prin ftp din Internic. Va rog nu folositi ftp
pentru a actualiza root.hints, metoda de mai sus este mult mai prietenoasa
pentru net si Internic.

9. Conversia de la versiunea 4 la versiunea 8.

Aceasta a fost la inceput o sectiune despre folosirea lui BIND 8 scrisa de
David E. Smith (dave@bureau42.ml.org). Am editat cate ceva pentru a
se potrivi noului nume al sectiunii.

Nu sunt prea multe de spus. Cu exceptia inlocuirii fisierului named.boot
cu named.conf, restul este identic. Iar BIND 8 vine cu un script PERL care
converteste totul de la vechiul la noul format. Exemplu de fisier
named.boot (vechiul stil) pentru caching nameserver:

______________________________________________________________________
directory /var/named
cache . root.hints
primary 0.0.127.IN-ADDR.ARPA 127.0.0.zone
primary localhost localhost.zone
______________________________________________________________________

In linia de comanda, in directorul bind8/src/bin/named (aceasta presupune
ca aveti sursele distributiei). Daca aveti pachetul binar, scriptul e prin
preajma… Dati comanda :

______________________________________________________________________
./named-bootconf.pl < named.boot > named.conf
______________________________________________________________________

care va crea named.conf:

______________________________________________________________________
// generated by named-bootconf.pl

options {
directory “/var/named”;
};

zone “.” {
type hint;
file “root.hints”;
};

zone “0.0.127.IN-ADDR.ARPA” {
type master;
file “127.0.0.zone”;
};

zone “localhost” {
type master;
file “localhost.zone”;
};
______________________________________________________________________

Functioneaza pentru orice intra intr-un fisier named.boot, desi nu
adauga toate imbunatatirile si optiunile de configuratie pe care
le permite BIND8. Aici este un named.conf care face aceleasi
lucruri, dar ceva mai eficient:

______________________________________________________________________
// This is a configuration file for named (from BIND 8.1 or later).
// It would normally be installed as /etc/named.conf.
// The only change made from the tock’ named.conf (aside from this
// comment is that the directory line was uncommented, since I
// already had the zone files in /var/named.

options {
directory “/var/named”;
datasize 20M;
};

zone “localhost” IN {
type master;
file “localhost.zone”;
};

zone “0.0.127.in-addr.arpa” IN {
type master;
file “127.0.0.zone”;
};

zone “.” IN {
type hint;
file “root.hints”;
};
______________________________________________________________________

In directorul bind8/src/bin/named/test din distributia BIND 8
gasiti aceasta si copii ale fisierelor zona, pe care multi utilizatori
le pot instala si folosi ca atare. Formatele pentru fisierele root.hints
si fisierele zone sunt identice, ca si comenzile pentru actualizarea lor.

10 Intrebari si raspunsuri.

Va rog sa cititi aceasta sectiune inainte de a imi trimite e-mail.

1. named-ul meu “vrea” un fisier named.boot

Cititi un HOWTO gresit.Vedeti vechea versiune a acestui HOWTO, care
studiaza BIND4 la <http://www.math.uio.no/~janl/DNS/>

2. Cum folosesc DNS-ul din interiorul unui firewall ?

Indicatie: forward-only . Sau puteti folosi

___________________________________________________________________
query-source port 53;

___________________________________________________________________

in sectiunea “options” a lui named.conf.

3. Cum fac DNS-ul sa se “plimbe” prin adresele disponibile, pentru
un serviciu, sa zicem www.busy.site, pentru a obtine un efect de
egalizare a incarcarii (loadbalancing), sau similar?

Faceti cateva inregistrari “A” pentru www.busy,site si folositi BIND
4.9.3 sau mai nou. Atunci, BIND va functiona ca perpetuum-mobile in
cautare de raspunsuri. Nu va functiona cu versiuni mai vechi de BIND.

4. Vreau sa configurez un DNS intr-un Intranet (inchis). Cum fac?

Lasati fisierul root.hints si ocupati-va numai de fisierele zone.
Asta inseamna de asemeni ca nu trebuie sa actualizati fiserul .hint
tot timpul

5. Cum configurez un server secundar (slave) ?

Daca serverul primar/master are adresa 127.0.0.1, puneti o linie ca
aceasta in named.conf-ul de la serverul secundar:

___________________________________________________________________
zone “linux.bogus” {
type slave;
file “sz/linux.bogus”;
masters { 127.0.0.1; };
};

___________________________________________________________________

Puteti lista si alte servere master de unde pot fi copiate zonele,
separate de punct si virgula “;”

6. Vreau sa rulez BIND cand sunt deconectat de la Internet.

Sunt patru chestiuni privind aceasta problema:

- Specific lui BIND 8, Adam L Rice mi-a trimis acest e-mail despre cum
sa rulezi DNS fara dureri de cap pe o masina dialup:

Am descoperit in noile versiuni ca acest fisier [<em/shuffeling files,
-ed/] nu mai este necesar. Exista o directiva “forward” pe linga
“forwarderi”, directiva care controleaza cum aceastia sunt
utilizati. Setarea implicita este “forward first”, care interogheaza intai
fiecare dintre “forwarderi”, apoi incearca abordarea normala
daca prima varianta esueaza. Aceasta face ca functia gethostbyname() sa se
comporte familiar, luand un timp foarte lung cand legatura
nu functioneaza. Dar daca “forward only” este setat, BIND renunta cand
nu primeste un raspuns de la forwarderi iar gethostbyname() raspunde
imediat.

In cazul meu, am adaugat liniile:

forward only;
forwarders { 193.133.58.5; };

in sectiunea options { } din fisierul meu named.conf. Functioneaza
foarte frumos, singurul dezavantaj este ca reduce o incredibil
de sofisticata masinarie software care este DNS la statutul de cache
chior. As fi preferat sa pot rula un cache simplu in loc, dar nu exita asa
ceva care sa inlocuiasca DNS pentru Linux.

- Am receptionat acest mail de la Ian Clark <ic@deakin.edu.au> unde
el explica modul in care face aceasta:

Rulez named pe masina mea “masquerade” (cu mascaradare). Am doua fisiere
root.hints, unul numita root.hints.real care contine numele reale ale
root-serverelor si celalalt numit root.hints.fake care contine…

—-
; root.hints.fake
; this file contains no information
—-

cand inchid conexiunea (dialup), copii root.hints.fake peste root.hints si
restartez named.
Cand pornesc conexiunea, copii root.hints.real peste root.hints
si restartez named. Asta o fac din ip-up si ip-down. Prima data cand fac o
interogare offline pe un nume de domeniu, named nu are detalii de oferit
si pune o intrare ca aceasta in mesaje:

Jan 28 20:10:11 hazchem named[10147]: No root nameserver for class IN

care nu ma deranjeaza.

Deci functioneaza cu siguranta. Pot folosi nameserverul pentru
masinile locale cand sunt deconectat de la Internet fara intarzieri de
timeout pentru interogarile domeniilor externe.

Peter Denison crede ca Ian nu a ajuns prea departe. El scrie:

Cand sunt conectat) alimenteaza toate intrarile din cache (si reteaua locala)
imediat, pentru intrarile reinregistrate in cache,
forward catre nameserver-ul ISP-ului

Cand nu sunt conectat) alimenteaza interogarile retelei locale
imediat, abandoneaza orice alte interogari IMEDIAT

Combinatia dintre schimbarea fisierului root cache si interogarile forward
nu functioneaza.

Deci am configurat (cu unele discutii pe Linux User Group-ul local) doua
named-uri, dupa cum urmeaza:

named-online: forwards to ISPs nameserver
master for localnet zone
master for localnet reverse zone (1.168.192.in-addr.arpa)
master for 0.0.127.in-addr.arpa
listens on port 60053

named-offline: no forwarding
“fake” root cache file
slave for 3 local zones (master is 127.0.0.1:60053)
listens on port 61053

Si combinand aceasta cu port-forwarding-ul, pentru a trimite portul
53 catre portul 61053 cand suntem off-line si catre portul 60053 cand
suntem online (folosesc noul pachet netfilter sub 2.3.18, dar si vechiul
mecanism ipchains functioneaza).

Observati ca aceasta nu va merge chiar “din tzeava” de vreme ce exista
un mic bug in BIND 8.2 pe care l-am semnalat dezvoltatorilor,
care impiedica un server slave sa aiba un master pe aceiasi adresa iP
(chiar si pe un port diferit).

- Am primit informatii despre cum BIND interactioneaza cu NFS si
portmapper-ul pe o masina mai mult off-line, de la Karl-Max Wanger :

Obisnuiesc sa rulez propriul meu named pe toate masinile care se
conecteaza ocazional la Internet prin modem. Nameserverul singur
actioneaza ca un cache, nu are nici o arie de autoritate, si
interogheaza serverele din fisierul root.cache. Ca de obicei in Slackware,
este pornit inainte de nfsd si mountd.

Cu una dintre masinile mele (un notebook Libretto 30) am avut probleme
ca adesea nu puteam sa il montez dintr-un sistem conectat la reteaua mea
LAN. Aceleasi probleme le aveam si din punct de vedere
al legaturilor PPP sau PLIP.

Dupa ceva timp de cercetari si experimente am constatat ca named s-a
incurcat in inregistrarea serviciilor initiate de nfsd si mountd precum si
cu portmapper-ul. Pornind named-ul dupa nfsd si mountd, am scapat complet
de probleme.

Cum nu sunt dezavantaje de asteptat in urma unei asemenea modificari
in ordinea de boot, recomand tuturor sa treaca la aceasta,
pentru a preintampina necazurile.

- In final, exista ceva informatii despre aceasta la Ask MR. DNS la
<http://www.acmebw.com/askmrdns/#linux-dialup>. Este despre BIND
4, asa ca trebuie sa faceti adaptari la BIND 8.

7. Unde stocheaza caching-nameserver-ul cache-ul si cum pot controla
dimensiunea acestuia?

Cache-ul este stocat complet in memorie, nu este scris pe disc in nici
un moment. De fiecare data cand dati kill lui named, cache-ul este
pierdut. Cache-ul nu este controlabil nicicum, named il controleaza dupa
cateva reguli simple, si cam asta e tot. Nu puteti controla cache-ul sau
dimensiunea acestuia nicicum si pentru nici un motiv. Daca
doriti neaparat, puteti incerca sa hackuiti named , dar nu este recomandat.

8. Named-ul salveaza cache-ul intre restart-uri? Pot sa il fac sa salveze?

NU, named nu salveaza cache-ul cand dispare. Aceasta inseamna ca
cache-ul trebuie reconstruit de la zero de fiecare data cand named
este repornit. Nu exista nici o metoda de a-l face pe named sa salveze
cache-ul intr-un fisier.

9. Cum imi procur un domeniu? Vreau sa imi configurez propriul
domeniu, denumit de exemplu linux-rules.net. Cum pot sa obtin domeniul
pe care il doresc alocat mie?

Va rog sa va contactati provider-ul. Ei va vor putea ajuta cu
aceasta. Aveti in vedere ca in cele mai multe parti ale lumii,
aceast lucru costa (obtinerea unui nume de domeniu).

10. Cum securizez serverul meu DNS? Cum configurez un DNS split? (separat)

Ambele sunt chestiuni avansate si sunt analizate in
<http://www.etherboy.com/dns/chrootdns.html>. de aceea nu le voi
expune aici.

11. Cum sa devii un DNS de talie mare.

Documentatii si utilitare.

Exista documentatie “reala”. Online si tiparita. Citirea acesteia este
necesara pentru a face pasul de la un administrator DNS de mica anvergura
la unul de talie mare. Am tiparit Ghidul Concis al DNS si BIND
(Nicolai Langfeldt) publicata de QUE (ISDN 0-7897-2273-9). Cartea seamana
cu acest HOWTO. Doar mai multe detalii si mai multe despre toate aspectele.
Dar cartea standard este “DNS and BIND by C. Liu and P. Albitz
from O’Reilly & Associates (ISBN 0-937175-82-X). Este excelenta.
Faceti rost de editia a 3-a, care acopera BIND 8 ca si BIND 4. Exista de
asemeni o sectiune DNS si in TCP/IP Network Administration Guide. by Craig
Hunt from O’Reilly (ISBN 0-937175-82-X). O alta carte buna si pentru DNS
si pentru orice este Zen and the Art of Motorcycle Maintenance (Zen si
arta intretinerii motocicletei de Robert M. Pirsig ISBN 0688052304\
si altii.

Online veti gasi multe chestii la: <http://www.dns.net/dnsrd/> (DNS
Resources Directory), <http://www.isc.org/bind.html>; FAQ si manual
de referinta (BOG; BIND Operations Guide) ca si documente si definitii de
protocol si “hack-uri” DNS (acestea – ma rog, nu toate- ca si RFC-urile
sunt continute in distributia BIND). N-am citit chiar toate aceastea,
dar nici mare administrator DNS nu sunt. Arnt Gulbrandsen pe de
alta parte a citit BOG (BIND Operation Guide) si este extaziat de acesta
Newsgrupul <news:comp.protocols.tcp-ip.domains> este despre DNS.
Pe langa asta, exista un numar de RFC-uri despre DNS, cele mai
importante sunt probabil cele listate aici. Cele care au BCP (Best Current
Practice) sunt cele mai recomandate.

RFC 2671
P. Vixie, Extension Mechanisms for DNS (EDNS0) August 1999.

RFC 2317
, BCP 20, H. Eidnes et. al. Classless IN-ADDR.ARPA delegation,
March 1998. This is about CIDR, or classless subnet reverse
lookups.

RFC 2308
, M. Andrews, Negative Caching of DNS Queries, March 1998.
About negative caching and the $TTL zone file directive.

RFC 2219
, BCP 17, M. Hamilton and R. Wright, Use of DNS Aliases for
Network Services, October 1997. About CNAME usage.

RFC 2182
, BCP 16, R. Elz et. al., Selection and Operation of Secondary
DNS Servers, July 1997.

RFC 2052
A. Gulbrandsen, P. Vixie, A DNS RR for specifying the location
of services (DNS SRV), October 1996

RFC 1918
Y. Rekhter, R. Moskowitz, D. Karrenberg, G. de Groot, E. Lear,
Address Allocation for Private Internets, 02/29/1996.

RFC 1912
D. Barr, Common DNS Operational and Configuration Errors,
02/28/1996.

RFC 1912 Errors
B. Barr Errors in RFC 1912, this is available at
<http://www.cis.ohio-state.edu/~barr/rfc1912-errors.html>

RFC 1713
A. Romao, Tools for DNS debugging, 11/03/1994.

RFC 1712
C. Farrell, M. Schulze, S. Pleitner, D. Baldoni, DNS Encoding of
Geographical Location, 11/01/1994.

RFC 1183
R. Ullmann, P. Mockapetris, L. Mamakos, C. Everhart, New DNS RR
Definitions, 10/08/1990.

RFC 1035
P. Mockapetris, Domain names – implementation and specification,
11/01/1987.

RFC 1034
P. Mockapetris, Domain names – concepts and facilities,
11/01/1987.

RFC 1033
M. Lottor, Domain administrators operations guide, 11/01/1987.

RFC 1032
M. Stahl, Domain administrators guide, 11/01/1987.

RFC 974
C. Partridge, Mail routing and the domain system, 01/01/1986.

1.Economia digitala si impactul ei asupra societatii

Utilizarea larga a tehnologiilor informatiei si comunicatiilor si progresul catre

Societatea Informationala asigura cresterea economica in conditii de protectie

sporita a mediului, accelerand reducerea consumului fizic in favoarea valorificarii

informatiei si a cunoasterii, deplasarea centrului de greutate de la investitii in

mijloacele fixe la investitii in capitalul uman. In acest mod,

Societatea Informationala integreaza si obiectivele dezvoltarii durabile,

bazata pe dreptate sociala si egalitatea sanselor, libertate, diversitate

culturala si dezvoltare inovativa, protectie ecologica, restructurarea industriei

si a mediului de afaceri.

Schimbarile majore din ultimii ani – cresterea exponentiala a comunicatiilor mobile

si a numarului utilizatorilor de Internet, contributia sectorului TIC (tehnologiile

informatiei si comunicatiilor) la cresterea economica si la crearea de locuri de munca,

restructurarea companiilor si a business-ului in general pentru a beneficia mai eficient

de noile tehnologii, dezvoltarea accelerata a comertului electronic – sustin tranzitia de

la era industriala la cea post – industriala.

Noile tehnologii digitale fac accesul, stocarea si transmiterea informatiei din ce in

ce mai facile si mai accesibile. Dispunand de informatia digitala, aceasta poate fi

transformata in noi valori economice si sociale, creand imense oportunitati pentru

dezvoltarea de noi produse si servicii. Informatia devine resursa-cheie pentru economia digitala.

Notiunea de “noua economie” (economia digitala) se refera in special la transformarile

actuale ale activitatilor economice ca rezultat al utilizarii tehnologiilor digitale,

care asigura accesul, prelucrarea si stocarea informatiei intr-o maniera mai ieftina

si mai facila. Noua economie este caracterizata de intensificarea inglobarii cunoasterii

in noile produse si servicii, cresterea importantei invatarii si a inovarii, a

globalizarii si a dezvoltarii durabile. Volumul enorm al informatiilor schimba modul

de functionare a pietelor, facand posibile restructurarea intreprinderilor si aparitia

de noi oportunitati pentru crearea de valoare prin exploatarea informatiilor disponibile.

In prezent, exista ample dezbateri in mass-media internationala si in mediile politice

asupra intrebarii daca aceste modificari sunt suficient de radicale pentru a merita

eticheta de “noua economie”. La originea acestor dezbateri stau performantele

exceptionale ale economiei americane: 8 ani de crestere continua, cresterea anuala

de peste 4% in ultimii ani, inflatia controlata sub 2%, somajul sub 5%.

Construirea noului model de societate ridica probleme socio-politice majore – atat

la scara nationala cat si internationala – de atenuare a fenomenului de “digital

divide” (excludere de la beneficiile noilor tehnologii a unor categorii sociale

si a unor regiuni/zone geografice) si de coeziune sociala, de conservare si promovare

a culturii specifice fiecarei natiuni si comunitati locale, de protectie a cetateanului

si consumatorului. Solutionarea acestor probleme nu se poate realiza decat printr-un

dialog larg intre autoritatile guvernamentale, reprezentantii mediului de afaceri, ai

mediului academic si societatea civila.

Download Web site pentru afacere