Se ha configurado una red interna con dos servidores ubuntu server 18.04 que actúan como dns secure. DMZ y firewall se configurará así como un servidor de archivos. Para saber cómo configurar dns primario y secundario siga el siguiente link: https://es.slideshare.net/luisamg31/dns-primario-y-secundario-en-ubuntu-server-1804

1. Grado superiorAdministraciónde Sistemas Informáticosen Red
IES RODRIGOCARO (CORIA DEL RÍO, SEVILLA)
Configuración UBUNTU
SERVER 18.04
Servidor Dnssec
Failover, Firewall 3
legs y DMZ
Grado superior
Administración
de SistemasInformáticos
en Red
IES Rodrigo Caro (Coria
del Río, Sevilla)
Trabajo realizado por:
Luisa Molina y Mjosé
Fernández
FECHA: 20/12/2018

2. ÍNDICE
1. Mapa de red
2. Configuración Inicial
3. Dns Failover
4. Dns Secure
5. Firewall 3 legs
6. Zona Desmilitarizada (DMZ)
7. IPV6 y Servidor de archivos
8. Bibliografía
Grado
superior Administración
de Sistemas Informátic
os en Red
IES RODRIGO CARO
(CORIA DEL
RÍO, SEVILLA)

3. 1. Mapa de
Red
Grado superior Administración de Sistemas Informáticos en Red
IES RODRIGOCARO (Coria del Río, Sevilla)

4. 2.
Configuración
Inicial
2.1 Configuración de máquinas virtuales
 Router 1: Con salida a internet
 Dos tarjetas, una red interna y otra adaptador puente
 S.O Opensense
 Router 2: Firewall de 3 patas:
 Tres tarjetas red internas
 S.O Opensense
 Servidor DNS 1: Servidor Primario
 Una tarjeta red interna
 S.O Ubuntu Server 18.04
 Servidor DNS 2: Servidor Secundario DNS y servidor archivos
 Una tarjeta red interna
 S.O Ubuntu Server 18.04
 Clientes:
 Una tarjeta red interna.
 1. S.O Debian 9
 2. S.O Windows 10
Máquinas virtuales
Grado superior Administración de Sistemas Informáticos en Red
IES RODRIGOCARO (Coria del Río, Sevilla)

5. 2.1 Configuración de Red
2.
Configuración
Inicial
Configuración de Red
Grado superior Administración de Sistemas Informáticos en Red
IES RODRIGOCARO (Coria del Río, Sevilla)

6. 2.1 Configuración de Red
2.
Configuración
Inicial
Configuración de Red
Grado superior Administración de Sistemas Informáticos en Red
IES RODRIGOCARO (Coria del Río, Sevilla)

7. 2.
Configuración
Inicial
Accesoinicial a InternetClientesy Servidores
Configuración de Red
Grado superior Administración de Sistemas Informáticos en Red
IES RODRIGOCARO (Coria del Río, Sevilla)
A través del navegador del cliente, accedemos al router 2
(el de tres patas) para permitir la red opt1 y opt2.

8. 3. Configuración
Servidores DNS
en relación de
Failover
Zona directa, inversa y
servidor secundario.
Grado superior Administración de Sistemas Informáticos en Red
IES RODRIGOCARO (Coria del Río, Sevilla)
Para explicar la configuración de DNS Primario y Secundario se ha
elaborado otro PowerPoint paso a paso.
Para consultarlo visite:
https://es.slideshare.net/luisamg31/dns-primario-y-secundario-en-ubuntu-
server-1804
En resumen, se han creado los ficheros de zona directa e inversa en el
servidor primario, y se han transferido al secundario para que cuando el
primero falle, el segundo pueda ejercer de servidor DNS en su lugar.

9. 3. Configuración Servidores DNS en relación de
Failover
Grado superior Administración de Sistemas Informáticos en Red
IES RODRIGOCARO (Coria del Río, Sevilla)

10. 4. DnsSec
Grado superior Administración de Sistemas Informáticos en Red
IES RODRIGOCARO (Coria del Río, Sevilla)
SERVIDOR PRIMARIO (Maestro)

11. 4. Dns
Secure
SERVIDOR
PRIMARIO
(Maestro) - ZONA
DIRECTA

12. 4. Dns
Secure
Grado superior Administración de Sistemas Informáticos en Red
IES RODRIGOCARO (Coria del Río, Sevilla)
SERVIDOR
PRIMARIO
(Maestro) - ZONA
DIRECTA

13. 4. DnsSec
Grado superior Administración de Sistemas Informáticos en Red
IES RODRIGOCARO (Coria del Río, Sevilla)
SERVIDOR
PRIMARIO
(Maestro) - ZONA
INVERSA
Para la zona inversa, realizamos los mismos pasos
anteriores pero sustituyendo mjlui.es. (zona directa) por
192.168.20.in-addr.arpa (zona inversa).
**Importante modificar el script y volver a ejecutarlo**

14. 4. DnsSec
Grado superior Administración de Sistemas Informáticos en Red
IES RODRIGOCARO (Coria del Río, Sevilla)
SERVIDOR
PRIMARIO
(Maestro) - ZONA
INVERSA
Vemos que, después de ejecutarel script, se han incluidolas
zonas firmadasdentro de los archivos de zona:

15. 4. DnsSec
Grado superior Administración de Sistemas Informáticos en Red
IES RODRIGOCARO (Coria del Río, Sevilla)
SERVIDOR
PRIMARIO
(Maestro) - ZONA
INVERSA
Último paso:

16. 4. DnsSec
Grado superior Administración de Sistemas Informáticos en Red
IES RODRIGOCARO (Coria del Río, Sevilla)
SERVIDOR
SECUNDARIO
(Esclavo)
Servidor Secundario
1º Configuramos el archivo /etc/bind/named.conf.options para permitir el
dnssec (como hicimos en servidor primario)

17. 4. DnsSec
Grado superior Administración de Sistemas Informáticos en Red
IES RODRIGOCARO (Coria del Río, Sevilla)
Comprobación
Dnssec
Servidor Secundario
**Si quisiéramos registrar o tuviéramos registrado nuestro dominio (de
pago) deberíamos realizar uno pasos últimos para registrar
correctamente nuestro dnssec, documentados en el link nº de la
bibliografía.**

18. Esta es la configuración del router secundario.
Grado superior Administración de Sistemas Informáticos en Red
IES RODRIGOCARO (Coria del Río, Sevilla)
5. Firewall three
legs con DMZ

19. 5. Firewall three
legs con DMZ
Entramos en el router por el navegador de un cliente. Ambos
deberán estar en la misma red.
Subtitulos/subapartado
Grado superior Administración de Sistemas Informáticos en Red
IES RODRIGOCARO (Coria del Río, Sevilla)

20. Al entrar nos pide la configuración del router.
5. Firewall three
legs con DMZ

21. 5. Firewall three
legs con DMZ

22. Modificamos las tarjetas de red.
5. Firewall three
legs con DMZ

23. 5. Firewall three
legs con DMZ

24. Configuramos las reglas del Firewall y DMZ. En el
apartado Firewall → Rules → Floating
5. Firewall three
legs con DMZ
Con esta regla denegamos que los servidores accedan a la red de los clientes.
Con esta regla habilitamos que los clientes puedan acceder a los servidores por
el puerto 53 (DNS).

25. Ahora configuramos las reglas de los clientes. Nos vamos al
apartado Firewall → Rules → CLIENTES
5. Firewall three
legs con DMZ
Con esta regla, en la tarjeta cliente, lo permitimos todo.
Con esta regla, permitimos que la red LAN acceda a los clientes y viceversa.
De esta forma los clientes podrán tener internet.
Con esta regla, permitimos que puedan acceder a los clientes por el puerto 53
(DNS).
Con esta última regla, denegamos que los servidores puedan acceder a los
clientes.

26. Configuramos las reglas de los servidores o DMZ. Nos vamos
al apartado Firewall → Rules → DMZ
5. Firewall three
legs con DMZ
Con esta regla permitimos que los servidores accedan a la red LAN para que puedan
salir a internet.
Con esta regla permitimos que los clientes puedan acceder a los clientes.
Con esta regla permitimos que los servidores puedan acceder a los clientes a través
del DNS.
Con esta regla denegamos que los servidores puedan acceder a los clientes de
cualquier otra forma.

27. Por último configuramos las reglas de la red LAN. Nos vamos
al apartado Firewall → Rules → LAN
5. Firewall three
legs con DMZ
Estas tres reglas vienen en el router por defecto. La primera sirve para que no se
puedan bloquear las reglas de administración. Las dos últimas sirven para que
permitan cualquier regla tanto de IPV4 como de IPV6.
Con esta regla permitimos que los clientes puedan acceder a la red LAN y viceversa.
Con esta permitimos que los servidores puedan acceder a la red LAN y viceversa.
Con esta última regla bloqueamos que lo servidores puedan acceder a los clientes.

28. Ahora haremos algunas comprobaciones desde los clientes.
5.Firewall three
legs.
Comprobaciones
Aquí comprobamosque
el cliente tiene internet.
Y aquí comprobamosque
tenemos conexióncon uno
de losservidores.

29. Desde los servidores también haremos algunas comprobaciones.
5.Firewall three
legs.
Comprobaciones
Aquí comprobamosque tenemos internet en los servidores.
Aquí comprobamosque los servidoresno pueden conectarsecon los
clientes.

30. Servidor secundario
como servidor de datos
Grado superior Administración de Sistemas Informáticos en Red
IES RODRIGOCARO (Coria del Río, Sevilla)
6. Servidorde
archivos
Vamos a configurar Samba como servidor de archivos
para compartir carpetas.
1. Primero instalamosSamba.
2. Ahora solo debemos configuraSamba.
a) Modificamoselfichero/etc/samba/smb.conf.

31. 6. Servidorde
archivos
b) A continuación,creamosla carpeta compartiday le damos
permisos.
d) Finalmente, reiniciamosel serviciode Samba.
c) Vamosa crear un archivo de texto dentro de la carpeta compartida.
e) Ahora vamos a crear un usuario y lo agregamosa samba.

32. Vamos a realizar la comprobación desde un cliente Windows.
6. Servidor
de
archivos.
Comprobación

33. Vamos a configurar las IPV6 en los servidores y en el router de tres
patas o DMZ.
1. Primero configuramos las tarjetas de red de los servidores.
7.
Configuración
IPV6
2. Configuramosel router de tres patas.

34. Realizamos ping entre las máquinas.
7.
Configuración
IPV6.
Comprobación

35. 8. Lista de
comandos
 Configuración Dns Primario y Secundario
 Apt-get install bind9
 Named-checkconf
 Named-checkzone
 Sytemctl reload/start bind9
 Ufw allow 53
 Ln –s /run/systemd/resolve/resolv.conf /etc/resolv
 Nslookup y ping
 Configuración Dns Secure
 Dnssec-keygen
 Dnssec-signzone
 Sytemctl reload/start bind9
 Configuración Servidor de archivos
Listade comandos utilizados
durantetodo el proceso.
Grado superior Administración de Sistemas Informáticos en Red
IES RODRIGOCARO (Coria del Río, Sevilla)

36. 9. Bibliografía
 https://www.agesic.gub.uy/innovaportal/file/1065/1/DNSSEC_
parte1_CERTificate.pdf
 https://www.digitalocean.com/community/tutorials/how-to-
setup-dnssec-on-an-authoritative-bind-dns-server--2
 https://es.slideshare.net/luisamg31/dns-primario-y-
secundario-en-ubuntu-server-1804
 https://www.howtoforge.com/configuring-dnssec-on-bind9-
9.7.3-on-debian-squeeze-ubuntu-11.10
 https://es.slideshare.net/FernandoParrondo/configuracin-
dnssec-con-bind
Grado superior Administración de Sistemas Informáticos en Red
IES RODRIGOCARO (Coria del Río, Sevilla)
 Links que nos ha
servido de guía para
realización de este
trabajo.