O
DNS Reverso resolve um endereço IP para um nome
de servidor – por exemplo, ele poderia resolver
200.176.3.142 para exemplo.hipotetico.com.br.
Para
os seus domínios, o DNS direto (que resolve
um nome de servidor para um endereço IP, como
quando se resolve exemplo.hipotetico.com.br
para 200.176.3.142) começa na instituição
(registro.br,
para domínios registrados no Brasil) onde você
registrou os seus domínios.
Nesse
registro, você deve dizer quais são os
servidores de DNS que respondem pelos nomes no seu
domínio, e o registro.br enviará essa
informação para os root servers.
Então,
qualquer um no mundo pode acessar os seus domínios,
e você pode encaminhá-los para qualquer
IP que você quiser.
Você tem total controle sobre
os seus domínios, e pode encaminhar as pessoas
para qualquer IP (tendo ou não controle sobre
esses IPs, embora você não deva encaminhá-los
para IPs que não são seus, sem permissão).
O DNS reverso funciona de forma parecida.
Para os seus IPs, o DNS reverso (que resolve 200.176.3.145
de volta para exemplo.hipotetico.com.br) começa
no seu provedor de acesso ou de meio físico
(ou com quem quer que lhe diga qual é o seu
endereço IP). Você deve dizer-lhe quais
servidores de DNS que respondem pelos apontamentos
de DNS reverso para os seus IPs (ou, eles podem configurar
esses apontamentos em seus próprios servidores
de DNS), e o seu provedor passará esta informação
adiante quando os servidores de DNS deles forem consultados
sobre os seus apontamentos de DNS reverso. Então,
qualquer um no mundo pode consultar os apontamentos
de DNS reverso dos seus IPs, e você pode responder
com qualquer nome que quiser (tendo ou não
controle sobre os domínios desses nomes, embora
você não deva apontá-los para
nomes que não são dos seus domínios,
sem permissão).
Então, tanto para DNS direto
quanto para DNS reverso, há dois passos: [1]
Você precisa de servidores de DNS, e [2] Você
precisa informar a entidade correta (o registro.br
para consultas de DNS direto, ou o seu provedor para
consultas de DNS reverso) quais são os seus
servidores de DNS. Sem o passo 2, ninguém vai
conseguir alcançar os seus servidores de DNS.
Se você pôde compreender
os parágrafos acima (o que pode levar algum
tempo), você entenderá o maior problema
que as pessoas têm com apontamentos de DNS reverso.
O maior problema que as pessoas têm é
que elas possuem servidores de DNS que funcionam perfeitamente
para seus domínios (DNS direto), elas então
incluem apontamentos de DNS reverso nesses servidores
e o DNS reverso não funciona. Se você
entendeu os parágrafos acima, você já
percebeu o problema: Se o seu provedor não
sabe que você tem servidores de DNS para responder
pelo DNS reverso dos seus IPs, ele não vai
propagar essa informação para os root
servers, e ninguém vai nem mesmo chegar aos
seus servidores de DNS para consultar o DNS reverso.
Conceitos Básicos:
- O DNS reverso resolve 200.176.3.142
para exemplo.hipotetico.com.br (um endereço
IP para um nome de servidor).
- O caminho de uma consulta típica
de DNS reverso: Resolver de DNS ? root servers ?
LACNIC (Orgão que distribui endereços
IP na América Latina e Caribe) ? registro.br
(responsável pela distribuição
de IPs no Brasil) ? Provedor de acesso ou de meio
físico ? Servidores de DNS do usuário
do IP.
- Quem quer que proveja os seus endereços
IP (normalmente o seu provedor) DEVE ou [1] configurar
seus apontamentos de DNS reverso nos servidores
deles, ou [2] “delegar a autoridade”
dos seus apontamentos de DNS reverso para os seus
servidores de DNS.
- Apontamentos de DNS reverso são
feitos com nomes que são o endereço
IP invertido com um “.in-addr.arpa”
adicionado no final – por exemplo, “142.3.176.200.in-addr.arpa”.
- Apontamentos de DNS reverso são
configurados com registros PTR (enquanto que no
DNS direto usa-se registros A), feitos dessa forma:
“142.3.176.200.in-addr.arpa. PTR exemplo.hipotetico.com.br.”
(enquanto que no DNS diretos, seriam assim: “exemplo.hipotetico.com.br.
A 200.176.3.142").
- Todos os servidores na Internet
devem ter um apontamento de DNS reverso (veja RFC
1912, seção 2.1).
- Servidores de correio eletrônico
sem DNS reverso terão dificuldades para entregar
e-mails para alguns grandes provedores.
Um Mito Muito Comum:
Mito: Se você tem um apontamento
de DNS reverso registrado no seu servidor de DNS,
seu DNS reverso está corretamente configurado.
Fato: Isso geralmente não
é o caso. Você precisa de DUAS coisas
para ter um DNS corretamente configurado:
- Seus servidores de DNS (ou os do
seu provedor) DEVEM ter os apontamentos de DNS reverso
configurados (“142.3.176.200.in-addr.arpa.
PTR exemplo.hipotetico.com.br.”).
- E seu provedor de acesso ou de
meio físico DEVEM configurar o DNS reverso
no lado deles, de forma que os resolvers de DNS
por todo o mundo saibam que os seus servidores de
DNS são os que devem ser consultados quando
quiserem resolver o DNS reverso dos seus endereços
IP.
Como uma consulta de DNS reverso é
efetuada:
- O resolver de DNS inverte o IP
e adiciona “.in-addr.arpa” no final,
transformando 200.176.3.142 em 142.3.176.200.in-addr.arpa.
- O resolver de DNS então
consulta o registro PTR para 142.3.176.200.in-addr.arpa.
- O resolver de DNS pergunta aos
root servers pelo registro PTR do 142.3.176.200.in-addr.arpa.
- Os root servers encaminham
O resolver de DNS para os servidores de DNS
encarregados da faixa “Classe A”
(200.in-addr.arpa, que cobre todos os IPs que
começam com 200).
- Em quase todos os casos, os
root servers irão encaminhar o resolver
de DNS para um “RIR” (“Registro
de Internet Regional”). Estas são
as organizações que distribuem
os IPs. Usualmente, LACNIC
controla os IPs da América Latina e Caribe,
ARIN
controla os IPs da América do Norte,
APNIC
controla os IPs da Ásia e do Pacífico,
e RIPE
Controla os IPs da Europa.
- O resolver de DNS irá
perguntar aos servidores de DNS do “RIR”
indicado pelos root servers pelo registro PTR
do 142.3.176.200.in-addr.arpa.
- Dependendo do “RIR”,
a resposta pode ser um encaminhamento direto
para a entidade que recebeu o range de IPs (como
faz a ARIN), ou como no nosso caso, um encaminhamento
para uma organização nacional
que controla os IPs no país dentro da
região de abrangência do “RIR”.
Por exemplo, a LACNIC responderia que os servidores
de DNS encarregados da faixa “Classe B”
(176.200.in-addr.arpa) são os do registro.br,
que controla a distribuição de
IPs no Brasil.
- Nesse segundo caso, o resolver
de DNS irá perguntar agora para os servidores
do registro.br pelo registro PTR do 142.3.176.200.in-addr.arpa.
- Os servidores de DNS do registro.br
vão encaminhar o resolver de DNS para
a entidade que recebeu o range de IPs. Estes
são, normalmente os servidores de DNS
do seu provedor de acesso ou de meio físico.
- O resolver de DNS irá
perguntar aos servidores de DNS do provedor
pelo registro PTR do 142.3.176.200.in-addr.arpa.
- Os servidores de DNS do provedor
vão encaminhar o resolver de DNS para
os servidores de DNS da organização
que de fato está usando o IP.
- O resolver de DNS irá
perguntar aos servidores de DNS da organização
pelo registro PTR do 142.3.176.200.in-addr.arpa.
- Finalmente, os servidores de
DNS da organização irão
responder com “exemplo.hipotetico.com.br”.
|