Descrição geral do DNS inverso e do suporte no Azure
Este artigo fornece uma descrição geral de como funciona o DNS inverso e cenários em que o DNS inverso é suportado no Azure.
O que é o DNS inverso?
Os registos DNS convencionais mapeiam um nome DNS para um endereço IP, como www.contoso.com resolve para 64.4.6.100. Um DNS inverso faz o contrário ao traduzir um endereço IP de volta para um nome. Por exemplo, uma pesquisa de 64.4.6.100 será resolvida para www.contoso.com.
Os registos DNS inversos são utilizados em várias situações. Por exemplo, os registos DNS inversos são amplamente utilizados no combate ao spam de e-mail ao verificar o remetente de uma mensagem de e-mail. O servidor de correio de receção obtém o registo DNS inverso do endereço IP do servidor de envio. Em seguida, o servidor de receção de correio verifica se esse anfitrião está autorizado a enviar e-mails a partir do domínio de origem.
Como funciona o DNS inverso
Os registos DNS inversos são alojados em zonas DNS especiais, conhecidas como zonas ARPA. Estas zonas formam uma hierarquia DNS separada em paralelo com a hierarquia normal que aloja domínios como contoso.com.
Por exemplo, o registo www.contoso.com DNS é implementado com um registo DNS "A" com o nome "www" na zona contoso.com. Este registo A aponta para o endereço IP correspondente, neste caso 64.4.6.100. A pesquisa inversa é implementada separadamente, utilizando um registo "PTR" com o nome "100" na zona "6.4.64.in-addr.arpa". Repare que os endereços IP nas zonas ARPA estão invertidos. Este registo PTR, quando configurado corretamente, apontará para o nome www.contoso.com.
Quando é atribuído a uma organização um bloco de endereços IP, também adquirem o direito de gerir a zona ARPA correspondente. As zonas ARPA correspondentes aos blocos de endereços IP utilizados pelo Azure são alojadas e geridas pela Microsoft. O SEU ISP pode alojar a zona ARPA para si para os endereços IP que possuiu. Também podem permitir que aloje a zona ARPA num serviço DNS à sua escolha, como o DNS do Azure.
Nota
As pesquisas DNS reencaminhadas e as pesquisas DNS inversas são implementadas em hierarquias DNS paralelas separadas. A pesquisa inversa de "www.contoso.com" não está alojada na zona "contoso.com", mas sim alojada na zona ARPA para o bloco de endereços IP correspondente. As zonas separadas são utilizadas para blocos de endereços IPv4 e IPv6.
IPv4
O nome de uma zona de pesquisa inversa IPv4 deve estar no seguinte formato: <IPv4 network prefix in reverse order>.in-addr.arpa.
Por exemplo, ao criar uma zona inversa para alojar registos para anfitriões com IPs que estão no prefixo 192.0.2.0/24, o nome da zona seria criado ao isolar o prefixo de rede do endereço (192.0.2) e, em seguida, reverter a ordem (2.0.192) e adicionar o sufixo .in-addr.arpa.
| Classe de sub-rede | Prefixo de rede | Prefixo de rede invertido | Sufixo padrão | Nome da zona inversa |
|---|---|---|---|---|
| Classe A | 203.0.0.0/8 | 203 | .in-addr.arpa | 203.in-addr.arpa |
| Classe B | 198.51.0.0/16 | 51.198 | .in-addr.arpa | 51.198.in-addr.arpa |
| Classe C | 192.0.2.0/24 | 2.0.192 | .in-addr.arpa | 2.0.192.in-addr.arpa |
Delegação IPv4 sem classe
Em alguns casos, o intervalo de IP atribuído a uma organização é menor do que um intervalo de Classe C (/24). Neste caso, o intervalo de IP não se enquadra num limite de zona dentro da hierarquia de .in-addr.arpa zona e, como tal, não pode ser delegado como uma zona subordinada.
É utilizado um método diferente para transferir cada registo de pesquisa inversa para uma zona DNS dedicada. Este método delega uma zona subordinada para cada intervalo de IP. Em seguida, mapeia cada endereço IP no intervalo individualmente para essa zona subordinada através de registos CNAME.
Por exemplo, suponha que a sua organização recebe o intervalo de IP 192.0.2.128/26 pelo seu ISP. Este bloco de endereços representa 64 endereços IP, de 192.0.2.128 a 192.0.2.191. O DNS inverso para este intervalo é implementado da seguinte forma:
A sua organização cria uma zona de pesquisa inversa denominada 128-26.2.0.192.in-addr.arpa. O prefixo '128-26' representa o segmento de rede atribuído à sua organização dentro do intervalo de Classe C (/24).
O ISP cria registos NS para configurar a delegação de DNS para a zona acima a partir da zona principal da Classe C. O ISP também cria registos CNAME na zona de pesquisa inversa (Classe C). Em seguida, mapeiam cada endereço IP no intervalo de IP para a nova zona criada pela sua organização:
$ORIGIN 2.0.192.in-addr.arpa ; Delegate child zone 128-26 NS <name server 1 for 128-26.2.0.192.in-addr.arpa> 128-26 NS <name server 2 for 128-26.2.0.192.in-addr.arpa> ; CNAME records for each IP address 129 CNAME 129.128-26.2.0.192.in-addr.arpa 130 CNAME 130.128-26.2.0.192.in-addr.arpa 131 CNAME 131.128-26.2.0.192.in-addr.arpa ; etcEm seguida, a sua organização gere os registos PTR individuais na zona subordinada.
$ORIGIN 128-26.2.0.192.in-addr.arpa ; PTR records for each UIP address. Names match CNAME targets in parent zone 129 PTR www.contoso.com 130 PTR mail.contoso.com 131 PTR partners.contoso.com ; etc
Uma pesquisa inversa para o endereço IP "192.0.2.129" consulta um registo PTR com o nome "129.2.0.192.in-addr.arpa". Esta consulta é resolvida com o CNAME na zona principal para o registo PTR na zona subordinada.
IPv6
O nome de uma zona de pesquisa inversa IPv6 deve estar na seguinte forma: <IPv6 network prefix in reverse order>.ip6.arpa
Por exemplo, quando cria uma zona inversa para alojar registos para anfitriões com IPs que estão no prefixo 2001:db8:1000:abdc::/64. O nome da zona seria criado ao isolar o prefixo de rede do endereço (2001:db8:abdc::). Em seguida, expanda o prefixo de rede IPv6 para remover a compressão zero, se tiver sido utilizado para encurtar o prefixo de endereço IPv6 (2001:0db8:abdc:0000::). Inverta a ordem, utilizando um ponto como delimitador entre cada número hexadecimal no prefixo, para criar o prefixo de rede invertido (0.0.0.0.c.d.b.a.8.b.d.0.1.0.0.2) e adicionar o sufixo .ip6.arpa.
| Prefixo de rede | Prefixo de rede expandido e invertido | Sufixo padrão | Nome da zona inversa |
|---|---|---|---|
| 2001:db8:abdc::/64 | 0.0.0.0.c.d.b.a.8.b.d.0.1.0.0.2 | .ip6.arpa | 0.0.0.0.c.d.b.a.8.b.d.0.1.0.0.2.ip6.arpa |
| 2001:db8:1000:9102::/64 | 2.0.1.9.0.0.0.1.8.b.d.0.1.0.0.2 | .ip6.arpa | 2.0.1.9.0.0.0.1.8.b.d.0.1.0.0.2.ip6.arpa |
suporte do Azure para DNS inverso
O Azure suporta dois cenários separados relacionados com o DNS inverso:
Alojar a zona de pesquisa inversa correspondente ao seu bloco de endereços IP – o DNS do Azure pode ser utilizado para alojar as zonas de pesquisa inversa e gerir os registos PTR para IPv4 e IPv6. O processo de criação da zona de pesquisa inversa (ARPA), a configuração da delegação e a configuração de registos PTR é o mesmo que para zonas DNS normais. As diferenças são que a delegação tem de ser configurada com o SEU ISP em vez da sua entidade de registo DNS e apenas deve ser utilizado o tipo de registo PTR.
Configurar o registo DNS inverso para o endereço IP atribuído ao serviço do Azure – o Azure permite-lhe configurar a pesquisa inversa para os endereços IP atribuídos ao serviço do Azure. Esta pesquisa inversa é configurada pelo Azure como um registo PTR na zona ARPA correspondente. Estas zonas ARPA, correspondentes a todos os intervalos de IP utilizados pelo Azure, são alojadas pela Microsoft
Passos seguintes
- Para obter mais informações sobre o DNS inverso, veja Pesquisa DNS inversa na Wikipédia.
- Saiba como alojar a zona de pesquisa inversa para o intervalo de IP atribuído pelo ISP no DNS do Azure.
- Saiba como gerir registos DNS inversos para os seus serviços do Azure.