O arquivo começa com as opções que afetarão o servidor de forma global. Eis a explicação das diretivas do arquivo:
- directory - Aqui você indica qual será o diretório onde ficará os arquivos de registros DNS. Se quiser pode colocar em outro diretório válido ao invés do proposto no nosso exemplo.
- version - Para poder ocultar a sua versão do BIND contra bisbilhoteiros lammers que não tem o que fazer, coloque essa opção com o que você desejar. No meu caso a versão do meu BIND ficou como "uhuh".
- minimal-responses - Se habilitado, quando o servidor gerar respostas, somente adicionará registros na autoridade quando requerido. Esta opção aumenta a performance do servidor.
- allow-transfer - Aqui você indica quem poderá fazer transferência de autoridades. Opção muito importante a ser colocada, pois aqui você indica quem poderá fazer transferência de zona do seu servidor, que no nosso caso é um servidor primário, logo a única maquina que pode ter autorização de transferência de zonas será o nosso servidor secundário. Coloque o IP do seu servidor secundário aqui, pois isso evitará que pessoas mal intencionadas possam fazer transferência de autoridades do teu domínio. No meu caso coloquei o IP 192.168.0.2
- listen-on - Aqui você especifica quais interfaces estão habilitadas a "escutar" conexões na porta UDP 53 do DNS. No meu caso tenho 2 placas de rede, mas só habilitei a minha interface que atende pelo IP 192.168.0.1 e a interface loopback.
- allow-recursion - Caso vá usar um DNS que será acessível pela Internet, é bom que você não deixe que esse pessoal faça recursões, ou seja, que eles pesquisem outros domínios que não sejam os que você tem cadastrado no seu servidor. No nosso caso, o pessoal da Internet só poderá pesquisar o único domínio que teremos cadastrado que é o "slacks.com.br", enquanto que o pessoal da minha rede interna "192.168.0.0" poderá pesquisar qualquer site além do domínio local, como "www.slackware.com" ou outro qualquer. Com essa opção devidamente configurada, você evitará o ataque chamado de "cache-poisoning", no qual o cracker coloca em seu DNS registros pra te enganar.
Após as opções, vem as zonas propriamente ditas.
A primeira que aparece é a zona raiz (lembra? Aquela que é representada por um ponto?). É neste arquivo que ficam os endereços de servidor DNS da zona raiz, que como vimos são necessários para podermos acessar endereços de fora da nossa rede (Internet). Você deve baixar esse arquivo e mantê-lo atualizado se o seu servidor DNS for válido na Internet. Você pode baixá-lo por ftp :
# ftp ftp.internic.net
ftp>
cd domain
ftp>
get named.root
ftp>
exit
Pronto, agora é só você mover esse arquivo de acordo com o nosso exemplo:
# mv named.root /var/named/caching-example/named.ca
A próxima zona é da configuração do nosso localhost. Aqui você não precisa fazer nada.
A próxima zona é a zona reversa para o nosso localhost, que no caso é o endereço loopback 127.0.0.1. Você não precisa fazer nada aqui também.
A próxima zona é a zona reversa para o nosso domínio que ainda vamos configurar. Por enquanto apenas crie o arquivo de configuração domain.rev em /var/named/caching-example. Aqui você vê a opção allow-transfer habilitando a transferência da zona reversa do nosso domínio apenas para o servidor 192.168.0.2, que seria o servidor secundário.
A próxima zona, é a zona do nosso domínio proposto aqui nesse artigo, a zona slacks.com.br. Como você pode ver ela é do tipo master, e só está habilitada a transferência dessa zona pelo IP 192.168.0.2, que seria o nosso secundário. Por enquanto, apenas crie o arquivo slacks.host no diretório /var/named/caching-example.
Alguns lembretes: Preste MUITA atenção na sintaxe do arquivo, para não esquecer nenhuma chave, ponto e vírgula, ou um único ponto, pois caso esqueça de apenas um único ";", o servidor NÃO FUNCIONARÁ. Comentários nesse arquivo começam com "//".