Como Funciona o DNS Reverso

O DNS Reverso resolve um endereço IP para um nome de servidor – por exemplo, ele poderia resolver 200.176.3.142 para exemplo.hipotetico.com.br.

Para os seus domínios, o DNS direto (que resolve um nome de servidor para um endereço IP, como quando se resolve exemplo.hipotetico.com.br para 200.176.3.142) começa na instituição (registro.br, para domínios registrados no Brasil) onde você registrou os seus domínios. 

Nesse registro, você deve dizer quais são os servidores de DNS que respondem pelos nomes no seu domínio, e o registro.br enviará essa informação para os root servers. 

Então, qualquer um no mundo pode acessar os seus domínios, e você pode encaminhá-los para qualquer IP que você quiser. 

 

Você tem total controle sobre os seus domínios, e pode encaminhar as pessoas para qualquer IP (tendo ou não controle sobre esses IPs, embora você não deva encaminhá-los para IPs que não são seus, sem permissão). 

O DNS reverso funciona de forma parecida. Para os seus IPs, o DNS reverso (que resolve 200.176.3.145 de volta para exemplo.hipotetico.com.br) começa no seu provedor de acesso ou de meio físico (ou com quem quer que lhe diga qual é o seu endereço IP). Você deve dizer-lhe quais servidores de DNS que respondem pelos apontamentos de DNS reverso para os seus IPs (ou, eles podem configurar esses apontamentos em seus próprios servidores de DNS), e o seu provedor passará esta informação adiante quando os servidores de DNS deles forem consultados sobre os seus apontamentos de DNS reverso. Então, qualquer um no mundo pode consultar os apontamentos de DNS reverso dos seus IPs, e você pode responder com qualquer nome que quiser (tendo ou não controle sobre os domínios desses nomes, embora você não deva apontá-los para nomes que não são dos seus domínios, sem permissão). 

Então, tanto para DNS direto quanto para DNS reverso, há dois passos: [1] Você precisa de servidores de DNS, e [2] Você precisa informar a entidade correta (o registro.br para consultas de DNS direto, ou o seu provedor para consultas de DNS reverso) quais são os seus servidores de DNS. Sem o passo 2, ninguém vai conseguir alcançar os seus servidores de DNS. 

Se você pôde compreender os parágrafos acima (o que pode levar algum tempo), você entenderá o maior problema que as pessoas têm com apontamentos de DNS reverso. O maior problema que as pessoas têm é que elas possuem servidores de DNS que funcionam perfeitamente para seus domínios (DNS direto), elas então incluem apontamentos de DNS reverso nesses servidores e o DNS reverso não funciona. Se você entendeu os parágrafos acima, você já percebeu o problema: Se o seu provedor não sabe que você tem servidores de DNS para responder pelo DNS reverso dos seus IPs, ele não vai propagar essa informação para os root servers, e ninguém vai nem mesmo chegar aos seus servidores de DNS para consultar o DNS reverso. 

Conceitos Básicos:

• O DNS reverso resolve 200.176.3.142 para exemplo.hipotetico.com.br (um endereço IP para um nome de servidor).

• O caminho de uma consulta típica de DNS reverso: Resolver de DNS ? root servers ? LACNIC (Orgão que distribui endereços IP na América Latina e Caribe) ? registro.br (responsável pela distribuição de IPs no Brasil) ? Provedor de acesso ou de meio físico ? Servidores de DNS do usuário do IP.

• Quem quer que proveja os seus endereços IP (normalmente o seu provedor) DEVE ou [1] configurar seus apontamentos de DNS reverso nos servidores deles, ou [2] “delegar a autoridade” dos seus apontamentos de DNS reverso para os seus servidores de DNS.

• Apontamentos de DNS reverso são feitos com nomes que são o endereço IP invertido com um “.in-addr.arpa” adicionado no final – por exemplo, “142.3.176.200.in-addr.arpa”.

• Apontamentos de DNS reverso são configurados com registros PTR (enquanto que no DNS direto usa-se registros A), feitos dessa forma: “142.3.176.200.in-addr.arpa. PTR exemplo.hipotetico.com.br.” (enquanto que no DNS diretos, seriam assim: “exemplo.hipotetico.com.br. A 200.176.3.142").

• Todos os servidores na Internet devem ter um apontamento de DNS reverso (veja RFC 1912, seção 2.1).

• Servidores de correio eletrônico sem DNS reverso terão dificuldades para entregar e-mails para alguns grandes provedores.

Um Mito Muito Comum: 

Mito: Se você tem um apontamento de DNS reverso registrado no seu servidor de DNS, seu DNS reverso está corretamente configurado.

Fato: Isso geralmente não é o caso. Você precisa de DUAS coisas para ter um DNS corretamente configurado:

1. Seus servidores de DNS (ou os do seu provedor) DEVEM ter os apontamentos de DNS reverso configurados (“142.3.176.200.in-addr.arpa. PTR exemplo.hipotetico.com.br.”).
2. E seu provedor de acesso ou de meio físico DEVEM configurar o DNS reverso no lado deles, de forma que os resolvers de DNS por todo o mundo saibam que os seus servidores de DNS são os que devem ser consultados quando quiserem resolver o DNS reverso dos seus endereços IP.

Como uma consulta de DNS reverso é efetuada:

• O resolver de DNS inverte o IP e adiciona “.in-addr.arpa” no final, transformando 200.176.3.142 em 142.3.176.200.in-addr.arpa.

• O resolver de DNS então consulta o registro PTR para 142.3.176.200.in-addr.arpa.

• O resolver de DNS pergunta aos root servers pelo registro PTR do 142.3.176.200.in-addr.arpa.
  • Os root servers encaminham O resolver de DNS para os servidores de DNS encarregados da faixa “Classe A” (200.in-addr.arpa, que cobre todos os IPs que começam com 200).
  • Em quase todos os casos, os root servers irão encaminhar o resolver de DNS para um “RIR” (“Registro de Internet Regional”). Estas são as organizações que distribuem os IPs. Usualmente, LACNIC controla os IPs da América Latina e Caribe, ARIN controla os IPs da América do Norte, APNIC controla os IPs da Ásia e do Pacífico, e RIPE Controla os IPs da Europa.
  • O resolver de DNS irá perguntar aos servidores de DNS do “RIR” indicado pelos root servers pelo registro PTR do 142.3.176.200.in-addr.arpa.
  • Dependendo do “RIR”, a resposta pode ser um encaminhamento direto para a entidade que recebeu o range de IPs (como faz a ARIN), ou como no nosso caso, um encaminhamento para uma organização nacional que controla os IPs no país dentro da região de abrangência do “RIR”. Por exemplo, a LACNIC responderia que os servidores de DNS encarregados da faixa “Classe B” (176.200.in-addr.arpa) são os do registro.br, que controla a distribuição de IPs no Brasil.
  • Nesse segundo caso, o resolver de DNS irá perguntar agora para os servidores do registro.br pelo registro PTR do 142.3.176.200.in-addr.arpa.
  • Os servidores de DNS do registro.br vão encaminhar o resolver de DNS para a entidade que recebeu o range de IPs. Estes são, normalmente os servidores de DNS do seu provedor de acesso ou de meio físico.
  • O resolver de DNS irá perguntar aos servidores de DNS do provedor pelo registro PTR do 142.3.176.200.in-addr.arpa.
  • Os servidores de DNS do provedor vão encaminhar o resolver de DNS para os servidores de DNS da organização que de fato está usando o IP.
  • O resolver de DNS irá perguntar aos servidores de DNS da organização pelo registro PTR do 142.3.176.200.in-addr.arpa.
  • Finalmente, os servidores de DNS da organização irão responder com “exemplo.hipotetico.com.br”.