Resolución reversa

La resolución DNS más común es la que se hace para traducir un nombre a una dirección IP, pero no es la única. Existe también la resolución llamada reversa, que hace la traducción de una dirección IP a un nombre.

¿Por qué es bueno tener configurada la resolución reversa?

Inicialmente se usaba como mecanismo auxiliar de seguridad para los servidores. Ese mecanismo comparaba los resultados de una resolución reversa con la resolución directa (de nombre para dirección IP). Si los resultados eran iguales, se permitía, por ejemplo, el acceso remoto al servidor.

Actualmente algunos servidores de FTP no permiten conexión a partir de direcciones IP que no tengan resolución reversa configurada.

Es posible encontrar también servidores HTTP (web) configurados para hacer la resolución reversa cuando una computadora inicia una conexión. Esa información es almacenada en archivos de registros (logs) para futuros procesamientos o para la generación de estadísticas. En estos casos, cuando la dirección IP de la computadora no tiene resolución reversa habrá un atraso en la conexión debido al tempo que se gasta en el intento de hacer la resolución reversa.

Es cada vez más común encontrar servidores de correo electrónico configurados para hacer la resolución reversa como parte de los procedimientos de control de spam y de virus.
También sirve como traceroute, que traza el camino entre dos puntos en la Internet. Esta herramienta muestra los puntos intermediarios entre el punto inicial y final. En caso de que esté configurada la resolución reversa para las direcciones IP, es posible ver el nombre de cada uno de estos puntos. Eso facilita la identificación de las redes intermediarias y los posibles puntos con problemas.

LACNIC recomienda a las organizaciones que configuren la resolución reversa para los bloques IP que estén bajo su responsabilidad. Para la resolución reversa fueron creados nombres de dominio especiales: in-addr.arpa para bloques IPv4 y ip6.arpa para bloques IPv6.

Para poner la dirección IP dentro de la jerarquía de nombres DNS, es necesario crear un nombre que represente la dirección IP dentro de esta estructura.

En la jerarquía de nombres del sistema DNS, la parte más a la izquierda es la más específica y la parte a la derecha es la menos específica. Pero en la numeración de direcciones IP eso es al contrario, o sea, lo más específico es lo que está más a la derecha.

Para resolverlo se debe hacer una operación reversando cada parte de la dirección IP y luego añadir el nombre de dominio reservado para la resolución reversa (in-addr.arpa o ip6.arpa).
Por ejemplo, considerando la dirección IPv4 10.0.0.1; para colocarla en el formato necesario, se debe revertir cada byte (un byte es lo mismo que 8 bits) y añadir el dominio para resolución reversa al final ej.: 1.0.0.10.in-addr.arpa.

Una información importante es que la delegación DNS reversa para direcciones IPv4 debe ser hecha respetando los límites de bytes de cada parte de la dirección IP. O sea, es posible hacer la delegación del primer byte, lo que representa un bloque de prefijo /8. O la delegación del segundo byte, lo que representa un bloque de prefijo /16. O del tercer byte, que representa un bloque de prefijo /24.

Por esa razón en los servidores DNS de LACNIC se registran solamente delegaciones para bloques /24 o bloques /16. De esa manera, organizaciones que reciban bloques de direcciones IP de prefijo /24 hasta /17 pueden hacer la delegación DNS de cada bloque /24, contenido en el prefijo asignado, directamente en el servidor de LACNIC.

A su vez, una organización que reciba bloques de prefijo /16 o más corto podrá registrar solamente la delegación DNS para los bloques /16 contenidos en el prefijo asignado.

La delegación de bloques /24 contenido en cada uno de los bloques /16 debe ser hecha en el propio servidor DNS de la organización.

En el caso de las direcciones IPv6, existe una restricción similar. Es posible delegar cada conjunto de 4 bits de la dirección IPv6 (nibble boundary). Ejemplo: considerando que se recibió la asignación de 1 /32 SOLO podrá delegar este rango en su totalidad. Si recibió 1 /33 puedes delegar todo el /33 o los prefijos mayores hasta /36 que estén contenidos dentro del /33

LACNIC está certificado por SGS:SGS

Top CHK_LACNIC