OKWAVEのAI「あい」が美容・健康の悩みに最適な回答をご提案!
-PR-
解決
済み

bindで使用するプロトコルについて

  • すぐに回答を!
  • 質問No.115729
  • 閲覧数554
  • ありがとう数7
  • 気になる数0
  • 回答数3
  • コメント数0

お礼率 64% (32/50)

社内ネットワーク内に、インターネットに公開しているDNSサーバを立てており、bind8.2を使用しています。
プロバイダのDNSサーバをセカンダリネームサーバに指定しています。

質問です。
Q1.DNS検索に使用しているプロトコルは以下の2つ
   だけでしょうか?

   domain 53/udp
   domain 53/tcp

Q2.ident(113/tcp)というプロトコルは何に使用
   するものなのでしょうか?

Q3.プロバイダにセカンダリネームサーバを置いていて
   当方のドメインの情報は登録されています。
   外部(インターネット)からのDNS検索を認めたく
   ないので、ファイヤーウォールにて、外部からの    domain 53/udp domain 53/tcpの接続を遮断する
   設定にしようと考えてますが、インターネットから
   当方の公開サーバが探せなくなってしまう等の問題
   はでてしまいますでしょうかか?
通報する
  • 回答数3
  • 気になる
    質問をブックマークします。
    マイページでまとめて確認できます。

質問者が選んだベストアンサー

  • 回答No.1
レベル12

ベストアンサー率 41% (324/772)

A1:基本的には53/tcp、53/udpの2つです。

A2:接続してきたクライアントを操作している
ユーザ情報の取得(のはす)する機能です。

A3:「プロバイダにセカンダリネームサーバを置いて」
と「外部からの53/udp、53/tcpの接続を遮断する」は
矛盾する事象です。
セカンダリネームサーバを設置する時点で、
ネームサーバ同士で、登録レコード情報の同期を
取るため53/tcpと53/udpの通信は必須です。
JPNICにPrimaryDNS、SecondaryDNSが登録されている
時点でこの2台へは等しく外部からのDNSの問い合わせ
に答えられる必要があります。
外部からのDNSの問い合わせはDNSサーバとして
登録されているマシンのうと、どれに問い合わせる
かは確定している訳ではありません。
したがってPort53を遮断している場合に、運悪く
プライマリDNSに問い合わせした場合、ホストが
見つからない事になりますので、あなたの公開サーバ
見つかったり見つからなかったりといった現象が
出ます。
補足コメント
esi

お礼率 64% (32/50)

早速のご回答ありがとうございます。

Q2についてですが、ファイヤーウォールの設定
で、外部からも内部からもident(113/tcp)のプ
ロトコルを当方のDNSサーバに通す設定になって
いて(前任者から管理を引き継いだのですが、
identをなぜ通す設定になっているか不明なのです)
これを通さないように設定変更をしたいのです。
identを通さないようにした場合の影響について
教えていただけませんでしょうか?

いろいろすみません。
投稿日時 - 2001-08-09 02:45:30
お礼コメント
esi

お礼率 64% (32/50)

ご回答ありがとうございました。
この辺の動作が良くわかってなかったので
助かりました。
投稿日時 - 2001-08-11 02:37:16
-PR-
-PR-

その他の回答 (全2件)

  • 回答No.2
レベル11

ベストアンサー率 43% (133/306)

Q3にだけ補足。 ポート53はudpとtcp共にDNS用となっていますが、目的に相違があります。 53/udpは#1の説明の通りに開けておく必要があります。 53/tcpはセカンダリDNSサーバとゾーン転送を行う為だけに存在していると言っても過言ではないので、プロバイダのDNSサーバ(セカンダリ)からの接続のみ通す様にIPフィルタリングするのが好ましいです。 ...続きを読む
Q3にだけ補足。

ポート53はudpとtcp共にDNS用となっていますが、目的に相違があります。

53/udpは#1の説明の通りに開けておく必要があります。

53/tcpはセカンダリDNSサーバとゾーン転送を行う為だけに存在していると言っても過言ではないので、プロバイダのDNSサーバ(セカンダリ)からの接続のみ通す様にIPフィルタリングするのが好ましいです。
お礼コメント
esi

お礼率 64% (32/50)

tcpのほうはそういう動きをしていたのですね。
そのようにフィルタをかけるように早速修正します。
ご回答ありがとうございました。
投稿日時 - 2001-08-11 02:40:50


  • 回答No.3

>identをなぜ通す設定になっているか不明なのです > メールではないでしょうか? sendmail8.8以上は標準設定でident認証を行う設定になっていたはずです。 標準的なsendmail設定でメール運用していませんか? (tcp_wrapper や httpdでも設定できるけど普通はしないと思います) >これを通さないように設定変更をしたいのです。 &g ...続きを読む
>identをなぜ通す設定になっているか不明なのです
>
メールではないでしょうか?
sendmail8.8以上は標準設定でident認証を行う設定になっていたはずです。
標準的なsendmail設定でメール運用していませんか?
(tcp_wrapper や httpdでも設定できるけど普通はしないと思います)


>これを通さないように設定変更をしたいのです。
>
自sendmailの設定変更により、外部からのsmtp接続に対して自サーバからident要求をしなくなります。
これで、IN-(ident)->OUT は必要なくなるかな?
sendmailの設定は、
CFを使っているなら READ_TIMEOUT='ident=0'
起動時に-orident=0オプションをつけてもOKです。

OUT(ident) ->IN は相手のsendmailサーバの設定次第なので、対応はまず無理でしょう。
以下を参考にフィルタリング設定を行うしかないです。


>identを通さないようにした場合の影響について
>教えていただけませんでしょうか?
>
まず、単純にパケットフィルタ(drop)した場合は、
identがタイムアウトするまで待ちが発生します。(数秒?)
そのぶんメールの配信が遅くなるってことで、送れなくなるってことはないはずです。
ただ、気を利かして(?)ICMPを返す設定にするとメールが送れないケースも出てくるのでやらないのが無難でしょう。


とここまで書いてなんですが、実際にやった訳ではないので、自信ないです...。m(_ _)m
※自分所はident開けっぱなしにしてます。^ ^;)
お礼コメント
esi

お礼率 64% (32/50)

identに関してはどうもなにやっているか良く
わからなくて、詳細なご解説で助かりました。
ご指摘の通り、sendmail8.8以降を使用しています。

やはりidentは閉じないほうようにしようと思います。
ご回答ありがとうございました。
投稿日時 - 2001-08-11 02:47:30
このQ&Aで解決しましたか?
関連するQ&A
-PR-
-PR-
このQ&Aにこう思った!同じようなことあった!感想や体験を書こう
このQ&Aにはまだコメントがありません。
あなたの思ったこと、知っていることをここにコメントしてみましょう。

その他の関連するQ&A、テーマをキーワードで探す

キーワードでQ&A、テーマを検索する
-PR-
-PR-
-PR-

特集


いま みんなが気になるQ&A

関連するQ&A

-PR-

ピックアップ

-PR-
ページ先頭へ