• ベストアンサー

bindで使用するプロトコルについて

社内ネットワーク内に、インターネットに公開しているDNSサーバを立てており、bind8.2を使用しています。 プロバイダのDNSサーバをセカンダリネームサーバに指定しています。 質問です。 Q1.DNS検索に使用しているプロトコルは以下の2つ    だけでしょうか?    domain 53/udp    domain 53/tcp Q2.ident(113/tcp)というプロトコルは何に使用    するものなのでしょうか? Q3.プロバイダにセカンダリネームサーバを置いていて    当方のドメインの情報は登録されています。    外部(インターネット)からのDNS検索を認めたく    ないので、ファイヤーウォールにて、外部からの    domain 53/udp domain 53/tcpの接続を遮断する    設定にしようと考えてますが、インターネットから    当方の公開サーバが探せなくなってしまう等の問題    はでてしまいますでしょうかか?

  • esi
  • お礼率64% (32/50)

質問者が選んだベストアンサー

  • ベストアンサー
  • selenity
  • ベストアンサー率41% (324/772)
回答No.1

A1:基本的には53/tcp、53/udpの2つです。 A2:接続してきたクライアントを操作している ユーザ情報の取得(のはす)する機能です。 A3:「プロバイダにセカンダリネームサーバを置いて」 と「外部からの53/udp、53/tcpの接続を遮断する」は 矛盾する事象です。 セカンダリネームサーバを設置する時点で、 ネームサーバ同士で、登録レコード情報の同期を 取るため53/tcpと53/udpの通信は必須です。 JPNICにPrimaryDNS、SecondaryDNSが登録されている 時点でこの2台へは等しく外部からのDNSの問い合わせ に答えられる必要があります。 外部からのDNSの問い合わせはDNSサーバとして 登録されているマシンのうと、どれに問い合わせる かは確定している訳ではありません。 したがってPort53を遮断している場合に、運悪く プライマリDNSに問い合わせした場合、ホストが 見つからない事になりますので、あなたの公開サーバ 見つかったり見つからなかったりといった現象が 出ます。

esi
質問者

お礼

ご回答ありがとうございました。 この辺の動作が良くわかってなかったので 助かりました。

esi
質問者

補足

早速のご回答ありがとうございます。 Q2についてですが、ファイヤーウォールの設定 で、外部からも内部からもident(113/tcp)のプ ロトコルを当方のDNSサーバに通す設定になって いて(前任者から管理を引き継いだのですが、 identをなぜ通す設定になっているか不明なのです) これを通さないように設定変更をしたいのです。 identを通さないようにした場合の影響について 教えていただけませんでしょうか? いろいろすみません。

その他の回答 (2)

noname#41381
noname#41381
回答No.3

>identをなぜ通す設定になっているか不明なのです > メールではないでしょうか? sendmail8.8以上は標準設定でident認証を行う設定になっていたはずです。 標準的なsendmail設定でメール運用していませんか? (tcp_wrapper や httpdでも設定できるけど普通はしないと思います) >これを通さないように設定変更をしたいのです。 > 自sendmailの設定変更により、外部からのsmtp接続に対して自サーバからident要求をしなくなります。 これで、IN-(ident)->OUT は必要なくなるかな? sendmailの設定は、 CFを使っているなら READ_TIMEOUT='ident=0' 起動時に-orident=0オプションをつけてもOKです。 OUT(ident) ->IN は相手のsendmailサーバの設定次第なので、対応はまず無理でしょう。 以下を参考にフィルタリング設定を行うしかないです。 >identを通さないようにした場合の影響について >教えていただけませんでしょうか? > まず、単純にパケットフィルタ(drop)した場合は、 identがタイムアウトするまで待ちが発生します。(数秒?) そのぶんメールの配信が遅くなるってことで、送れなくなるってことはないはずです。 ただ、気を利かして(?)ICMPを返す設定にするとメールが送れないケースも出てくるのでやらないのが無難でしょう。 とここまで書いてなんですが、実際にやった訳ではないので、自信ないです...。m(_ _)m ※自分所はident開けっぱなしにしてます。^ ^;)

esi
質問者

お礼

identに関してはどうもなにやっているか良く わからなくて、詳細なご解説で助かりました。 ご指摘の通り、sendmail8.8以降を使用しています。 やはりidentは閉じないほうようにしようと思います。 ご回答ありがとうございました。

  • NINJA104
  • ベストアンサー率43% (133/306)
回答No.2

Q3にだけ補足。 ポート53はudpとtcp共にDNS用となっていますが、目的に相違があります。 53/udpは#1の説明の通りに開けておく必要があります。 53/tcpはセカンダリDNSサーバとゾーン転送を行う為だけに存在していると言っても過言ではないので、プロバイダのDNSサーバ(セカンダリ)からの接続のみ通す様にIPフィルタリングするのが好ましいです。

esi
質問者

お礼

tcpのほうはそういう動きをしていたのですね。 そのようにフィルタをかけるように早速修正します。 ご回答ありがとうございました。

  1. カテゴリ
  2. [技術者向] コンピューター
  3. ITシステム運用・管理
  4. ネットワーク

関連するQ&A

  • DNS bindの設定について

    いつもおせわになっています。またわからないことがあり質問したく書き込みました。 内容は 訳あって さくらインターネット でHPを公開したいのですが自分が 自宅にてBindでの 外部向けDNSを公開しています。 さくらインターネットの 公開方法等を見ると プライマリネームサーバ:ns1.dns.ne.jp セカンダリネームサーバ:ns2.dns.ne.jp を登録とあるのですが、これは、例えば 自分のドメインが example.com である場合にHPアドレスを www.example.com にしたければ bind のゾーンNSレコードに www.example.com は 上記のNSを見に行くとの 設定をするのでしょうか それとも フォワードの設定で行うのでしょうか このような設定は初めてなので、わかる方がいたら出来れば、書き方も 教えていただければありがたいです。 どうぞよろしくお願いします。

  • Bindへの複数ドメインの設定

    現在、一つのドメインxxxxx.co.jpを取得しております。 DNSサーバは社内にプライマリ1台(Windows2000Server/Bind8.2) とプロバイダにセカンダリが1台です。 今回、ドメインをxxxxx.co.jpからyyyyy.co.jpへ変更 することになりました。 また、ドメインyyyyy.comを追加で申請することになりました。 6ヶ月間はドメインxxxxx.co.jpとyyyyy.co.jpが両方 使用できるといことなので、6ヶ月間は3つのドメインを運用することに なりました。 DNSは下記の通りに運用するつもりです。 (1)xxxxx.co.jp プライマリ・・・既存のまま(社内) セカンダリ・・・既存のまま(プロバイダ) (2)yyyyy.co.jp プライマリDNS・・・(1)と同じサーバ セカンダリ・・・(1)と同じサーバ (3)yyyyy.com プライマリDNS・・・(1)と同じサーバ セカンダリDNS・・・新規にプロバイダと契約 このとき、プライマリDNSのBindの設定は(2)と(3)のドメイン分のZoneファイルを 追加するだけでよいのでしょうか? 以上、お手数ですが回答をお願いします。

  • windowsからだけnslookupで参照できない

    ドメインをいくつか取って、1台でDNS兼WEBサーバーを運用しています。 環境はwindows2000server+bind9.2です。 LAN内のPCのDNSの設定を、社内DNSサーバーをプライマリに、プロバイダのDNSをセカンダリに設定しました。 しかし、windowsからnslookupをすると必ず *** Can't find server name for address 192.168.50.1: Non-existent domain Default Server: <プロバイダのDNSサーバー> となってプロバイダのDNSサーバーを参照してしまいます。 ところが同じようにLAN内のLinuxからnslookupをすると、ちゃんと社内DNSサーバーを参照できます。 これはなぜなのでしょうか? 社内DNSサーバーを更新した時のチェック作業をwindowsからできないので困っています。 しばらくすれば外部のDNSサーバーに反映されているのでnamed.confの設定に問題はないと思うのですが。 windows側はプロトコルにnetbeuiを追加したぐらいで とくに特別な設定はしていません。 よろしくお願いします。

  • 外部DNSサーバについて

    現在社内では、DMZに置いている外部DNSサーバがプライマリで、 プロバイダにある外部DNSサーバがセカンダリで運用しております。 そろそろリプレースの時期なのですが、最近の流れとしまして外部DNS サーバは以下のうちどちらが良いでしょうか? (1)プライマリ、セカンダリともにプロバイダの外部DNSサーバにする (2)プライマリを自社、セカンダリをプロバイダの外部DNSサーバにする また、自社でDMZに外部DNSを設置する場合は通常BINDになります でしょうか? DMZにあるのがWindowsなので、WindowsのDNSサーバでもよいかどうか 迷っております。

  • NTT PR-S300SEのDNS設定方法

    外部にサーバーを公開する場合、NTT PR-S300SEのDNS設定方法を教えてください。 自宅からWebサーバーでホームページを外部に公開しています。 その他 メールサーバー、DNSサーバーも使用しています。 DNSサーバーは、内部向けのみとし、名前解決できない時は、プロバイダのDNSサーバーに聞きに行くようにしています。  forwarders { XXX.XXX.XX.XX; // プロバイダのプライマリ DNS の IP アドレス XXX.XXX.XX.XX; // プロバイダのセカンダリ DNS の IP アドレス }; 先日、●NTT西日本フレッツ光プレミアム から ●フレッツ光ネクスト に乗り換えました。 ●光プレミアムではCTUの設定を  [接続先詳細設定] ISPのプライマリDNS:auto セカンダリDNS:auto  [ドメイン問い合わせ先設定] 内部のDNSサーバーのアドレス としていました。 ●光ネクスト PR-S300SE(HGW)には[詳細設定]に[DNS設定]がありますが  プライマリ、セカンダリDNSサーバアドレス に自宅DNSサーバアドレス(V4)を入力するとエラーとなり設定できません。 (説明書には、IPv6アドレスのみ設定できます。とあります) しかたなしに、[基本設定][接続先設定][メインセッション][DNSサーバアドレス]  [プライマリDNS] 自宅DNSサーバーアドレス   [セカンダリDNS] プロバイダのプライマリDNSアドレス として使っています。 [セカンダリDNS]にプロバイダのプライマリDNSアドレスを入れているのは、自宅サーバーがダウンした時に外部に接続可能とするために設定しています。 以上のような変則的な設定をしていますが、正しくはどのようにしたらよろしいのでしょうか。 (自宅DHCPサーバーはたてていません。HGWのDHCPを使用いています) よろしくお願いします。

  • BINDの名前解決について

    お世話になります、表題の件について助けて頂けますでしょうか? 自宅サーバー(固定IP+ドメイン)を設定し、Postfix,BIND9を運用しています。 しばらく問題なく(問題に気がつかずに)メールなど利用していたのですが、ある時特定のドメインに対する正引きが出来ていない事に気がつきました。 以下、状況説明 1.自宅サーバーでnslookup,host,dig いずれのコマンドを打っても複数のドメイン(example.ne.jp)の名前解決ができない。 他方一部のドメイン、yahoo.co.jpやmsn.co.jpなどは解決できています。 2.上記1と同じコマンドをプロバイダから割り当てられたネームサーバーで名前解決を試みた(nslookup example.ne.jp プロバイダのネームサーバー)所、上記1と同じ結果になる。 3.インターネットエクスプローラーのDNSの設定をプロバイダ指定のネームサーバーに設定して問題のあったドメイン(example.ne.jp)の頭にwwwをつけて閲覧したところWEBの閲覧は可能。 4.自分のドメイン(mydomain.com)に対する正引・逆引は正しい値を返す。 思うにBINDが自分のゾーン以外の名前解決のリクエストを他のDNSサーバーに依頼するのがうまく行ってないのかな?とも思うのですが、(1,2で失敗し、3で上手くいく為)解決方法が見つからず困っています。 環境はOSがVineLinux3.2 BIND9.2.4です。 どうかご教授の程よろしくお願いします。

  • フィルタリングのTCPとUDPについて

    DNSサーバの設定を行い、外部からアクセスできるように設定をしたのですが、設定例で53番のTCPとUDPの両方を開けるようにしたものをよく見かけます。DNSは53のUDPなのでUDPのみ開ければよいのではないでしょうか。以前から気になっていたので教えてください。

  • DNSのMXレコードの設定

    現在、WindowsServer2003R2を管理しています。 バックアップにARCserve-R11.5を使用しており、その処理結果をEメール送信したいのですが、DNSのMXレコードにSMTPサーバが登録されていないとNGらしくて送信出来ない状態です。しかし、同一ドメイン&セグメント上にはメールサーバは存在せず、メールの送受信には外部プロバイダのメールサーバを使用しています。この場合、DNSにはどのように登録すべきなのでしょうか。 ちなみに社内は単一ドメイン&DNSですが外部へは非公開で、外部インターネットに対してはプロキシサーバ経由でアクセスしています。 解決策がお分かりの方いらっしゃいますでしょうか。

  • DNSサーバ自身のDNSアドレス設定について

    教えてください。 DNSについてよく理解できておりません。 インターネットに出ていくPC端末のリゾルバが参照している DNSサーバはプライマリとセカンダリの2台あります。 質問の内容は そのDNSサーバが参照しているDNSのアドレス つまりリゾルバとして参照しているアドレスは そのプライマリ、セカンダリのお互いの アドレスになっています。 プライマリは通常外部のインターネット上の キャリアが提供するDNSサーバとか指定しなくていいのでしょうか? それらのDNSサーバはどのように外部のDNSサーバに問い合わせするのでしょうか? 自ドメインへの外部からの問い合わせに対する DNSサーバは別回線のネットワークの中に他に1台あります。

  • DNS(BIND)の設定について

    教えてください。 named.confの設定と思いますが、 allow-queryやallow-recursion又、recursion yesもしくはnoなどの設定が あります。 これらはどのような設定をする為のものか、教えていただけないでしょうか。 どのような違いがあるのでしょうか? それぞれ設定する上で関係することがあるのでしょうか? DNSサーバを設置している環境や用途は以下の通りです。 プライマリのDNSサーバを社内に立てます。 セカンダリサーバはプロバイダ側で用意します。 サーバを公開するのと、会社内のPCがインターネットへ出れるようにしたいです。(プロキシ経由) とりあえずallow-recursionだけ社内のPCが存在しているローカルセグメントを 書いて設定しました。 allow-queryやrecursionの設定はどのようにすればいいのでしょうか? すみません。よろしくお願いします。

注目のQ&A

カテゴリ

専門家に質問してみよう

職業から探して質問する

あなたにピッタリな商品が見つかる! OKWAVEセレクト

質問する