OKWAVEのAI「あい」が美容・健康の悩みに最適な回答をご提案!
-PR-
解決
済み

DNSサーバをDMZに移動させたい。

  • 困ってます
  • 質問No.218248
  • 閲覧数712
  • ありがとう数4
  • 気になる数0
  • 回答数2
  • コメント数0

お礼率 33% (7/21)

はじめて質問させて頂きます。

現在、OpneBSD 2.9に最初から入っているbind 4.9.8を使用してdnsサーバを構築しています。
今このDNSサーバは外部セグメントにあるんですが、今度このDNSサーバをDMZ(ファイアーウォール内)の中に移動させたいのですが、namad.bootの記述がいまいち判りません。

http://www.linux.or.jp/JF/JFdocs/DNS-HOWTO-10.html#qanda

ここのホームページにヒントで、forward only; または、query-source port 53; を記述すればいいように書かれているんですが、本当にこれらの記述をnamed.bootにすればDMZ(ファイアーウォール内)の中に移動できるんでしょうか?

初歩的な質問だとは思いますが、よろしくお願い致します。
通報する
  • 回答数2
  • 気になる
    質問をブックマークします。
    マイページでまとめて確認できます。

質問者が選んだベストアンサー

  • 回答No.2
レベル11

ベストアンサー率 55% (155/280)

ファイアウォールも設定変更するということですね。

現状は次のような接続でしょうか?
LAN内にはDNSサーバがなく、セカンダリサーバもないと仮定していいですか?

WAN
|--[DNS]

[fw]--DMZ--[mail, web, 他]

LAN

そして、次のようにしたいわけですね?

WAN

[fw]--DMZ--[mail, web, DNS, 他]

LAN

以上を仮定すると、選択肢はだいぶ絞られます。

どんなDNSパケットが[fw]を通過する必要があるかを整理します。
(他のDNSサーバがからむともう少し複雑になります)

[WAN<->DMZ]
(1) WANからDMZ内のDNSサーバに来る質問パケット(WAN:*-->DNS:53)
(2) DMZ内のDNSサーバからWANに出る返答パケット(WAN:*<--DNS:53)
(3) DMZ内のDNSサーバからWANに出る質問転送パケット(WAN:53<--DNS:53)
(4) WANからDMZ内のDNSサーバに来る返答パケット(WAN:53-->DNS:53)

[LAN<->DMZ]
(5) LANからDMZ内のDNSサーバに来る質問パケット(LAN:*-->DNS:53)
(6) DMZ内のDNSサーバからLANに出る返答パケット(LAN:*<--DNS:53)

(以上はすべてUDP。セカンダリがなければ、TCPは不要。)

これらが全部通るように設定されていれば、DNSサーバはそのまま移動させる
ことができるはずです。

ただし、bind 8/9 が動いている場合は、質問転送時の発信ポート番号がデフォ
ルトで不定となるので、query-source を設定する方が [fw] の設定をより限
定できていいでしょう。

forward only (bind 4 での slave)を設定するには、forwarders が必要で
す。つまり、DNSサーバが自分で解決できないときに、外部の任意のサーバに
聞きにいくのではなく、特定のサーバだけに転送することにすれば、[fw] の
設定をさらに限定できる可能性があります。([fw] の機能にもよりますが)
補足コメント
pageemon

お礼率 33% (7/21)

早速の回答、誠にありがとうございます。
ちなみに、DMZ上に内部の名前解決をするDNSサーバがあった場合はどうなるんでしょうか?

その場合も、上記のようにforward onlyを設定するだけで問題ないんでしょうか?

ほんとにド素人の質問で申し訳ありません。


よろしくお願い致します。 m(_ _)m ペコリ
投稿日時 - 2002-02-15 19:36:10
-PR-
-PR-

その他の回答 (全1件)

  • 回答No.1
レベル11

ベストアンサー率 55% (155/280)

それは、ファイアウォールが何をどう守っているのかによって全く異なります。 あまりにもがちがちに守っているのなら移動不可能という結論になるかもしれ ないし、ゆるゆるならそのまま持っていけばOKかもしれません。情報が少なす ぎます。 それから、bind 4 を使っているのでしたら、参照されている qanda のページ はまったくあてはまりません。2. の項目の前に、その上にある 1. の項目を ...続きを読む
それは、ファイアウォールが何をどう守っているのかによって全く異なります。
あまりにもがちがちに守っているのなら移動不可能という結論になるかもしれ
ないし、ゆるゆるならそのまま持っていけばOKかもしれません。情報が少なす
ぎます。

それから、bind 4 を使っているのでしたら、参照されている qanda のページ
はまったくあてはまりません。2. の項目の前に、その上にある 1. の項目を
よくごらんください。
補足コメント
pageemon

お礼率 33% (7/21)

大変失礼致しました。
現在のファイアウォールはガチガチに設定してあります。
DNSサーバをDMZ上に移動させる時には、ファイアウォールの設定でDNSを通すように設定はし直します。

それから、qandaのページはおっしゃる通りbind4には全然関係ないようでした。すみませんでした。

私も色々調べてはいるんですが、なんとしてもDNSサーバをDMZ上に移動させたいので、色々ご迷惑をお掛けしますがよろしくお願いします。
投稿日時 - 2002-02-15 15:31:01
お礼コメント
pageemon

お礼率 33% (7/21)

このような質問にも、回答頂きありがとうございます。
投稿日時 - 2002-02-15 15:35:39


このQ&Aで解決しましたか?
関連するQ&A
-PR-
-PR-
このQ&Aにこう思った!同じようなことあった!感想や体験を書こう
このQ&Aにはまだコメントがありません。
あなたの思ったこと、知っていることをここにコメントしてみましょう。

その他の関連するQ&A、テーマをキーワードで探す

キーワードでQ&A、テーマを検索する
-PR-
-PR-
-PR-

特集


いま みんなが気になるQ&A

関連するQ&A

-PR-

ピックアップ

-PR-
ページ先頭へ