DNSサーバをDMZに移動させたい
- OpneBSD 2.9に最初から入っているbind 4.9.8を使用してdnsサーバを構築しています。DNSサーバをDMZ(ファイアーウォール内)の中に移動させるためには、named.bootにforward only; または、query-source port 53;という記述を追加すれば良いようです。
- 現在、OpneBSD 2.9に最初から入っているbind 4.9.8を使用してdnsサーバを構築しています。DMZ(ファイアーウォール内)にDNSサーバを移動するためには、named.bootにforward only; または、query-source port 53;という記述を追加する必要があります。これらの記述によって、DNSサーバがファイアーウォール内で正しく動作するようになります。
- OpneBSD 2.9に最初から入っているbind 4.9.8を使用してdnsサーバを構築していますが、現在は外部セグメントに配置されています。DMZ(ファイアーウォール内)にDNSサーバを移動するためには、named.bootにforward only; または、query-source port 53;という記述を追加する必要があります。これによって、DNSサーバはファイアーウォール内で適切に機能するようになります。
- ベストアンサー
DNSサーバをDMZに移動させたい。
はじめて質問させて頂きます。 現在、OpneBSD 2.9に最初から入っているbind 4.9.8を使用してdnsサーバを構築しています。 今このDNSサーバは外部セグメントにあるんですが、今度このDNSサーバをDMZ(ファイアーウォール内)の中に移動させたいのですが、namad.bootの記述がいまいち判りません。 http://www.linux.or.jp/JF/JFdocs/DNS-HOWTO-10.html#qanda ↑ ここのホームページにヒントで、forward only; または、query-source port 53; を記述すればいいように書かれているんですが、本当にこれらの記述をnamed.bootにすればDMZ(ファイアーウォール内)の中に移動できるんでしょうか? 初歩的な質問だとは思いますが、よろしくお願い致します。
- pageemon
- お礼率33% (7/21)
- その他(OS)
- 回答数2
- ありがとう数4
- みんなの回答 (2)
- 専門家の回答
質問者が選んだベストアンサー
ファイアウォールも設定変更するということですね。 現状は次のような接続でしょうか? LAN内にはDNSサーバがなく、セカンダリサーバもないと仮定していいですか? WAN |--[DNS] | [fw]--DMZ--[mail, web, 他] | LAN そして、次のようにしたいわけですね? WAN | [fw]--DMZ--[mail, web, DNS, 他] | LAN 以上を仮定すると、選択肢はだいぶ絞られます。 どんなDNSパケットが[fw]を通過する必要があるかを整理します。 (他のDNSサーバがからむともう少し複雑になります) [WAN<->DMZ] (1) WANからDMZ内のDNSサーバに来る質問パケット(WAN:*-->DNS:53) (2) DMZ内のDNSサーバからWANに出る返答パケット(WAN:*<--DNS:53) (3) DMZ内のDNSサーバからWANに出る質問転送パケット(WAN:53<--DNS:53) (4) WANからDMZ内のDNSサーバに来る返答パケット(WAN:53-->DNS:53) [LAN<->DMZ] (5) LANからDMZ内のDNSサーバに来る質問パケット(LAN:*-->DNS:53) (6) DMZ内のDNSサーバからLANに出る返答パケット(LAN:*<--DNS:53) (以上はすべてUDP。セカンダリがなければ、TCPは不要。) これらが全部通るように設定されていれば、DNSサーバはそのまま移動させる ことができるはずです。 ただし、bind 8/9 が動いている場合は、質問転送時の発信ポート番号がデフォ ルトで不定となるので、query-source を設定する方が [fw] の設定をより限 定できていいでしょう。 forward only (bind 4 での slave)を設定するには、forwarders が必要で す。つまり、DNSサーバが自分で解決できないときに、外部の任意のサーバに 聞きにいくのではなく、特定のサーバだけに転送することにすれば、[fw] の 設定をさらに限定できる可能性があります。([fw] の機能にもよりますが)
その他の回答 (1)
- punchan_jp
- ベストアンサー率55% (155/280)
それは、ファイアウォールが何をどう守っているのかによって全く異なります。 あまりにもがちがちに守っているのなら移動不可能という結論になるかもしれ ないし、ゆるゆるならそのまま持っていけばOKかもしれません。情報が少なす ぎます。 それから、bind 4 を使っているのでしたら、参照されている qanda のページ はまったくあてはまりません。2. の項目の前に、その上にある 1. の項目を よくごらんください。
お礼
このような質問にも、回答頂きありがとうございます。
補足
大変失礼致しました。 現在のファイアウォールはガチガチに設定してあります。 DNSサーバをDMZ上に移動させる時には、ファイアウォールの設定でDNSを通すように設定はし直します。 それから、qandaのページはおっしゃる通りbind4には全然関係ないようでした。すみませんでした。 私も色々調べてはいるんですが、なんとしてもDNSサーバをDMZ上に移動させたいので、色々ご迷惑をお掛けしますがよろしくお願いします。
関連するQ&A
- 内部DNSと外部DNSのフォワードについて
内部DNSと外部DNSの連携の部分についてご教授いただきたいのですが、 例えば社内のイントラに内部DNSがあり、DMZに外部DNSがある場合は、 内部DNSのフォワード設定で外部DNSのアドレスを指定するのでしょうか? (WindowsDNSサーバならDNS管理コンソールのフォワーダタブ、BINDならnamed.confのoptionsステータス) 一般的には内部DNSと外部DNSの連携の設定がどうなっているのかご教授 いただきたく質問致しました。 よろしくお願いいたします。
- ベストアンサー
- その他([技術者向] コンピューター)
- 外部DNSサーバについて
現在社内では、DMZに置いている外部DNSサーバがプライマリで、 プロバイダにある外部DNSサーバがセカンダリで運用しております。 そろそろリプレースの時期なのですが、最近の流れとしまして外部DNS サーバは以下のうちどちらが良いでしょうか? (1)プライマリ、セカンダリともにプロバイダの外部DNSサーバにする (2)プライマリを自社、セカンダリをプロバイダの外部DNSサーバにする また、自社でDMZに外部DNSを設置する場合は通常BINDになります でしょうか? DMZにあるのがWindowsなので、WindowsのDNSサーバでもよいかどうか 迷っております。
- ベストアンサー
- その他([技術者向] コンピューター)
- DNSサーバ
現在LINUXを勉強中です。 以下のようなネットワークを組んでいます。 RT1のセグメントはsample1.com、RT2のセグメントはsample2.comにしています。 またそれぞれのセグメントにDNSサーバとメールサーバをたてて、最終的にはメールのやり取りをしたいのですが、そもそもお互いの名前解決がうまくいきません。 お互いのDNSサーバ上でnslookupで名前解決を試してもうまく解決できないのです。 各サーバはすべてLINUXです。(CentOS) DNSサーバはBINDです。 どこが一番怪しいでしょうか。 ルートサーバー(ルートサーバーも自分でたてています。) | SW ┝━━━━━━━━━━━━━━━━━━┓ RT1(NAT設定) RT2(NAT設定) ┝━━━━━━┓ ┝━━━━━━━┓ DNSサーバ メールサーバ DNSサーバ メールサーバ
- 締切済み
- Linux系OS
- DMZ内のサーバー間で
FireWallのDMZ内にLinuxサーバが数台あります。いわゆるNATでアドレス変換する形で設置しており、各Linuxはプライベートのアドレスを割り振っています。 サーバ間でtelnetなどする時はプライベートのIPアドレスでアクセスするのが普通でしょうが、動作させているプログラムの関係でグローバルの方でもアクセスできるようにしたい場合、どうやって解決するのが一般的でしょうか? 現在はグローバルIPでtelnetなどしますとサーバに届かずタイムアウトになります。 DMZ内にはDNSもありnslookupで逆引きはできますけれども結局戻ってくるアドレスはグローバルIPなのでやはりアクセスできません。
- 締切済み
- その他(インターネット接続・通信)
- DNSサーバとDNSクライアントについて
DNSサーバから、そのDNSを使用しているDNSクライアントがどれだけあるか確認出来ますでしょうか? DNSクライアントだと思われる装置から、毎回Resolv.Confを確認してそのDNSサーバのIPが記述されているかを確認するしか方法はないのでしょうか?(結構手間なのでそれだけではないと思うのですが。。) DNSサーバのnamed.confに記述のあるIPアドレスの正引きや逆引きのファイルがあるのですが、これって、あくまで問い合わせしてきたDNSクライアントへの答えなので実際のDNSクライアントってわかりませんよね。。。 う~~~ん、、何かご回答、アドバイスなどありましたらお願いします。
- ベストアンサー
- その他(ITシステム運用・管理)
- DNSサーバに接続できない
外部とつながっていない閉じた環境内でDNSサーバの構築を試しています。 DNSサーバはBIND9.7にて作成しています。 さて、BINDの設定が一通り終わったのですが、クライアント端末からnslookupをしても 「Can't find server name for address AAA.AAA.AAA.AAA: Time out」となってしまいます。 クライアント端末(Windows)では、TCP/IPのプロパティでDNSサーバのアドレスAAA.AAA.AAA.AAA を指定しています。pingも通ります。 おそらくBINDの設定に誤りがあると思うのですが、何が間違っているのか特定できません。 named-checkconf -z で文法的な誤りは無くしています。 上記の状況で、何か私が間違っていそうな設定箇所がお分かりになりますでしょうか。 是非ともご指摘頂きたいと思います。
- ベストアンサー
- その他(ITシステム運用・管理)
- DNSサーバー、うまく動作しません
お世話になります。 VPSのお試しを利用してDNSサーバーを構築してみましたが、うまく動作しません。 正引きできないようです。 なにが悪いのかさっぱりわかりません。 単純にhttp://www.yyyyy.zzzで/var/www/html/index.htmlが動作するだけでいいのですが... どうか皆様教えてください。 dig yyyyy.zzz ; <<>> DiG 9.7.6-P1-RedHat-9.7.6-2.P1 <<>> yyyyy.zzz ;; global options: +cmd ;; Got answer: ;; ->>HEADER<<- opcode: QUERY, status: SERVFAIL, id: 11545 ;; flags: qr rd ra; QUERY: 1, ANSWER: 0, AUTHORITY: 0, ADDITIONAL: 0 ;; QUESTION SECTION: ;ooloo.asia. IN A -------------------------------------------------------------- VPSサーバーのIPアドレス xx1.xx2.xx3.xx4(実際はちゃんとしたものです) お名前.comから取得してある独自ドメイン yyyyy.zzz(実際はちゃんとしたものです) セカンダリーは「お名前.com」を利用することができたので利用した。 2nd.dnsv.jp / 210.172.129.81 参考にしたサイト http://web.arena.ne.jp/suitepro/support/manual/centos5/nameserver/bind.html -------------------------------------------------------------- 以下が処理内容です。 (1)あらかじめ入っていたbind関係のものはアンインストールし、インストールし直した。 yum -y install bind bind-utils (2)結果以下のようなものがインストールされている。 rpm -qa | grep bind bind-libs-9.7.6-2.P1 bind-utils-9.7.6-2.P1 bind-9.7.6-2.P1 (3)以下を実行した(rndc.key を発行?) rndc-confgen -a -b 256 -r /dev/urandom -u named wrote key file "/etc/rndc.key" (4)/etc/named.confを編集 vi /etc/named.conf // // named.conf // // Provided by Red Hat bind package to configure the ISC BIND named(8) DNS // server as a caching only nameserver (as a localhost DNS resolver only). // // See /usr/share/doc/bind*/sample/ for example named configuration files. // options { listen-on port 53 { 127.0.0.1; }; listen-on port 53 { xx1.xx2.xx3.xx4; }; listen-on-v6 port 53 { ::1; }; directory "/var/named"; dump-file "/var/named/data/cache_dump.db"; statistics-file "/var/named/data/named_stats.txt"; memstatistics-file "/var/named/data/named_mem_stats.txt"; allow-query { localhost; }; recursion yes; dnssec-enable yes; dnssec-validation yes; dnssec-lookaside auto; /* Path to ISC DLV key */ bindkeys-file "/etc/named.iscdlv.key"; managed-keys-directory "/var/named/dynamic"; }; logging { channel default_debug { file "data/named.run"; severity dynamic; }; }; zone "yyyyy.zzz" { type master; file "yyyyy.zzz.db"; allow-update { none; }; allow-transfer { 210.172.129.81; }; }; include "/etc/named.rfc1912.zones"; include "/etc/named.root.key"; (5)/var/named/yyyyy.zzz.dbを編集 vi /var/named/yyyyy.zzz.db $TTL 86400 @ IN SOA ns1.yyyyy.zzz. root ( 2012052003 ; serial 3H ; refresh 15M ; retry 1W ; expiry 1D ) ; minimum IN NS ns1.yyyyy.zzz. IN NS 2nd.dnsv.jp. IN MX 10 @ IN A xx1.xx2.xx3.xx4 ns1 IN A xx1.xx2.xx3.xx4 www IN A xx1.xx2.xx3.xx4 (6)bindを起動 service named start Starting named: [ OK ]
- ベストアンサー
- Linux系OS
- DNSサーバーの構築に際して
DNSサーバーの構築で使用するZONEファイルの書き方での質問です。 RedHat でDNAサーバーを構築しております 現在、zoneファイルの記述方法が間違っているらしくエラーがでて DNSサーバーが動作できません。 マスター・ゾーンサーバとスレーブ・ゾーンサーバ間でやりとりする際に 使用するので記述されている部分においてunknown RR type になってしまってて、 どういう変更すればいいのでしょうか? //参考にしているZONEファイルの記載サイト http://www.atmarkit.co.jp/flinux/rensai/bind902/bind902b.html
- ベストアンサー
- ハードウェア・サーバー
- DMZについての質問
いつもお世話になってます、Chickenです。 現在Firewallについて勉強しているのですが、 「DMZ(非武装地帯」という概念が今ひとつ理解 できません。 元々Firewallの外にいたサーバに専用の場所 (セグメント)を設け内部ネットワークに入れる 事のどの辺りが「非武装」なのでしょうか? またDMZの目的が今ひとつつかめません。 クライアントのセキュリティを保持しつつ、 「外部からのサーバに対するある程度のアクセスを 認めるもの」と理解しているのですが違いますで しょうか? どなたかお知恵を拝借ください。
- 締切済み
- ネットワーク
- DNSサーバ(BIND9)でドメインの無いホストを正引きさせるには?
お世話になります、どうかご教授いただけますと幸いです。 DNSサーバを社内ネットワーク内で利用することを考えています。 それぞれのサーバのhostsを編集する代わりに、このDNSサーバに正引きに来るイメージです。 そのため、hoge1、hoge2といったようなホスト名のみでhoge.comのようなドメインを持ちません。 この場合、named.confの設定はどのように記述してゾーンファイルを参照させればよいのでしょうか? OS:RedHat Enterprise Linux 4 ネームサーバ:BIND9 手持ちの資料はBIND入門のみでGoogle検索しても知りたい情報が うまく探せませんでした。 どうぞよろしくお願いいたします。
- ベストアンサー
- その他(ITシステム運用・管理)
補足
早速の回答、誠にありがとうございます。 ちなみに、DMZ上に内部の名前解決をするDNSサーバがあった場合はどうなるんでしょうか? その場合も、上記のようにforward onlyを設定するだけで問題ないんでしょうか? ほんとにド素人の質問で申し訳ありません。 よろしくお願い致します。 m(_ _)m ペコリ