- 締切済み
NAT配下のDNSどうやって外からアクセス?
すみません、1つ質問させてください。 win2003で試験的に内部DNSを構築したのですが、 最近以下のイベントが記録されます。 ID:5504 ソース:DNS DNS サーバーは、122.129.***.*** からのパケットに無効なドメイン名を検出しました。 パケットは拒否されます。 イベント データに DNS パケットが含まれています。 恐らくIP:122.129.***.***から当方のDNSに対して、外からアクセスがあったのだと思いますが、 DNSは内向きで、NAT配下に入っています。 またどのポートもこのDNSにはフォワードしていません。 (IPフィルターは特に掛けていません) それなのに何故外部からアクセスがあるのでしょうか? よろしくお願いいたします。
- pikapika_1210
- お礼率63% (230/360)
- ネットワーク
- 回答数4
- ありがとう数3
- みんなの回答 (4)
- 専門家の回答
みんなの回答
- notnot
- ベストアンサー率47% (4848/10261)
No2です。 >ただNAT内でフォワードしていないのに何故DNSにアクセスできるのか? >そもそもルータのFWは何故通しているのかが知りたかったのです。 TCPでもUDPでも、内側から外側への問い合わせに対する応答は(一定時間内であれば)通します。 でないと通信できない。
- maesen
- ベストアンサー率81% (646/790)
外部に問い合わせたDNSの応答のパケットでしょう。 ざっくりとした説明ですが。 ご存じのようにDNSの問合せはUDPです。 UDPはTCPのようにコネクション張りませんので、DNSのように応答があるプロトコルはその応答のUDPを受信できないと通信が成り立ちません。 そのため、NAT配下であっても応答のUDPは通すように動作します。 応答の判断はNATエントリの有無を見て、内部から送信したパケットと同じ送信先IP、ポートからの通信ならば応答だと思って処理します。(これは一例です) もちろんいきなり送り付けられたUDPパケットは通常捨てられます。
- notnot
- ベストアンサー率47% (4848/10261)
外部のDNSサーバーへの問い合わせの応答だと思います。
お礼
ありがとうございます。 ただNAT内でフォワードしていないのに何故DNSにアクセスできるのか? そもそもルータのFWは何故通しているのかが知りたかったのです。
- Toshi0230
- ベストアンサー率51% (836/1635)
ググって見たら参考URLのページがヒットしました。 んで、原因として挙げられているのが以下の5つ。 ------ 1. The DNS cache becomes corrupt with invalid domain names. 2. The DNS Server receives a spoofed response. 3. The DNS response contains domain names with characters other than 0-9, a-z, A-Z, . (Period), and - (Hyphen). 4. The DNS Server has been configured with invalid forwarders 5. The network the DNS server resides on is busy or not working properly. ------ 2,3 あたりはDNSの返答パケット内に不正なドメイン名が含まれている場合ですから、 必ずしも外部からのアクセスがあるわけではなさそうですね。
お礼
ありがとうございました。 そういう事もあるのですね。
関連するQ&A
- nat越え について
natルータの内側(ローカル)にサーバがありインターネットからnatルータ内部のサーバにアクセスする場合、「nat越え」という方法をとると思うのですがサーバがダミーのパケットを送信して と参考書に記されてあったのですがipアドレスはどこ宛に送信するんですか? またnat越えという方法をとるとインターネット上の不特定多数の人からnatルータ内のサーバにアクセスアクセスできるのでしょうか? この辺の仕組みがよくわかりません。教えてください
- ベストアンサー
- ネットワーク
- IPアドレスからその存在する機器を特定することは出来ますか?
WIN2003サーバーで、DNSサーバーのログに5504というイベントがあり、そのイベントを見ると「DNSサーバーは、216.××.××.10からのパケットに無効なドメイン名を検出しました。パケットは拒否されます。イベントデーターにDNSパケットが含まれています。」と出ています。他のIPアドレスでの表示もあり、全部で4個あります。 このログは、6月15日以前はありません。 ルーターのパケットフィルターでこの4個のIPアドレスからのアクセスをWAN側のみ遮断したところ、そのうちの1個が相変わらずDNSサーバのログに出ているのでPINGコマンドで見たところ4個とも(0% LOSS)で戻ります。つまりLAN内に存在しているように思うのですがいかがでしょうか。 このアドレスで設定を行っている機器はありません。 このアドレスを追って特定の機器或いはPCを検索することは可能でしょうか。その方法を教えてください。 システムはサーバーWIN2003×1、クライアントPCWIN XP×6、プリンター×2、ルーター×1、スイッチングハブ×2という構成です。
- ベストアンサー
- Windows系OS
- NATの内側から公開サーバへのアクセス
言葉での説明が難しいので、以下のパケットトレーサファイルを参照してください。 https://www.dropbox.com/s/4lj4vq391jwjf3i/NAT_a4.pkt?dl=0 IS_Web_SVは、IS_RTに接続され、スタティックNATで以下のようにIPアドレスを変換しています。 10.132.200.100(内部) → 183.79.135.201(外部) 外部のDNSには以下のAレコードが登録されています。 www.is.ac.jp 10.132.200.100 www.aaais.ac.jp 183.79.135.201 IS_RTに接続されているPCがこのサーバに接続する場合、www.is.ac.jpに アクセスすればファイルが表示されるわけですが、外部からと同じように www.aaais.ac.jpにアクセスできるようにしたいのです。 しかし、NATで変換しないとそれができないので、何か良い方法はないでしょうか。
- ベストアンサー
- ネットワーク
- 特定のアドレスを遮断したいのですが
WIN2003サーバーで、DNSサーバーのログに5504というイベントがあり、そのイベントを見ると「DNSサーバーは、216.××.××.10からのパケットに無効なドメイン名を検出しました。パケットは拒否されます。イベントデーターにDNSパケットが含まれています。」と出ています。他のIPアドレスでの表示もあり、全部で4個あります。 このログは、6月15日以前はありません。 このようなアドレスが4個ログに記載があり、この出所を追った所2つは国内の通販業者のアドレスでもう二つはアメリカのホスティングサービスのものでした。 これはどのように対処したらよいのでしょうか。ほって置いてよいのでしょうか。不安です。 とりあえずルーターのパケットフィルターでWAN側に破棄するように設定したのですが、相変わらずログに記録が残っているということは、ルーターを通過しているということなのでしょうか。
- ベストアンサー
- ネットワーク
- NATすり抜け攻撃?
最近自宅のパソコンに妙なパケットが飛んできます。 118.155.230.72のポート80からローカルの五桁ポート(複数)に向けてパケットが流れてきます。iptablesのESTABLISHED、RELATEDにはかからない上に、 自宅ではNAT付きブロードバンドルータを介してインターネットに接続しているので、 本来ならこの様なパケットがPCに届くはずないのです(実際ローカルのIPアドレスはプライベート)。 もちろんIPマスカレードなどで80番を公開しているわけではありません(再確認済み)。 妙です。もちろんこれらのパケットはDROPしていますが気味が悪いです。 何が起きているのででょうか? NATをすり抜ける攻撃なのでしょうか?
- ベストアンサー
- ネットワーク
- NAT(IPマスカレード)の設定法
最近購入したウェブサーバーにNATが搭載されているらしく、固定IPを保持しないままこれを利用して独自ドメインからのアクセスを試みたいのですが、一体このNATに何の情報を設定すれば機能するか教えてください。ドメインネーム等は業者で取得済みでウェブサイトから情報変更可能です。 あとNATはダイナミックDNSを取り扱うDiCEなどのソフトとは違うのでしょうか? またこの技術でセキュリティは保たれるのでしょうか?
- ベストアンサー
- その他(インターネット・Webサービス)
- 内部向けDNSの構築について
お世話になります。 下記の様な環境で、内部にDNSサーバを構築しようとしていますが可能でしょうか。 ルータIP:192.168.0.1/24 Linuxサーバ1(DNSサーバ)IP:192.168.0.2/24 Linuxサーバ2(Web、メールサーバ)192.168.0.3/24 クライアント1:192.168.0.10/24 クライアント2:192.168.0.11/24 ルータにポートが4つありそれぞれのマシンが繋がっている状態です。 またルータに外部接続用のインターネットの設定がされています。 練習の為に構築しようと思っているので、内部のみで名前解決が出来ればと考えております。DNSサーバはCentOS4を使用してます。 この様な環境で内部向けのDNS構築サイトの情報や、またどのように設計したらよいかなど分かる範囲で教えて頂ければと思います。 よろしくお願いします。
- 締切済み
- ハードウェア・サーバー
- DNSとActiveDirectory
現在Windows2000Svでをプライマリドメインコントローラにした、アクティブディレクトリ環境が、あるのですが、今回、WindowsServer2003で、新しい追加ドメインコントローラを構築することになりました。 このWindows2000Svで、アクティブディレクトリを構築した人が、DNSの情報は、アクティブディレクトリで、持っているので、普通にDNSを構築するのとは、違ってフォワードリバース共、情報を、コピーする作業はいらないと言っています。 そこで、お聞きしたいのですが、DNSの情報は、ActiveDirectoryでは、コピーの必要なく、プライマリのドメインコントローラであるActiveDirectoryが共有してくれて、新しいドメインコントローラを形成するという考え方で正しいのでしょうか? お解りの方、どうぞご教授くださいませ。 ヨロシクお願いします。
- ベストアンサー
- Windows系OS
- DNSでポート変換はできないのでしょうか?
自前のDNSサーバーを設置した場合、ホスト名→IPアドレス:ポート番号と変換したいのですが。 sv1.example.jp → 210.100.20.10:10001 sv2.example.jp → 210.100.20.10:10002 sv3.example.jp → 210.100.20.10:10003 このように、サブドメインの名前問い合わせに対して、IPアドレスと、あて先ポートを返す用に出来ないのでしょうか? ※ルーターのNAT,NATeなどの機能ではなくDNSの正引き名前解決時にポート番号を変換したいのです。 よろしくお願いいたします。
- 締切済み
- その他([技術者向] コンピューター)
- UPnPのNAT越えの仕組みが分からない
通常、外部からルータに届いたパケットはNAT設定にしたがってプライベートIPへ変換されると理解しているのですが、UPnP対応ルータとWinXP使用環境下ではポート解放していなくても外部からのアクセスが可能と聞きます。 その仕組みがどうしても理解出来ません。 ルータに届くパケットには宛先としてグローバルIPとポート番号が記述されているのが普通と思いますが、ルータに複数のクライアントがぶら下がっているとして一体どうやって目的のプライベートIPアドレスを探し出してパケットを転送するのでしょうか?
- ベストアンサー
- ネットワーク
お礼
ありがとうございます。 てっきりルータのFWでポートフォワードに設定している物以外は 捨てられる物だと思っていました。 UDPであれば通す物もあるのですね。 勉強になりました。