-PR-
解決
済み

外部インターネットからDNSサーバが認識されません。

  • 困ってます
  • 質問No.99926
  • 閲覧数360
  • ありがとう数5
  • 気になる数0
  • 回答数4
  • コメント数0

OCNエコノミーの回線を使って、
SUN/Solaris(2.6)で、DNSサーバを構築しています。

ファイアーウォールの設定で、外部からDMZのDNSサーバへの
dnsポートを許可しており、また当然のことながら、その逆も許可しております。

内部LANから、外部への接続はできるようになっていますが、
外部から、DNSサーバへのアクセスができないようになってます。

どなたか、対処方法、あるいは、考えられる原因などご存知でしたら、
ご教示願えませんでしょうか?

よろしくお願いいたします。m(._.)m
通報する
  • 回答数4
  • 気になる
    質問をブックマークします。
    マイページでまとめて確認できます。

質問者が選んだベストアンサー

  • 回答No.3

外部からDMZへのアクセスはどのようにログに残ってますか?
全くログに残っていないのであれば、ファイアウォールまで到達していないので、
ISP接続の自ルータ(ある?)の設定が間違っているかも...。

ログ上は正常に接続している(ルールはあっている)のに接続できないのであれば、
DMZ上へのルーティングが問題ではないでしょうか?
DMZをローカルアドレスにしていて、DNSサーバをグローバルアドレスにNATかけている場合、
そのStaticRoutingをファイアウォールで手動設定しないと
いけない機種もあったと思います。

selenityさんが回答されているように、まず外部からDNSサーバにアクセスしてそのログがどうなるかを
確認されるのがいいかと思います。

外部へ接続は大丈夫なようなので(pop,smtp接続が出来ている)
外部へのpingが通らない件は、とりあえずおいといて、
DNSサーバへの接続を片づけるのがいいかもしれませんね。
★グローバルIPへの接続という、DMZ上のDNSサーバではなくインターネットということですよね?

※pingの話で余談ですが、
 pingは内部から外部へecho requestが通るように、外部から内部へecho replyが通るようなると思います(type0を許可)
 運用を考えると、ICMP全部通すでいいと思いますが、
セキュリティ上type13,14(Timestamp)は止めた方がいいとかいう話もききますね。
お礼コメント
noname#2802

pingの件、「echo request」や「echo reply」で制御するのですね。
この2つは、思いっきり、ファイアーウォールで禁止してました。(*^.^*)

これで、smtpやpopなどのポートを認識するにもかかわらず、
pingは通らないということが理解できました。
今回の事は、いい勉強になりました。
アドバイスいただき、ありがとうございました。
投稿日時 - 2001-07-06 22:22:06
-PR-
-PR-

その他の回答 (全3件)

  • 回答No.1
レベル12

ベストアンサー率 41% (324/772)

外部からプライベートドメインを参照しようと しているといった事はないですよね。 Network Information Centerの登録があなたのIP アドレスになっていないのではありませんか? 一般的に外部からDNS参照できない場合、Network Information Centerの登録がされていないことが 多いです。 (例:プライベートドメインをLANで使用していて その名 ...続きを読む
外部からプライベートドメインを参照しようと
しているといった事はないですよね。
Network Information Centerの登録があなたのIP
アドレスになっていないのではありませんか?

一般的に外部からDNS参照できない場合、Network
Information Centerの登録がされていないことが
多いです。
(例:プライベートドメインをLANで使用していて
その名前を外部から引くetc...)

その次に考えられることはパケットフィルタのルール
にブロックされた。
その場合、丸裸の状態でマシンを外にだし、
正常な参照が出来るかを確認する。

ファイアーウォールの設定で
・Internet-->DMZ
TCP/UDPともにDestPort:53は許可されていますか?
・DMZ-->Internet
TCP/UDPともにSrcPort:53番は許可されていますか?

また「外部から、DNSサーバへのアクセスができない
ようになってます」であれば、DNSの問い合わせは
できなのが普通なのではありませんか?
上記の設定と矛盾しているようにも見えます。
補足コメント
noname#2802

Network Information Centerの登録、ファイアーウォールの設定、
ともに正しく設定されていることを確認しました。

なお、その後の調査で、以下のことが判明しました。

<判明したこと>
 ネットワーク構成の異なるPCからグローバルIPへテストしていますが、
 相変わらず、「ping xxx.xxx.xxx.xxx」では接続確認できません。
 がしかし、メールソフトなどを使ってグローバルIPへ接続してログを見ると、
 どうやら、グローバルIPへの接続はできているようなのです。

 これは、外部から見えているということで間違いないのでしょうか?
投稿日時 - 2001-07-05 14:01:52


  • 回答No.2
レベル12

ベストアンサー率 41% (324/772)

LAN-->Internet(POP3,SMTP)がOKでも ping(ICMP)はだめな場合もあります。 これは両者のプロトコルが異なるため、 ICMPはフィルタリングルールに引っかかっている のでしょう。 「外部から見れている」かどうかは、「外部から」 接続してみない限り内部からいくら試しても 確認できません。 ファイアーウォールの設定が正しければ、 外部DNSサーバからの ...続きを読む
LAN-->Internet(POP3,SMTP)がOKでも
ping(ICMP)はだめな場合もあります。
これは両者のプロトコルが異なるため、
ICMPはフィルタリングルールに引っかかっている
のでしょう。
「外部から見れている」かどうかは、「外部から」
接続してみない限り内部からいくら試しても
確認できません。

ファイアーウォールの設定が正しければ、
外部DNSサーバからの問い合わせに答えられます。
補足コメント
noname#2802

「ネットワーク構成の異なるPCからグローバルIPへテスト」というのは、
P-Inを使って「外部から」 インターネット接続してのことでした。
表現が不十分な点がありまして、申し訳ありません。
投稿日時 - 2001-07-06 22:12:48
お礼コメント
noname#2802

いろいろとアドバイスいただき、ありがとうございました。
投稿日時 - 2001-07-06 22:16:10
  • 回答No.4
レベル6

ベストアンサー率 36% (4/11)

どうやらルーターレベルでの話に見受けられます。 dns(domain)は確かudpポートも空ける筈でしたが、 空けていますか?? ...続きを読む
どうやらルーターレベルでの話に見受けられます。
dns(domain)は確かudpポートも空ける筈でしたが、
空けていますか??
お礼コメント
noname#2802

その後、無事に解決しました。
アドバイスありがとうございました。
投稿日時 - 2001-07-06 22:23:09
このQ&Aのテーマ
このQ&Aで解決しましたか?
関連するQ&A
-PR-
-PR-
このQ&Aにこう思った!同じようなことあった!感想や体験を書こう
このQ&Aにはまだコメントがありません。
あなたの思ったこと、知っていることをここにコメントしてみましょう。

その他の関連するQ&A、テーマをキーワードで探す

キーワードでQ&A、テーマを検索する
-PR-
-PR-
-PR-

特集


いま みんなが気になるQ&A

関連するQ&A

-PR-

ピックアップ

-PR-
ページ先頭へ