- ベストアンサー
DNSサーバ構築における再帰問い合わせ制限とインターネット接続
demmystarの回答
- demmystar
- ベストアンサー率32% (69/213)
外部DNSサーバ(プロバイダ等) ↑ ↓ インターネット ↑ ↓ 【ルータ外側IPアドレス(α)】 ルータ ←→ 外向けDNSサーバ(A) 【ルータ内側IPアドレス(β)】 ↑ ↓ クライアントPC(B) あくまでも、こういう一般的なネットワーク構成上での話です。 (ネットワーク構成が提示されていませんので。) 「resolv.conf」:A上にある各種ネットワークを使用する アプリケーション(ping や telnet や ftp)が参照する DNSサーバを記述する 「named.conf→forwarders」:Aに問い合わせをしたが A上のDNSサーバにデータが無い場合に「より上位(再帰的)」に 代理で問い合わせに行くDNSサーバを記述する 「resolv.conf」は、A自身のための設定で、「named.conf」は、 Bの問い合わせに対応するための設定です。 但し、「resolv.conf」に nameserver 127.0.0.1 として、A自身を名前解決に使用する宣言をした場合、 「named.conf」は、A&Bの両方の問い合わせに対応する事になります。 このあたりは、設定する側のポリシー(考え方)によります。
関連するQ&A
- DNS(BIND)の設定について
教えてください。 named.confの設定と思いますが、 allow-queryやallow-recursion又、recursion yesもしくはnoなどの設定が あります。 これらはどのような設定をする為のものか、教えていただけないでしょうか。 どのような違いがあるのでしょうか? それぞれ設定する上で関係することがあるのでしょうか? DNSサーバを設置している環境や用途は以下の通りです。 プライマリのDNSサーバを社内に立てます。 セカンダリサーバはプロバイダ側で用意します。 サーバを公開するのと、会社内のPCがインターネットへ出れるようにしたいです。(プロキシ経由) とりあえずallow-recursionだけ社内のPCが存在しているローカルセグメントを 書いて設定しました。 allow-queryやrecursionの設定はどのようにすればいいのでしょうか? すみません。よろしくお願いします。
- ベストアンサー
- Linux系OS
- DNS
CentOS4.3で、bind9.24で構築していますが、固定IPと独自ドメインの関連付けがうまくいかず、 dig @192.168.1.100 www.yahoo.co.jp これは、グローバルアドレスで引けますが、dig @192.168.1.100 www.example.net 自身のグローバルアドレスが引けません。プライベートアドレスだけ引けます。nslookupでも同様です。named.confの内容は、 acl localnet{ 192と127 }; options { allow-query{ localnet; }; allow-recursion{ localnet; }; allow-transfer{ localnet; }; }; view "internal" { match-clients { localnet; }; zone "." IN { type hint; file "named.ca"; }; 省略 zone "example.net" IN { type master; file "example.net.internal.zone"; allow-update { none; }; }; zone "1.168.192.in-addr,arpa" IN { type master; file "1.168.192.internal.rev"; allow-update { none; }; }; }; view "external" { match-clients { any; }; zone "example.net" IN { type master; file "example.net.external.zone"; allow-query { any; }; }; }; $TTL 86400 @ IN SOA ns.example.net.web.example.net. ( 省略 IN NS ns.example.net IN MX 10 example.net @ IN A XXX.XXX.XXX.XXX ←xはグローバルIP www IN A XXX.XXX.XXX.XXX ftp IN A XXX.XXX.XXX.XXX mail IN A XXX.XXX.XXX.XXX 内部DNSは省略しましたが、ほぼ同様です。 東芝ノートPC SatellateA11 Cerelon2.4G メモリ512MB ポートは、53番のみ開いています。ルーターは、NTTのSV3です。理解できるお方が折られましたらご教授願います。
- 締切済み
- Linux系OS
- DNSサーバとDNSクライアントについて
DNSサーバから、そのDNSを使用しているDNSクライアントがどれだけあるか確認出来ますでしょうか? DNSクライアントだと思われる装置から、毎回Resolv.Confを確認してそのDNSサーバのIPが記述されているかを確認するしか方法はないのでしょうか?(結構手間なのでそれだけではないと思うのですが。。) DNSサーバのnamed.confに記述のあるIPアドレスの正引きや逆引きのファイルがあるのですが、これって、あくまで問い合わせしてきたDNSクライアントへの答えなので実際のDNSクライアントってわかりませんよね。。。 う~~~ん、、何かご回答、アドバイスなどありましたらお願いします。
- ベストアンサー
- その他(ITシステム運用・管理)
- DNSについて (外部からアクセスできません)
DNSの質問 現状の内容が以下です グローバルIP : 取得済み(***.***.186.28) ドメイン : 取得済み(aa.net) ルータIP : 192.168.0.1(メーカ:OMRON) Webサーバ名 : gn(ホスト名) サーバIP : 192.168.0.116 OS : RedHat ENTERPRISE LINUX 5 BNID : BIND 9.3.3rc2 Apache : 2.2.3 Webサーバ名 : dy(ホスト名) サーバIP : 192.168.0.120 OS : RedHat BNID : 無し Apache : 2.2.3 ドメイン指定完成後予定図 http://aa.net -> gn(192.168.0.116) http://aa.netはDNSサーバを導入する前にもアクセス可能 http://dns.aa.net -> gn(192.168.0.120) http://test.aa.net -> gn(192.168.0.120) gnをDNSサーバになっています。LAN内でhttp://dns.aa.netとhttp://test.aa.netアクセス可能。外部からhttp://dns.aa.netとhttp://test.aa.netのアクセスが出来ません。 DNSサーバのポート53番を開いてる。ルータのファイアーウォールに192.168.0.116のtcpとudp追加しました。 DNSサーバ構築の初心者です、設定に関して色々間違えてるところがあると思います、アドバイス頂ければ幸いです。 どうぞ宜しくお願い致します 構成ファイルが以下になります。 named.conf ******************************************************************************* // Red Hat BIND Configuration Tool // // Default initial "Caching Only" name server configuration // options { directory "/var/named"; dump-file "/var/named/data/cache_dump.db"; statistics-file "/var/named/data/named_stats.txt"; /* * If there is a firewall between you and nameservers you want * to talk to, you might need to uncomment the query-source * directive below. Previous versions of BIND always asked * questions using port 53, but BIND 8.1 uses an unprivileged * port by default. */ //query-source address * port 53; allow-query{ any; }; allow-transfer{ any; }; forwarders { 203.138.71.154; 210.150.255.66; }; version "8.0"; }; controls { inet 127.0.0.1 allow {localhost;} keys { rndckey; }; }; zone "." IN { type hint; file "named.ca"; }; include "/etc/rndc.key"; view "internal" { match-clients { localhost; localnets; }; recursion yes; zone "aa.net" { type master; file "aa.net.lan"; allow-update { none; }; }; zone "0.168.192.in-addr.arpa" { type master; file "0.168.192.in-addr.arpa.db"; allow-update { none; }; }; }; view "external" { match-clients { any; }; recursion no; zone "aa.net" { type master; file "aa.net.wan"; allow-update { none; }; }; zone "186.***.***.in-addr.arpa" { type master; file "186.***.***.in-addr.arpa.db"; allow-update { none; }; }; }; *******************************************************************************
- 締切済み
- Linux系OS
- 外部DNSのnamed.confの設定について
bind9にて外部DNSを作ろうとしたのですが 以下の点がクリアできなくて困っております。 ご教授頂ければと思います。 acl kyokaに書かれているIP以外を許可したいのですが iPの前に!をつける方法で問題ないでしょうか? また別の方法があるのでしょうか? acl kyoka { !192.168.0.0/16; !127.0.0.1; }; options { allow-recursion { any; }; allow-query { kyoka; }; recursion no; zone "hoge.jp" IN { type master; file "hoge.jp"; allow-query { kyoka; };
- ベストアンサー
- Linux系OS
- 再帰的クエリについて
VineLinux6.2(kernel-3.4.87-2vl6)でネームサーバを立ち上げています。 Vertion bind-9.6 プライマリとセカンダリを公開していますが、急に自分のドメインが解決しなくなりました。 [root@ns ~]# nslookup hoge.hoge ;; Got recursion not available from プライマリネームサーバIPアドレス, trying next server ;; Got recursion not available from セカンダリネームサーバIPアドレス, trying next server Server: プロバイダネームサーバIPアドレス Address: プロバイダネームサーバIPアドレス#53 Non-authoritative answer: Name: hoge.hoge Address: プライマリネームサーバIPアドレス, ここで、named.confのoptionsにあるrecursionを no から yes に変更すると、何事も無くプライマリネームサーバが応答します。 しかしこれでは再再帰的クエリーを許可する為、あまり好ましくありません。 そこで、 acl my-network { 自分のネットワーク; }; recursion no; allow-recursion { my-network; }; としてみたのですが、効果はありませんでした。 nslookup hogehoge 127.0.0.1 も同じ結果でした。 どこをどう触れば自分のネットワークが許可できるのかわかりません。 すみませんが、ご存知の方、よろしくお願いいたします。 ---- named.conf acl and options ----- acl my-network { 192.168.99.0/24; 127.0.0.1/32; }; options { recursion yes; <-- no ではDNSの回答を得られません。 allow-recursion { my-network; }; directory "/var/ns"; listen-on port 53 { 127.0.0.1/32; 192.168.99.0/24; }; allow-query { my-network; }; allow-transfer { none; }; forwarders { プロバイダDNS; }; empty-zones-enable no; listen-on-v6 {none; }; recursive-clients 40; };
- ベストアンサー
- ネットワーク
- Fedora 20のBIND設定について
BINDを設定してDNSサーバーを構築したいと思っているのですが、 設定方法が今一つはっきりしなく成功していません。 私のサーバー名 www.abc.com IPアドレス 192.168.0.3 ルーターIPアドレス 192.168.0.1 ダイナミックDNSを利用しています。 問題点は DNSサーバーを構築する場合 1. ルーターのポートフォワーディング設定は必要ですか。 192.168.0.3 UDP ポート番号53―53 優先度7 と設定するが、ポートの開放されていない。 あるところでは BIND設定 options { #listen-on port 53 { ・・・・ }; に#をつけている。 2. BINDインストール後でダイナミックDNSを使う場合に view "external" { ・・・・・ } を設定できるのでしょうか。 あるところでは view "external" { match-clients { any; }; allow-query { any; }; recursion no; zone "server.world" IN { type master; file "server.world.wan"; allow-update { none; }; }; zone "80.0.16.172.in-addr.arpa" IN { type master; file "80.0.16.172.db"; allow-update { none; }; }; }; のように書かれているのですが、ダイナミックDNSを使うとグローバルIPアドレス は変化してしまうので80.0.16.172.dbのような書き方ができないのではと思っているのですが 考え方が間違っているのでしょうか。
- ベストアンサー
- その他([技術者向] コンピューター)
- DNSが起動できない
/etc/rndc.keyがあることは確認済みです。 -rw-------. 1 named root 77 5月 31 07:33 2013 rndc.key vi /var/named/chroot/etc/named.conf // // named.conf for Red Hat caching-nameserver // options { version "unknown"; directory "/var/named"; allow-query { localhost; localnets; }; allow-recursion { localhost; localnets; }; allow-transfer { localhost; localnets; }; forwarders { }; }; // // a caching only nameserver config // controls { inet 127.0.0.1 allow { localhost; } keys { rndckey; }; }; logging { category lame-servers { null; }; }; view "internal"{ match-clients { localnets; }; recursion yes; zone "." IN { type hint; file "named.ca"; }; zone "0.0.127.in-addr.arpa" { type master; file "0.0.127.in-addr.arpa"; }; zone "11.168.192.in-addr.arpa" { type master; file "1.168.192.in-addr.arpa"; }; zone "centos.orz" { type master; file "centos.orz.local"; }; }; include "/etc/rndc.key"; エラーメッセージError in named configuration: /etc/named.conf:18: unknown key 'rndckey' よろしくお願いします。
- ベストアンサー
- Linux系OS
- プライマリDNSがこけた時のDNSクエリの挙動
CentOSを使用しています。 /etc/resolv.confファイルの項目「nemeserver」に、プライマリDNS、セカンダリDNSともに公開DNSサーバを設定して使用しています。 ここでお伺いしたいのですが、プライマリDNSとして設定している公開DNSサーバが落ちている場合は、セカンダリDNSにクエリをかけにいくと思いますが、 この時の通信の様子をダンプして見ると、通信のたびに毎回つねに、 プライマリDNSにクエリをかける→5秒後にタイムアウト→セカンダリDNSにクエリをかける という動作を行っているようなのです。 したがって、POSTFIXでメールをリレーさせたりする時に、異常に時間がかかり、サーバとして使い物にならなくなっていまします・・・ このような状況を回避するために、 プライマリDNSが落ちているような場合は、プライマリDNSにはDNSクエリをかけずにセカンダリDNSにクエリをかけるようにしたいと思っています。 どのような設定をすれば可能でしょうか? 色々調べたのですが、該当する設定が見当たらず・・・ 何卒ご指南をいただけましたらお願い申し上げます。
- ベストアンサー
- Linux系OS
- DNSがWANからの問い合わせに反応しません。
大変恐縮ながら、以下の点につきましてアドバイスを頂けましたら幸甚です。 ●背景 FreeBSD5.5上でBIND 9.3.4をセカンダリDNSとして稼働させています。 該当ホストは、宅内のLAN上に配置され、ルータの静的NATにて固定IPからPort53(UDP/TCP)をフォワードしています。 プライマリDNSは、インターネット上の別サイトに配置され、正常稼働しています。 ●問題 宅内の該当ホストがWAN側からの問い合わせに反応しません。 ●症状 ・DNSチェックサイト(http://dnscheck.iis.se/)から該当のドメインをチェックすると、 該当のDNSホストは"does not answer queries overUDP/TCP"と言われます。 ・インターネット上の別ホストからnslookupすると下記の様に反応がありません。 # nslookup > server 11.22.33.44(該当ホスト) Default server: 11.22.33.44 Address: 11.22.33.44#53 > www.examle.com ;; connection timed out; no servers could be reached ・上記nslookup実行時に該当ホスト上のqueries.logに記録されません。 ・同様に該当ホスト上からnslookupすると下記の反応が返り、queries.logにも記録されます。 # nslookup > www.example.com Server: 127.0.0.1 Address: 127.0.0.1#53 Non-authoritative answer: www.saiminou.com canonical name = dns.example.com. Name: dns.example.com Address: 11.22.33.44 ・宅内ルータでは、下記の如く設定を確認しています。 (NTT ADSL-NVを使用。telnetして、show configで確認) entry ipnat 5 53 tcp 192.168.1.2 53 entry ipnat 6 53 udp 192.168.1.2 53 ・プライマリDNSから該当ホストへのゾーン転送は稼働しています。 ●関連情報 以下は、named.confの主要部分です。 acl "net-internal" { 192.168.1.0/24; 127.0.0.1; }; options { directory "/etc/namedb"; pid-file "/var/run/named/pid"; dump-file "/var/dump/named_dump.db"; statistics-file "/var/stats/named.stats"; allow-transfer { localhost; 22.33.44.55; //プライマリDNS }; listen-on { any; }; }; logging { channel "default_debug" { file "default.log" versions 3 size 5m; severity dynamic; print-category yes; print-severity yes; print-time yes; }; channel "query_log" { file "queries.log" versions 3 size 5m; severity info; print-category yes; print-severity yes; print-time yes; }; category queries { query_log; }; }; view "internal" { match-clients { net-internal; }; recursion yes; zone "." { type hint; file "named.root"; }; zone "0.0.127.IN-ADDR.ARPA" { type master; file "master/localhost.rev"; }; zone "1.168.192.in-addr.arpa" { type master; file "master/1.168.192.in-addr.arpa"; }; }; view "external" { match-clients { any; }; allow-query { any; }; recursion no; zone "example.com" { type slave; file "slave/example.com.zone"; masters { 22.33.44.55; }; }; }; 因みに該当ホストは遠隔地にありまして、リモートでの確認作業を強いられています。 従来は稼働していて、いつからか動作が不正になったものと推測されます。 ルータの設定は何ら変更を行っておらず、ゾーン転送が可能なことから無関係と思っておりますが、ルータのリブートは行ってみました。 暫く前に類似案件で質問させて頂いたばかりなのですが、本件は別環境となっております。 WEB上を漁りましたが、関連する情報を見つけることはできませんでした。 申し訳ありませんが、お気づきの点などありましたら、アドバイスを頂きますようお願い申し上げます。
- 締切済み
- その他([技術者向] コンピューター)