自DNSサーバが名前解決できない

Ubuntu16.04上でbind9でDNSサーバを構築したのですが、問題が発生しています。ここで作成したDNSサーバは、仮に10.0.0.1というグローバルIPと、example.comというドメイン名を持っているものとします。

そして、ゾーンの中で

www  IN A     10.0.0.1
www2 IN CNAME www

のように設定しました。

手持ちのMacからdig google.co.jp @10.0.0.1のように外部のウェブサイトを調べると、IPがちゃんと帰ってくるのですが、dig www.example.com @10.0.0.1とすると返ってきません。一方で、別のDNSを使うと(dig www.example.com @8.8.8.8やdig www2.example.com @8.8.8.8)、www2がwwwに変換されているところまで見えるようにちゃんと返ってきました。

ファイアウォールはbind9用にポート53と953を開けています。

どこから手を付ければ良いのでしょうか？漠然とした質問で申し訳ありませんが、よろしくお願いします。

行動規範の内容に同意します

回答3件

dig www.example.com @10.0.0.1 +trace とコマンドを発行すると
問い合わせ状況が分かるので、原因が特定できると思います。

投稿2017/01/09 08:17

granfa_yuzo

総合スコア356

解決後ですが、老婆心から。

ポート953をインターネットに対して開く必要性はあまり感じません。rndcでnamedをコントロールするためのポートですから、通常はローカルホストに対して、せいぜいLAN内に対して開けるだけでいいはずです。

また念のためですが、53/tcpの他に53/udpは開いているでしょうか。UDPでしかアクセスしてこないクライアントもあり得ます。

それと、サーバを権威サーバ兼キャッシュサーバ (フルリゾルバ) として使う想定のようですが、インターネットに対してキャッシュサーバとして公開するとキャッシュ毒入れ (キャッシュポイズニング) の攻撃を受けるリスクが高まります。もしもプロバイダがスレーブサーバを提供してくれているのなら、問題のサーバは権威サーバとしてだけ利用し (再帰検索は受け付けず、ゾーン転送はスレーブ以外に許可しない)、組織内のクライアントから利用するリゾルバはプロバイダ提供のDNSを使った方がいいと思います。あるいは次善の策として、インターネット側と組織内とで別々のゾーンを設定して、後者にだけ再帰検索を許すことも考えられます。

投稿2017/01/09 15:29