Q&A
ありがとうございます。
allow-recursionなどは特定のネットワークに絞っているので、どこからでもdigで名前解決できる仕様にはなっていないです。
953は不要なんですね。ファイアウォールを書き換えたいと思います。
Ubuntu16.04上でbind9でDNSサーバを構築したのですが、問題が発生しています。ここで作成したDNSサーバは、仮に10.0.0.1というグローバルIPと、example.comというドメイン名を持っているものとします。
そして、ゾーンの中で
www IN A 10.0.0.1 www2 IN CNAME www
のように設定しました。
手持ちのMacからdig google.co.jp @10.0.0.1のように外部のウェブサイトを調べると、IPがちゃんと帰ってくるのですが、dig www.example.com @10.0.0.1とすると返ってきません。一方で、別のDNSを使うと(dig www.example.com @8.8.8.8やdig www2.example.com @8.8.8.8)、www2がwwwに変換されているところまで見えるようにちゃんと返ってきました。
ファイアウォールはbind9用にポート53と953を開けています。
どこから手を付ければ良いのでしょうか?漠然とした質問で申し訳ありませんが、よろしくお願いします。
回答3件
0
dig www.example.com @10.0.0.1 +trace とコマンドを発行すると
問い合わせ状況が分かるので、原因が特定できると思います。
投稿2017/01/09 08:17
総合スコア356
0
解決後ですが、老婆心から。
ポート953をインターネットに対して開く必要性はあまり感じません。rndcでnamedをコントロールするためのポートですから、通常はローカルホストに対して、せいぜいLAN内に対して開けるだけでいいはずです。
また念のためですが、53/tcpの他に53/udpは開いているでしょうか。UDPでしかアクセスしてこないクライアントもあり得ます。
それと、サーバを権威サーバ兼キャッシュサーバ (フルリゾルバ) として使う想定のようですが、インターネットに対してキャッシュサーバとして公開するとキャッシュ毒入れ (キャッシュポイズニング) の攻撃を受けるリスクが高まります。もしもプロバイダがスレーブサーバを提供してくれているのなら、問題のサーバは権威サーバとしてだけ利用し (再帰検索は受け付けず、ゾーン転送はスレーブ以外に許可しない)、組織内のクライアントから利用するリゾルバはプロバイダ提供のDNSを使った方がいいと思います。あるいは次善の策として、インターネット側と組織内とで別々のゾーンを設定して、後者にだけ再帰検索を許すことも考えられます。
投稿2017/01/09 15:29
総合スコア4443
0
自己解決
回答ありがとうございます。自己解決しました。
named.conf.options内のdirectories設定に誤りがあったようです。
投稿2017/01/09 08:46
編集2017/01/09 08:47総合スコア10
あなたの回答
tips
プレビュー
バッドをするには、ログインかつ
こちらの条件を満たす必要があります。