回答編集履歴
1
追記
test
CHANGED
|
@@ -73,3 +73,75 @@
|
|
|
73
73
|
別セグメントにして、間にルーター/ファイアーウォールを置いて通信を制限するのが一般的だと思いますが、192.168.1.0/29 など、/24 内で小さく分けているということでしょうか?
|
|
74
74
|
|
|
75
75
|
単に、別ドメインとして、「DMZ」「イントラ」と呼んでいるということでしょうか?
|
|
76
|
+
|
|
77
|
+
|
|
78
|
+
|
|
79
|
+
###(2018/05/26 11:10) 追記
|
|
80
|
+
|
|
81
|
+
コメントにも書きましたが、「DMZ」「イントラ」という用語から、勝手に「イントラ」→「DMZ」→インターネットという経路と思い込みました。
|
|
82
|
+
|
|
83
|
+
```
|
|
84
|
+
|
|
85
|
+
クライアント→DNSキャッシュ→DNSコンテンツ(tokyo.local, shibuya.tokyo.local)
|
|
86
|
+
|
|
87
|
+
```
|
|
88
|
+
|
|
89
|
+
で、ゾーンごとにアクセス元IPアドレスで制限したいということですね。
|
|
90
|
+
|
|
91
|
+
|
|
92
|
+
|
|
93
|
+
> 3. イントラ側クライアント(192.168.1.11)→イントラ側 DNSサーバー(192.168.1.12)
|
|
94
|
+
|
|
95
|
+
> 3-2. "tokyo.local" ゾーンへの問い合わせ&応答は?→届きません。
|
|
96
|
+
|
|
97
|
+
|
|
98
|
+
|
|
99
|
+
ここはできるはずです。
|
|
100
|
+
|
|
101
|
+
ログファイル(/var/named/data/named.run または /var/named/chroot/var/named/data/named.run)を確認ください。
|
|
102
|
+
|
|
103
|
+
|
|
104
|
+
|
|
105
|
+
**DNSコンテンツサーバーの named.conf**
|
|
106
|
+
|
|
107
|
+
|
|
108
|
+
|
|
109
|
+
zone "shibuya.tokyo.local" の allow-query の IPアドレスが違うようです。
|
|
110
|
+
|
|
111
|
+
(192.168.178.21 → 192.168.1.21)
|
|
112
|
+
|
|
113
|
+
|
|
114
|
+
|
|
115
|
+
**DNSキャッシュサーバーの named.conf**
|
|
116
|
+
|
|
117
|
+
|
|
118
|
+
|
|
119
|
+
DNSコンテンツサーバーに DNSSEC の設定はしていないようですので、DNSSEC の検証を無効にする必要があります。
|
|
120
|
+
|
|
121
|
+
|
|
122
|
+
|
|
123
|
+
```
|
|
124
|
+
|
|
125
|
+
(DNSキャッシュサーバーの named.conf)
|
|
126
|
+
|
|
127
|
+
options {
|
|
128
|
+
|
|
129
|
+
(略)
|
|
130
|
+
|
|
131
|
+
//dnssec-enable yes;
|
|
132
|
+
|
|
133
|
+
//dnssec-validation yes;
|
|
134
|
+
|
|
135
|
+
dnssec-enable no
|
|
136
|
+
|
|
137
|
+
(略)
|
|
138
|
+
|
|
139
|
+
}
|
|
140
|
+
|
|
141
|
+
|
|
142
|
+
|
|
143
|
+
(略)
|
|
144
|
+
|
|
145
|
+
//include "/etc/named.root.key";
|
|
146
|
+
|
|
147
|
+
```
|