回答編集履歴
1
追記
answer
CHANGED
|
@@ -35,4 +35,40 @@
|
|
|
35
35
|
> セグメントは、DMZ環境とイントラ環境で同一セグメント192.168.1.0/24としています。
|
|
36
36
|
|
|
37
37
|
別セグメントにして、間にルーター/ファイアーウォールを置いて通信を制限するのが一般的だと思いますが、192.168.1.0/29 など、/24 内で小さく分けているということでしょうか?
|
|
38
|
-
単に、別ドメインとして、「DMZ」「イントラ」と呼んでいるということでしょうか?
|
|
38
|
+
単に、別ドメインとして、「DMZ」「イントラ」と呼んでいるということでしょうか?
|
|
39
|
+
|
|
40
|
+
###(2018/05/26 11:10) 追記
|
|
41
|
+
コメントにも書きましたが、「DMZ」「イントラ」という用語から、勝手に「イントラ」→「DMZ」→インターネットという経路と思い込みました。
|
|
42
|
+
```
|
|
43
|
+
クライアント→DNSキャッシュ→DNSコンテンツ(tokyo.local, shibuya.tokyo.local)
|
|
44
|
+
```
|
|
45
|
+
で、ゾーンごとにアクセス元IPアドレスで制限したいということですね。
|
|
46
|
+
|
|
47
|
+
> 3. イントラ側クライアント(192.168.1.11)→イントラ側 DNSサーバー(192.168.1.12)
|
|
48
|
+
> 3-2. "tokyo.local" ゾーンへの問い合わせ&応答は?→届きません。
|
|
49
|
+
|
|
50
|
+
ここはできるはずです。
|
|
51
|
+
ログファイル(/var/named/data/named.run または /var/named/chroot/var/named/data/named.run)を確認ください。
|
|
52
|
+
|
|
53
|
+
**DNSコンテンツサーバーの named.conf**
|
|
54
|
+
|
|
55
|
+
zone "shibuya.tokyo.local" の allow-query の IPアドレスが違うようです。
|
|
56
|
+
(192.168.178.21 → 192.168.1.21)
|
|
57
|
+
|
|
58
|
+
**DNSキャッシュサーバーの named.conf**
|
|
59
|
+
|
|
60
|
+
DNSコンテンツサーバーに DNSSEC の設定はしていないようですので、DNSSEC の検証を無効にする必要があります。
|
|
61
|
+
|
|
62
|
+
```
|
|
63
|
+
(DNSキャッシュサーバーの named.conf)
|
|
64
|
+
options {
|
|
65
|
+
(略)
|
|
66
|
+
//dnssec-enable yes;
|
|
67
|
+
//dnssec-validation yes;
|
|
68
|
+
dnssec-enable no
|
|
69
|
+
(略)
|
|
70
|
+
}
|
|
71
|
+
|
|
72
|
+
(略)
|
|
73
|
+
//include "/etc/named.root.key";
|
|
74
|
+
```
|