• 検索結果がありません。

REFUSED

67 67 67 67

Dec/16/2002

Copyright(C) 2002 Koh-ichi Ito, All rights, reserved, 133

slave が動かない

• IP reachability は大丈夫か ?

下位層に問題があったら、いくら

DNS

を追いか けてもムダ。

• ルータやファイアウォールでのフィルタリン グは間違っていないか ?

– DNSのパケットがsrc/destとも53番で固定だっ

たのは

BIND4

までの話。

– BIND8

からは

active open

側は任意の番号。

Dec/16/2002

Copyright(C) 2002 Koh-ichi Ito, All rights, reserved, 134

slave が動かない ( 続き )

• allow-transfer{} で slave からのアクセスまで 拒否していないか ?

運用開始後、セキュリティ設定を強化したとき は要注意。

security: error: client 10.12.34.56#2073:

zone transfer 'don.gr.jp/IN' denied

xfer-in: error: transfer of 'don.gr.jp/IN' from

172.16.7.153#53: failed while receiving responses:

68 68 68 68

Dec/16/2002

Copyright(C) 2002 Koh-ichi Ito, All rights, reserved, 135

slave が動かない ( 続き )

• ゾーン名は間違っていないか ? – RFC2317

の逆索きだとありがち。

最初は正しく設定したのに、わざわざ/24相当のゾー ンに直してしまう人が少なからず居る

;_;

• master は authority をなくしていないか ? –

設定変更後は即座にチェック。

– dig

の出力の

flags

aa

は含まれているか

?

Dec/16/2002

Copyright(C) 2002 Koh-ichi Ito, All rights, reserved, 136

DNS が動かない : 事例

• お客様からサポート要請

「自分のドメインはアクセスできるが、外がアク セスできない。」

• 回線 / ルーティング障害 ?? すわ一大事 !!

• 詳しくヒアリングしてみると

中からはauthorityを持っている名前は索ける が、外部の名前が索けない。

外からはそのサーバが索けない。

• 実際にアクセスしてみると

– ‘.’

NS

が索けない。

69 69 69 69

Dec/16/2002

Copyright(C) 2002 Koh-ichi Ito, All rights, reserved, 137

DNS が動かない : 事例 ( 続き )

• 推測

– named.root

が悪い

?

正しく入手したものだった。

外部から索けないことの説明がつかない。

• 結論

– BIND4時代の知識でファイアウォールで53番同

士のパケットしか通してなかった。

使っていたのはBIND8。

• query-source port 53;を仮に設定してもらい切り分け。

Dec/16/2002

Copyright(C) 2002 Koh-ichi Ito, All rights, reserved, 138

BIND9 のちょっと高度な設定

70 70 70 70

Dec/16/2002

Copyright(C) 2002 Koh-ichi Ito, All rights, reserved, 139

logging

• named.conf

logging{}

の設定。

• category

– namedが出すログ情報のカテゴリ。

• database,security,config,defaultなど

– category毎に送出するchannelを割当。

複数可

• channel

ログ情報の送出先。

送出先はfile,syslog,stderr,null

ファイル名、facilityなどを指定。

Dec/16/2002

Copyright(C) 2002 Koh-ichi Ito, All rights, reserved, 140

logging( 続き )

logging {

channel channel1 { file “file1”;

};

channel channel2 { file “file2”;

};

channel channel3 { syslog daemon;

severity debug;

};

71 71 71 71

Dec/16/2002

Copyright(C) 2002 Koh-ichi Ito, All rights, reserved, 141

logging( 続き )

category database { channel1;

channel3;

};

category security { channel2;

channel3;

};

category config { channel1;

channel3;

};

category default { channel3;

};

};

Dec/16/2002

Copyright(C) 2002 Koh-ichi Ito, All rights, reserved, 142

logging( 続き )

database security

config default

channel1 channel2 channel3

file1 file2 syslog

(daemon)

72 72 72 72

Dec/16/2002

Copyright(C) 2002 Koh-ichi Ito, All rights, reserved, 143

logging( 続き )

• named が起動してから logging{} の解析が 済むまでのログ情報は syslog(daemon) に 送られる。

– ARM

の記述と違う動作に見える。

• logging{} で別の channel を指定していても 起動直後のログはその channel には出ない。

• 思いとおりに動作しない。

でもログにも何も出ていない。

というときは logging{} 以前の設定に誤りが あるかも。

Dec/16/2002

Copyright(C) 2002 Koh-ichi Ito, All rights, reserved, 144

allow-query

• query 全般のアクセス制限。

– options{}

zone{}

に書ける。

• zone{}に書いた方が強い。

ファイアウォールの内側など、外に見せたくな いゾーン。

• query を許可しているホストのネームサー

バのキャッシュや slave を経由して外に漏れ ることも。

パズルをがんばる。

73 73 73 73

Dec/16/2002

Copyright(C) 2002 Koh-ichi Ito, All rights, reserved, 145

allow-query に関する失敗例

makanai makanai makanai

makanai.don.gr. .don.gr. .don.gr. .don.gr.jp jp jp jpゾーン

ゾーンゾーンゾーン

((((allow allow allow allow- -- -query query query queryで制限

で制限で制限で制限))))

makanai

makanai makanai

makanai.don.gr. .don.gr. .don.gr. .don.gr.jp jp jp jp....ゾーン

ゾーンゾーンゾーン

((((allow allow allow allow- -- -query query query設定漏れ query

設定漏れ設定漏れ))))設定漏れ

slave slave slave slave

cache cache cache cache

query query query queryを

をallow

allow allow allow don.gr.

don.gr. don.gr.

don.gr.jp jp jpの jp

authority

authority

authority

authority

今ダウンロードする "DNS の構築と運用 ~BIND..."

Outline

関連したドキュメント