まっく@会社でございます。
明日は回線切替日でバックボーンをイジっています。どうか壊れないように…。
> uenoです。
> 再び質問なのですが…。。
>
> ここで質問する事ではナイのですが。。。
> すがる思いで涙。
↑
すがって下さい。涙して下さい。(笑)
確かに…これはBQのお話ではなく、完全にDNSの動作のお話なのでスレ違いになっ
てしまいます。ですが、皆様スレ違いでもやさしくご回答していらっしゃるので、
私も出来る限りお手伝いという事で…。私はsausalite周りは全然ダメポなんで…。
※非常にねむねむ…の為、文章がおかしかったらすみません。(笑)
それではレス、スタートです。
> BlueQuartz5100RをwwwとDNSとして使用してネットワークを構築しようと
> 試みておるのですが…ファイヤーウォールの問題もあるかと思い、
> ルーターを購入しました。
↑
こういった場合は製品名(グレード)も明記してください。
ファイアウォールとして【ルータ】を購入した…という事はステートフルインス
ペクションなルータという事になりますか?それとも、ただ単純な量販店で置い
ているルータでしょうか?
※上記用語はGoogleって下さいね。
この動きによっても、LAN側上りをフル通しではなく、固定決め打ちする場合は
ちょっとnamed.confに【query-source address * port 53】とかを書く必要もあっ
たりしますからね。でも、通常は
Souce LAN Port:ANY → Destnation WAN Port:ANY
みたいにするんでしょうから…問題はないと思います。
> で、wwwサーバーはルータを使ってIPマスカレードをしたいと思っておるのですが…
> 普通?プライマリDNSサーバー(この場合はBlueQuartz)をローカルに置いて隠す為に
> ルータでIPマスカレードしちゃうのってアリ?というか出来るのでしょうか??
>
> それともDNSサーバというのは、外側に置くものなのでしょうか??
↑
これは条件にもよりますが【出来ます】。しかも、【アリ】です。
そして、DNSサーバの置き場所ですが、DMZ領域に通常配置します。LAN側には配
置は行いません。WAN/LANしかない条件でDNSを…というのは基本的にはお勧めし
ません。これはBIND(DNSのプログラム)の脆弱性の問題から、昔から言われてい
るお約束のようなものなんです。sendmailと同じようにBINDはどうしても一番使
用頻度が高いので、それなりに脆弱性は出てしまいます。
ですので、何かのきっかけに飛び込まれないようにするのと、ダメージを受けた
としても他の機器に影響をさせない為に、DMZに配置をします。
私もBIND8.2.2時代は攻撃されまくりでドッカン、ドッカンとイスラエルから落
とされておりました。(笑)
ルータ設定は
Souce WAN(全て) Port:ANY → Destnation LAN(BQ) Port:UDP/53
Souce WAN(全て) Port:ANY → Destnation LAN(BQ) Port:TCP/53
っといった所ですかね。Port:IP/53と書いた場合、製品によってICMPがデフォル
トで含む場合のルータも存在します。よって使い分けて下さい。BINDは最初UDP
でコールします。その後各クライアントやサーバがTCPでもコールして良い?と
いう設定になっているならばTCPでもチャレンジします。よって通常は上記のよ
うになります。
> ===
> ■設定?
>
> ・ルータのWAN側に固定IPを振る
> ・ルータのLAN側に固定LocalIPを振る
> ・DNS兼WebサーバーのBlueQuartzをLocalに置く。
>
> こんな状況です。
> ===
>
> DNSの設定次第で出来るのかなぁ…。。。。。
↑
上記でも言いましたが【出来ます】。
BINDで持つZONE情報と、マシン自身をルックアップする情報は基本的に違うので、
インターフェイスのIPが違っていたとしても、DNS情報というのは提供可能なの
です。よってこれらの設定が可能です。
固定IPをUsenBB(BroadGate02)で取得しましたよね?
そうすると…では例としてグローバルIPを【219.123.111.123】としましょう。
―――――
・UsenBBはMC(メディアコンバータ)なので配下にルータを設置。外部側に上記ア
ドレスを設定。内部側には【192.168.0.254】を設定。
・BQ自身は【192.168.0.1】を設定。とりあえず接続して乗っけてみる。
・BQ側の設定は
転送サーバ 221.123.123.123(Usenのセカンダリサーバ)
61.122.127.90(Usenの一般向けDNSサーバ)
61.122.112.97(Usenの一般向けDNSサーバ)
※多分関東近辺だったらこれかな…。それともGATE02でもIP1契約ではちょっと
違うかな?ちなみにUsenのセカンダリのIPは適当です。これは契約によって当然
変わりますし、お約束番号というのはありません。
ゾーン転送を許可するIPアドレス
221.123.123.123(Usenのセカンダリサーバ)
202.234.234.234(これから調査するクライアント)
という感じです。また、TCP/IP側のDNS設定は、上記設定したDNS(BIND)とは無関
係になります。/etc/resolv.confを見ているのですが、リゾルバというのはOS側
に依存します。問題なのはこの中では内部IPとして自分自身を見ても構わないの
ですが…DNSの記述がおかしくなったら何も出来なくなってしまうという事にな
ります。よって、
TCP/IP→DNSサーバ 221.123.123.123(Usenのセカンダリサーバ)
61.122.127.90(Usenの一般向けDNSサーバ)
61.122.112.97(Usenの一般向けDNSサーバ)
っとして、メインで見るものはUsenBBセカンダリを見てあげると良いかと思いま
す。これはその企業のポリシーとかも絡むのでなんとも言えませんが、このよう
なマシン設置をする場合はそうしています。(うちでは複数代の並列DNSがいるの
で、お互いを見合っている為に、あえて自分を書かなくても良くしています)
こうすれば、もしDNSのZONE記述が間違っても、影響がでるのは自分が提供する
ドメインだけのはずです。ちゃんとBQ自身はお外に出れます。
―――――
っとこんな感じですが、如何でしょうか?私…本来はFreeBSDな人だったりする
んで、ちょっとBQ&Linuxに関しては弱かったりします。皆様、教えてください
ね。謎なのは…resolv.confの動きがSolaris、FreeBSDとLinuxでは違うんです。
話すと長くなっちゃうのですが…。すごいワァ。(笑)
ではでは。
/_/_/_/_/_/_/_/_/_/_/_/_/_/_/_/_/_/_/_/_/_/
トキコ技研株式会社
システム開発部 Network Gr.
幕 内 利 洋
mail: t-makuuchi (at mark) tokico-giken.co.jp
/_/_/_/_/_/_/_/_/_/_/_/_/_/_/_/_/_/_/_/_/_/