nmap -sU -p 53 192.168.11.150
localhostではfilterdとなり、その他のホストではclosedとなった。
ローカルホストからのみ受け付けるようになっていた。どうやらセキュリティの関係でデフォルトが厳しくなった模様。
listen-on port 53 { internal; 127.0.0.1; };
自分のドメイン以外をキャッシュしてしまう設定のこと。攻撃者がDDOSの踏み台に使うので内部IPから以外は利用させないように設定しておくべし。プライマリーDNSサーバーとキャッシュDNSサーバーを分離し、プライマリーではRECURSIONを禁止する。
簡略化のためゾーン=ドメインと考えてみる。ひとつのDNSで複数のゾーンを管理できる。
共通秘密鍵が一致しないとゾーン転送を許可しないセキュリティの高い仕組み。プライマリーとスレーブで同じ設定を行う。
SOA | ドメイン情報レコード |
A | 正引きレコード |
PTR | 逆引きレコード |
MX | メールサーバ用レコード |
CNAME | Canonical Name の略。別名でAレコードに紐づける |
インストールしただけでは設定ファイルがないので起動に失敗する。下記記述を参考にして設定ファイルを用意せよ。
// generated by named-bootconf.pl options { directory "/var/named"; # アクセス元制限 allow-query { 127.0.0.1; 192.168.1.0/24; }; # ゾーン転送(セカンダリ複製用途)制限 allow-transfer { 127.0.0.1; 192.168.1.0/24; }; # 見つからなかったときのネームサーバー forwarders { 202.248.0.42; 210.131.113.126; }; }; zone "rutake.com" { type master; file "rutake.com"; };
下手にキャッシュをさせるとDNS汚染にはまる可能性があるので、基本内向きのみキャッシュサーバの利用対象者を制限する。
まず、fowardersに転送してだめなら自力で探しに行く
fowardersに転送するのみで、forward先で解決できなくても自力で探しに行かない。
ルートサーバの情報。/var/named/named.caとして保存
rndc reload