トラブルシューティング

ローカルホスト以外から接続不可能

 nmap -sU -p 53 192.168.11.150

localhostではfilterdとなり、その他のホストではclosedとなった。

ローカルホストからのみ受け付けるようになっていた。どうやらセキュリティの関係でデフォルトが厳しくなった模様。

listen-on port 53 { internal; 127.0.0.1; };

セキュリティ対策

オープンリゾルバ

自分のドメイン以外をキャッシュしてしまう設定のこと。攻撃者がDDOSの踏み台に使うので内部IPから以外は利用させないように設定しておくべし。プライマリーDNSサーバーとキャッシュDNSサーバーを分離し、プライマリーではRECURSIONを禁止する。

基本用語を覚える

ゾーン

簡略化のためゾーン=ドメインと考えてみる。ひとつのDNSで複数のゾーンを管理できる。

TSIG

共通秘密鍵が一致しないとゾーン転送を許可しないセキュリティの高い仕組み。プライマリーとスレーブで同じ設定を行う。

レコードの種別

SOAドメイン情報レコード
A正引きレコード
PTR逆引きレコード
MXメールサーバ用レコード
CNAMECanonical Name の略。別名でAレコードに紐づける

インストール

インストールしただけでは設定ファイルがないので起動に失敗する。下記記述を参考にして設定ファイルを用意せよ。

設定ファイル

named.conf

// generated by named-bootconf.pl
options {
       directory "/var/named";
       # アクセス元制限
       allow-query {
               127.0.0.1;
               192.168.1.0/24;
       };
       # ゾーン転送(セカンダリ複製用途)制限
       allow-transfer {
               127.0.0.1;
               192.168.1.0/24;
       };
       # 見つからなかったときのネームサーバー
       forwarders {
               202.248.0.42;
               210.131.113.126;
       };
};
zone "rutake.com" {
       type master;
       file "rutake.com";
};

その他オプション

下手にキャッシュをさせるとDNS汚染にはまる可能性があるので、基本内向きのみキャッシュサーバの利用対象者を制限する。

まず、fowardersに転送してだめなら自力で探しに行く
fowardersに転送するのみで、forward先で解決できなくても自力で探しに行かない。

named.conf以外のファイル

named.ca

ルートサーバの情報。/var/named/named.caとして保存

オペレーション

更新されたゾーン情報を読み込む

 rndc reload
Counter: 6889, today: 3, yesterday: 1

トップ   編集 凍結 差分 履歴 添付 複製 名前変更 リロード   新規 一覧 検索 最終更新   ヘルプ   最終更新のRSS
Last-modified: 2022-10-14 (金) 13:16:53