[plamo:25363] Re: BINDの悩みは、どこに？

[早間]

早間です。

From: 須々木俊太 <shunta@leto.eonet.ne.jp>
Subject: [plamo:25361] BINDの悩みは、どこに？
Date: Sat, 23 Apr 2005 00:23:54 +0900
Message-ID: <4269170A.8050502@leto.eonet.ne.jp>

> 現在、固定IP１個でDNSサーバを運用しております。
> aclを使ってローカル側からの名前解決とグローバル側の名前解決を切り分けて
> 運用しています。bindは9.2.5をmakeしてchroot環境で使っています。
> 

同じ状況で bind を動かして居ます。

> ただ、市販のいわゆる『ブロードバンドルータ』を使ってPort Forward->ローカ
> ルIPで運用しているサーバな為かグローバル側からのnsupdateがうまく行きませ

グローバル側からの nsupdate は使った事が無いのですが、bind 自体が
53 以外のポートを使用します。
options {
        directory "/var/named";
        forwarders {211.9.226.5;211.9.226.69;};
        allow-transfer{192.168.0.0/23;};
        query-source address * port 3535;
        dnssec-enable no;
};

のように使用するポートを指定してこの窓も開けています。
これも、外部からの内部ホストへの不明朗なアクセスとしてログが作成さ
れ調べたところ当該ポートを bind が使用していることが判明し他ので
特定のポートを使用させるようにしました。

router は linux の iptables によるパケットフィルタリングです。

allow-update などの設定や、bind の出すログ検査に遺漏は無いと思いま
すが、流れるパケットなどをダンプして、実態を把握する以外に方法は無
いのではと感じます。
判明した後では、単純な思いこみと言うことが後を絶ちません。

市販の(十把一からげに出来るか疑問ですが)ブロードバンドルータも使用
していますが、iptables によるフィルタリングに比較して
「網の目が粗い」と言う感じが強いです、つまり「市販のブロードバンド
ルータだから通ってしまった」と言う認識です。

個人的に「ヤマハのルータ」ファンです。ヤマハ以外で３台しか使用した
ことは無いのですが、linux のルータを止めるときはヤマハのルータにし
ます。cisco を使ったことが無い上での話ですが、サーバ運営に他のルー
タを使うと不満が残ります。しかし、これも「網の目が粗い」と言う不満
です。

-- 早間 義博
    メイリングリストから送られてくるメイル以外届きません。