[plamo:25500] Re: nsupdateのためのbind9設定

[須々木俊太]

ご丁寧にありがとうございます。
KATOH Yasufumi said the following on 05.5.11 7:29 PM:
> プライベートアドレスを持つ，同じ LAN 上のクライアントからサーバへ
> update をかけている，ということでよろしいでしょうか?
私の書き方が悪くてかえって迷惑をかけてしまい、申し訳ありません。
環境は、

光ケーブル->光モデム--PPPoE-->ルータ(AtermBR1500H)-->Hub-->サーバーPC

Wanポート(Global IP)｜ ルータ ｜Lanポート(Local IP)->Hub->サーバーPC
111.111.111.222                 192.168.1.1               192.168.1.3

です。
Bindが稼働しているサーバー自体のIPはローカルIP(192.168.1.3)ですが、ルー
タのポートフォワードを使っているため、グローバル側から見ると、Bindが稼働
しているサーバー自体のIPはグローバルIP(111.111.111.222)に見える形になっ
ています。


> view をやめて，A レコードを検索すると，グローバルアドレスを返すように
> した，ということですよね?
はいそうです。

>   1) resolv.conf に登録されているキャッシュネームサーバに，update 対象
>      のドメインに対して権威のあるネームサーバを問い合わせる
/etc/resolv.conf
domain world-domain.jp
nameserver 192.168.1.3
nameserver 192.168.1.1
nameserver プロバイダのセカンダリDNSのIP
search world-domain.jp

となっていますので、問い合わせは192.168.1.3に行きますよね。でも現時点で
viewを使って内と外を分けていない訳ですから、
192.168.1.3-->回答なし
192.168.1.1-->回答はGlobal側だけなので、帰ってくるIPは111.111.111.222
プロバイダのセカンダリDNSのIP-->上に同じ

> ということじゃないですかね? なら，1) で得られる結果はグローバルアドレ
> スですよね．そのグローバルアドレスに対して通信を行なおうとしているわけ
> ですから，同じプライベートアドレス内にいるサーバに到達出来ないのは当た
> り前のようなきがします．
そうですね。viewなしの現在の定義環境では無理ですね。

と、いうことは、以前のviewを使って内と外を分けていた段階では、内側から
nsupdateで更新しようとしても、allow-update指定されている定義が外側にある
為エラーとなる。そういうことですね。

だとすると、やはりこの環境下では外側のyobi-domain.jpを内側のローカルIP
(127.0.0.1や192.168.1.3)でnsupdateするのは無理ということになりませんか？

もしそれでも内側から外側のドメイン定義に対してnsupdateさせようとすると、

> もちろんポートフォワードの設定が LAN 内のホストに対しても有効なんて機
> 能をルータが持っていれば良いのでしょうけど，普通のブロードバンドルータ
> はそんな機能はないような...

ということで駄目になる訳ですね。

要はルーターが、『ローカルIPからの要求をグローバルIPに変換して、さらにリ
クエストをローカル側にポートフォアワードする』、というややこしいことが出
来なければいけない訳ですね。

私の早とちり＆思い込みかもしれませんが、ちょっと謎が解けたような気がしま
す。そんな定義がiptablesで可能であれば、別のPCをルータに仕立てて使わない
と駄目なんですね。ちょっと無理かな、、、と思っています。

とても参考になりました。ありがとうございました。
-- 
須々木俊太