[plamo:25507] Re: nsupdateのためのbind9設定

[早間]

早間です。

From: 須々木俊太 <shunta@leto.eonet.ne.jp>
Subject: [plamo:25495] Re: nsupdateのためのbind9設定
Date: Wed, 11 May 2005 17:58:20 +0900
Message-ID: <4281C92C.9030404@leto.eonet.ne.jp>

> 早間 said the following on 05.5.8 1:53 PM:
> > view "domestic" {
> >    match-clients { 192.168.1.0/24; };
> >     zone "example.jp" in {
> >         type master;
> >         file "example.jp";
> >         allow-update{192.168.1.0/24;};
> >         allow-transfer {xx.xx.xx.xx;};
> >     };
> > }
> > 
> > と言う設定で DNS のあるホストからは変更可能です。
> もうやけを起こして？viewを一切やめてみました。
>

冷たい事を申し上げるようですが、問題点が bind や nsupdate では無い
と思います。
所詮、ネットのアプリケーションは、決められた(作者やRFCの意向)ポー
トへの情報が渡りさえすれば機能するものです。

略 

> という設定後に、
> nsupdate
> >update add movie.yobi-domain.jp 3600 A 101.202.101.202
> >send
> でも結果は、
> ; Communication with server failed: timed out
> でした。
> 

ここで、ログが残っていないと言うことは、
「nsupdate のリクエストが bind に渡っていない」
と考える方が確率が高いと思います。

> > view のため、ホストを分ける必要があるので 127.0.0.1 からのアクセスは別の
> > IP 、例えば /etc/HOSTNAME から得られる IP に変更されているのでは無いで
> > しょうか。
> /etc/hosts
> # For loopbacking.
> 127.0.0.1       localhost
> 192.168.1.3     ns.world-domain.jp ns
> 
> /etc/resolv.conf
> domain world-domain.jp
> nameserver 192.168.1.3
> nameserver 192.168.1.1
> nameserver プロバイダのセカンダリDNSのIP
> search world-domain.jp
> 
> /etc/HOSTNAME
> ns.world-domain.jp
>

(1) host コマンドで得られる情報に問題はありませんか
   $  host 192.168.1.3
   $  host ns.world-domain.jp
   $  host ns
(2) dig ではどうでしょう

dns の IP は グローバルIP になっていても働くのかな？
この点は分かりません、
(/etc/resolv.conf では 192.1681.3 なのに DNS では違う値）
私のところでは下にあるように view で内部アドレスになっています。

(3) nsupdate にserver を付けて見る。
   $ nsupdate
   > server 192.168.1.3
   > update add movie.yobi-domain.jp 3600 A 101.202.101.202
   > send
   > 
   $ nsupdate
   > server 192.168.1.3 53
   > update add movie.yobi-domain.jp 3600 A 101.202.101.202
   > send
   > 
  
次の処理はエラーになりました view のせいでしょうか
    $ nsupdate
    > server localhost 
    > update ... 
    > send
    update failed: REFUSED

ご確認頂きたいのは単に time out でなく明確に「エラー」と言って来る
点が違います。

> > となりました(一度エラーを起こすとしばらくシャットアウトされるので
> > しょうか)。
> 一週間程度放っておいてからやったのですが、やはり結果は同じでした。
> 
> 
> > そこで、/etc/resolv.conf を変更して直接更新したところ問題なく
> > 変更出来ました。
> どのような変更をなさったのでしょうか？
> もしよろしければお教え下さい。
>

/etc/resolv.conf が プロバイダの DNS だったのです。

/etc/resolv.conf
nameserver 211.9.226.5 
nameserver 211.9.226.69

私のところでは
  external で
     www.example.jp  A   グローバルIP
     dns.example.jp  A   グローバルIP
  domestic で
     www.example.jp  A   192.168.1.3
     dns.example.jp  A   192.168.1.3
のようになっています。
プロバイダの DNS 経由で dns.example.jp を引くと
   グローバルIP  (external)
が渡されます。このIP にnsupdate を掛けると
   gateway 2 から masquerade で 別のグローバル IP になり
   gateway 1 から 他所の IP アドレスとして 
   www.example.jp  A   グローバルIP 
   を変更に来ます。これに対しては、DNS が allow-update を見て
   拒否してくれます。
/etc/resolv.conf を
nameserver 192.168.1.3

にすれば (domestic のままでアクセス出来ますから)
    dns.example.jp  A   192.168.1.3
が渡され、希望の動きをします。

> > 須々木さんの場合、パケットの経路に問題はありませんか、例えば 
> > DNS を外部のものを使用していて external 経由になっている
> > 結果として、router などのガードに掛かっているとか。
> > secondary の方に(先に)アクセスしているとか
> 試しに、他のディストリでも試してみたのですが、bind8,bind9共に駄目でし
> た。もうこうなってくると、ルータを疑うしかないでしょうか。
> 私はNEC製AtermBR1500Hを使っております。
> 早間さんはどこのルータを使っていらっしゃいますか？少々高くても買い替えた
> 方が良いのか、それともPlamo(iptables+rp-pppoe+bind9)でルータ兼サーバした
> 方が良いのか。考えてみます。
> 

確かに、一般のルータはサーバとして使う場合物足りなさはありますが、
dns で使用する port 53 程度の事でトラブルを発生するような事は無い
のではありませんか。
私の場合Plamo(iptables+rp-pppoe+bind9) を主に使っていますが、
Bufflo の無線 LAN のルータ部分を使って見たこともありますが支障はあ
りませんでした。今は、Plamo のルータに L4だかL2のスィッチの機能を
持たせていますが、これとて「遊び」の域を出るものではありません。

今度、ハイパーフレッツにIP 電話になったので、NTT のルータに換えて
(と言うより、IP 電話用には２セッション使用出来るルータがついている)
みようかとも思っていますが、 PPPoE ブリッジの機能を使うと現用のルー
タがそのままで使用できるので、まだ換えていません。
ただ１つのルータだと、送り先を分け合う形でしかルーティングが出来な
いので片方はPPPoE ブリッジで他方は NTTルータという形で出来ないもの
かと考えています。
# ルータを２個使うと default gateway を切り替えると同じ LAN の 
# 隣のホスト(サーバ)に外部 IP でアクセス出来る

-- 早間 義博
    メイリングリストから送られてくるメイル以外届きません。