[plamo:10339] Re: DNSの設定(forwardの意味?）

[KATOH Yasufumi]

加藤泰文です．

>>> On Wed, 27 Jun 2001 23:36:52 +0900
    in message   "[plamo:10319] Re: DNSの設定(forwardの意味?）"
                  Kenyu Kawamoto(kenyu_k@f6.dion.ne.jp)-san wrote:

> フォワードするということは、自己で管理しているZoneはないということですの
> で、自前で成功、失敗というものはないのでは？

そんなことはないと思いますよ．自身で管理しているゾーンがあっても
forward 設定することはありますし，そういう設定で動作します．自身のゾー
ンは自身で解決して，それ以外は別のサーバに問い合わせを転送したい場合で
すね．

逆に自身でゾーンの管理をしていなくても，ルートサーバの設定だけを行なっ
た DNS サーバを立ち上げたら，名前解決を行なうサーバが出来上がりますね．

> http://www.systeminfinity.co.jp/sub/tech/doc/bind8-g-p/Bind8-G-P-HOWTO-3.html#ss3.2
> このページで同じような設定を行っているのを見ました。

http://www.systeminfinity.co.jp/sub/tech/doc/bind8-g-p/Bind8-G-P-HOWTO-4.html

ですよね? :-)

> 私が気になっているのは「ファイヤーウオールでforward onlyにする」というと
> ころです。
> DNSのプロトコルの話で、forward onlyとforward firstではポートや接続方法が
> 違うのでは？と思っています。
> たとえば、forward onlyでフォワードした場合は、フォワードしたときに内部か
> らTCP接続を行い、外部のDNSサーバーに接続したままで応答を待つ。
> forward firstでは、接続をいったん切って、外部から内部DNS当てにTCP接続し
> ようとするとか？（もしくはUDP）
> なにかそういった違いがあるんじゃないかって思っています。

# そんな複雑な事はしてないとは思いますが… (単なる想像 ^^;) ．

ドキュメントを読んだだけでは (bind9 の奴ですが) ，単に

forward first : まず forwarders のサーバに問い合わせて，失敗したら自身
で名前解決を図ろうとする．

forward only : forwarders のサーバに問い合わせて，失敗したら失敗を返す．

ぐらいの違いしか読みとれませんでした．

firewall の中でなぜ forward only なのかの理由 (そして query-source
port 53 の理由)が書かれてないので良く分かりませんね．以下のような想像
も出来ますが…．

---
firewall によって内外のネットワークが遮断されているので，Firewall 内の
サーバが自身でルートサーバに問い合わせて名前解決をすることが出来ない．

# ついでに Firewall の設定で，内部の 53 番ポートから外部の 53 番ポート
# への問い合わせしか認められてない

したがって，forwarders に問い合わせが失敗した場合に，絶対に不可能であ
る自身での名前解決を実行する時間 (Timeout まで待つ時間)が無駄なので，
forwaders への問い合わせが失敗した瞬間に失敗を返すように設定する．
---

ってのはどうでしょう? DNS Howto の同じ章の 5 番にある「net から切断さ
れているときにも BIND を動作させておきたいんですが」と理由がにてますが…．

つたない知識で述べてますので，全く的外れ (間違い) かもしれません．それ
と御質問の事の解決には全く役立ってないですね．(_o_)

-- 
==============================================
((((    加藤泰文 (会社) karma@murata.co.jp
○-○            (個人) karma@ae.wakwak.com
==============================================
(Web Page) http://www.ae.wakwak.com/%7Ekarma/
==============================================
    フランスの音楽のページを更新 (June 26)