[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]
[plamo:10509] Re: DNSの設定(forwardの意味?)
-
From:Kenyu Kawamoto
-
Date:Wed, 25 Jul 2001 17:35:40 +0900
- Subject: [plamo:10509] Re: DNSの設定(forwardの意味?)
- From: Kenyu Kawamoto <kenyu_k@xxxxxxxxxxxxx>
- Date: Wed, 25 Jul 2001 17:35:40 +0900
- Posted: Wed, 25 Jul 2001 17:36:02 +0900
川本@横浜です。
#今日(7/25)日の関東の夕立は激しかったですね。
DNSのブックレビューの原稿が仕上がり、その中でわかったことを
自己レスですが、いくつか。
forward onlyとfoward firstの違いですが
これは、以前調べた
> forward first;
> デフォルトの設定は"forward first" で、 最初にそれぞれの forwarders に問
> い合わせを行い、失敗した場合にはじめて自分自身で聞き込み調査を始めます.
> フォワーダに回送し、失敗すると通常の名前解決を行う。
>
> forward only;
> "forward only" を設定しておくと、 BIND は forwarders から反応が帰って
> こないとすぐにあきらめます。
> すべてのリクエストをフォワーダに送り解決できないとエラーとなる。
というのであっているようです。あとforward firstでは信頼できるデータ以外
は破棄するようになっているので、ISPのDNSのキャッシュ内のデータなどは
すべて破棄されてしまうようです。
ですから、大抵の場合はroot.hintを使って自分で調べることになります。
また、以下はnamed.confの簡単な構成です。
options {
directory "/var/named"
forward only;
forwarders {
192.168.0.1;
192.168.0.99;
};
zone "local"{
type master;
file "localzone"
};
zone "192.168.0" {
type master;
file "aaaa";
};
まず、optionないのforward onlyで「全ての名前解決(クエリ)は、フォワード
を行う」と指定します。全てですので、ローカルも外部の名前解決もすべて
フォワードする設定となってしまいます。
次に、2つのゾーンファイルですがこれはローカルの名前解決は、自分で行うと
いった指定を例外的に指定していることになります。
こういった設定方法は、linuxでは良くある手法ですね。
次にquery-sourceport 53ですが、
BIND8から、どのポートからもDNSサーバー(53)に対して名前解決を依託すること
ができるようになりました。BIND4では依託側も53ポート固定だったようです。
DNSでは通常動作ではUDPを使用するので、ファイヤーウォール内からは、名前解
決のUDPパケットがどのポートからくるかわかりません。
DNSがファイヤーウォールの外にあると全てのUDPパケットは内部に通過させなけ
ればならなくなります。
これではファイヤーウォールの意味がありません。
(Internet)---------+---(DNS)[UDP53] * FireWall
| *
+----------------*--------(computer)[UDP 全て]
*
これと同じことは、DNSがDNSをたどるときにもいえます。そこで、53ポートを依
託するときのポートに固定して、firewallもそこだけ通過できるようにすること
で解決をみるために、このquery-sourceport 53はあるようです。
--------------------------------------------
Kenyu Kawamoto
(1)kenyu_k@f6.dion.ne.jp(定期的にみます)
(2)knkawa@hotmail.com(その他出先にて)
--------------------------------------------
[検索ページ]
[メール一覧]
Plamo ML 公開システム