[plamo:10509] Re: DNSの設定(forwardの意味?）

[Kenyu Kawamoto]

川本@横浜です。

#今日(7/25)日の関東の夕立は激しかったですね。

DNSのブックレビューの原稿が仕上がり、その中でわかったことを
自己レスですが、いくつか。


forward onlyとfoward firstの違いですが
これは、以前調べた
> forward first; 
> デフォルトの設定は"forward first" で、 最初にそれぞれの forwarders に問
> い合わせを行い、失敗した場合にはじめて自分自身で聞き込み調査を始めます.
> フォワーダに回送し、失敗すると通常の名前解決を行う。
> 
> forward only;
> "forward only" を設定しておくと、 BIND は forwarders から反応が帰って
> こないとすぐにあきらめます。
> すべてのリクエストをフォワーダに送り解決できないとエラーとなる。
というのであっているようです。あとforward firstでは信頼できるデータ以外
は破棄するようになっているので、ISPのDNSのキャッシュ内のデータなどは
すべて破棄されてしまうようです。
ですから、大抵の場合はroot.hintを使って自分で調べることになります。


また、以下はnamed.confの簡単な構成です。
options {
  directory "/var/named"
  forward only;
  forwarders {
    192.168.0.1;
    192.168.0.99;
  };

zone "local"{
  type master;
  file "localzone"
};

zone "192.168.0" {
  type master;
  file "aaaa";
};

まず、optionないのforward onlyで「全ての名前解決（クエリ）は、フォワード
を行う」と指定します。全てですので、ローカルも外部の名前解決もすべて
フォワードする設定となってしまいます。
次に、２つのゾーンファイルですがこれはローカルの名前解決は、自分で行うと
いった指定を例外的に指定していることになります。
こういった設定方法は、linuxでは良くある手法ですね。


次にquery-sourceport 53ですが、
BIND8から、どのポートからもDNSサーバー(53)に対して名前解決を依託すること
ができるようになりました。BIND4では依託側も53ポート固定だったようです。
DNSでは通常動作ではUDPを使用するので、ファイヤーウォール内からは、名前解
決のUDPパケットがどのポートからくるかわかりません。
DNSがファイヤーウォールの外にあると全てのUDPパケットは内部に通過させなけ
ればならなくなります。
これではファイヤーウォールの意味がありません。

(Internet)---------+---(DNS)[UDP53] *  FireWall
                   |                *
                   +----------------*--------(computer)[UDP 全て]
                                    *

これと同じことは、DNSがDNSをたどるときにもいえます。そこで、53ポートを依
託するときのポートに固定して、firewallもそこだけ通過できるようにすること
で解決をみるために、このquery-sourceport 53はあるようです。



--------------------------------------------
Kenyu Kawamoto
(1)kenyu_k@f6.dion.ne.jp(定期的にみます）
(2)knkawa@hotmail.com(その他出先にて）
--------------------------------------------