[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]
[plamo:25363] Re: BINDの悩みは、どこに?
-
From:早間
-
Date:Sat, 23 Apr 2005 09:36:36 +0900 (JST)
- Subject: [plamo:25363] Re: BINDの悩みは、どこに?
- From: 早間<hayama@xxxxxxxxxxxxx>
- Date: Sat, 23 Apr 2005 09:36:24 +0900 (JST)
早間です。
From: 須々木俊太 <shunta@leto.eonet.ne.jp>
Subject: [plamo:25361] BINDの悩みは、どこに?
Date: Sat, 23 Apr 2005 00:23:54 +0900
Message-ID: <4269170A.8050502@leto.eonet.ne.jp>
> 現在、固定IP1個でDNSサーバを運用しております。
> aclを使ってローカル側からの名前解決とグローバル側の名前解決を切り分けて
> 運用しています。bindは9.2.5をmakeしてchroot環境で使っています。
>
同じ状況で bind を動かして居ます。
> ただ、市販のいわゆる『ブロードバンドルータ』を使ってPort Forward->ローカ
> ルIPで運用しているサーバな為かグローバル側からのnsupdateがうまく行きませ
グローバル側からの nsupdate は使った事が無いのですが、bind 自体が
53 以外のポートを使用します。
options {
directory "/var/named";
forwarders {211.9.226.5;211.9.226.69;};
allow-transfer{192.168.0.0/23;};
query-source address * port 3535;
dnssec-enable no;
};
のように使用するポートを指定してこの窓も開けています。
これも、外部からの内部ホストへの不明朗なアクセスとしてログが作成さ
れ調べたところ当該ポートを bind が使用していることが判明し他ので
特定のポートを使用させるようにしました。
router は linux の iptables によるパケットフィルタリングです。
allow-update などの設定や、bind の出すログ検査に遺漏は無いと思いま
すが、流れるパケットなどをダンプして、実態を把握する以外に方法は無
いのではと感じます。
判明した後では、単純な思いこみと言うことが後を絶ちません。
市販の(十把一からげに出来るか疑問ですが)ブロードバンドルータも使用
していますが、iptables によるフィルタリングに比較して
「網の目が粗い」と言う感じが強いです、つまり「市販のブロードバンド
ルータだから通ってしまった」と言う認識です。
個人的に「ヤマハのルータ」ファンです。ヤマハ以外で3台しか使用した
ことは無いのですが、linux のルータを止めるときはヤマハのルータにし
ます。cisco を使ったことが無い上での話ですが、サーバ運営に他のルー
タを使うと不満が残ります。しかし、これも「網の目が粗い」と言う不満
です。
-- 早間 義博
メイリングリストから送られてくるメイル以外届きません。
- Follow-Ups
-
- [plamo:25372] Re: BINDの悩みは、どこに?, 須々木俊太
- References
-
- [plamo:25361] BINDの悩みは、どこに?, 須々木俊太
[検索ページ]
[メール一覧]
Plamo ML 公開システム