[Subject Prev][Subject Next][Thread Prev][Thread Next][Subject Index][Thread Index]

[linux-users:69996] DMZ 内のDNSの設定


堀井と申します。

一元管理のため、DMZ内にDNSを設定しようとしていますが、うまくいきま
せん。長文で申し訳ありませんが何かヒントくだされば幸いです。

1.変更前の構成  (正引き、逆引き共にOK)
                 OCN 
                  |
              ---------
             | router  | 
              ---------   
            chan  | 210.xxx.yyy.10
             --------------------     World-NIC registration
            | GW(DNS,HTTP,Mail...|    chan.hoge-net.com
             --------------------     210.xxx.yyy.10
                  | 192.168.1.250
           ------------------------------------
                  |
           192.168.1.0/24

2.変更後の構成 (最終的にはDMZ内に各機能サーバーに分離予定)

                OCN 
                 |
              ---------
             | router  | 
              ---------                      変更なし
                 |                             World-NIC registration
          chan   | 210.xxx.yyy.10              chan.hoge-net.com
             ------------ 192.168.100.1        210.xxx.yyy.10    
            | GW(IP masq)|---------------------    
             ------------          hien   |          
                  |192.168.1.250   -----------------    
                  |               | DNS,HTTP,Mail...|   
                  |                -----------------    
           -------------------       192.168.100.2
                  |
             192.168.1.0/24

GW(chan.hoge-net.com)では

[root _at_ chan /etc]# netstat -ar
Kernel IP routing table
Destination     Gateway         Genmask         Flags   MSS Window  irtt Iface
192.168.100.0   192.168.100.1   255.255.255.255 UGH       0 0      0 eth1
192.168.1.0     192.168.1.250   255.255.255.255 UGH       0 0      0 eth2
210.xxx.yyy.0   *               255.255.255.240 U         0 0      0 eth0
192.168.100.0   *               255.255.255.0   U         0 0      0 eth1
192.168.1.0     *               255.255.255.0   U         0 0      0 eth2
default         210.xxx.yyy.1   0.0.0.0         UG        0 0      0 eth0

[root _at_ chan /etc]# ipchains -L テストのためフィルタリングはかけていない。
Chain input (policy ACCEPT):
Chain forward (policy DENY):
target     prot opt     source                destination    ports
MASQ      !udp  ------  192.168.1.0/24       anywhere       any ->   any
MASQ       all  ------  192.168.100.0/24     anywhere       n/a
Chain output (policy ACCEPT):
target     prot opt     source                destination    ports
DENY       tcp  ------  anywhere             anywhere       any 
->netbios-ns:netbios-ssn
DENY       udp  ------  anywhere             anywhere       any 
->netbios-ns:139
ipmasqadm portfw -a -P tcp -L 210.xxx.yyy.10 53  -R 192.168.100.2 53
ipmasqadm portfw -a -P udp -L 210.xxx.yyy.10 53  -R 192.168.100.2 53
等(他に21,25,22,80,443)を定義しています。

[root _at_ hien /etc]# nslookup DMZ内のhienで実行するとタイムアウトになります。
*** Can't find server name for address 210.160.177.10: No response from server
*** Default servers are not available

またchan.hoge-net.com(210.xxx.yyy.10)でも同じです。
上記のportfwの代わりにdelegateでも同様の状況です。
/usr/sbin/delegated -P210.160.177.10:53 SERVER=DNS://192.168.100.2:53/
/usr/sbin/delegated -P210.160.177.10:53/udp SERVER=DNS://192.168.100.2:53/

[root _at_ hien /etc]# netstat -ra を実行すると「192.168. ---}を表示後
2分ぐらいたってから「default  192.168.110.1 ---」が表示されます。

Kernel IP routing table
Destination     Gateway         Genmask         Flags   MSS Window  irtt Iface
192.168.100.0   *               255.255.255.0   U         0 0      0 eth0
default         192.168.100.1   0.0.0.0         UG        0 0      0 eth0

namedをstartしたときのログを見ると悪くありません。
日時、時間、pid等のヘッダーは削除しています。
]: starting.  named 8.2.2-P5 Thu Nov 25 13:34:50 JST 1999 
^Iroot _at_ build.turbolinux.co.jp:/
usr/src/turbo/BUILD/bind-8.2.2P5/src/bin/named
]: hint zone "" (IN) loaded (serial 0)
]: Zone "hoge-net.com" (file named.hosts): No default TTL set using 
SOA minimum instead
]: master zone "hoge-net.com" (IN) loaded (serial 20000509)
]: Zone "0.yyy.xxx.210.in-addr.arpa" (file named.rev): No default 
TTL set using SOA minimum instead
]: master zone "0.yyy.xxx.210.in-addr.arpa" (IN) loaded (serial 20000508)
]: Zone "0.0.127.in-addr.arpa" (file named.local): No default TTL set 
using SOA minimum instead
]: master zone "0.0.127.in-addr.arpa" (IN) loaded (serial 1997022700)
]: listening on [127.0.0.1].53 (lo)
]: listening on [192.168.100.2].53 (eth0)
]: Forwarding source address is [0.0.0.0].53
]: Ready to answer queries.

基本的な設定ファイルは以下の通りです。
-----------------
[root _at_ hien named]# cat /etc/resolv.conf
search hoge-net.com
nameserver 210.xxx.yyy.10
-----------------
[root _at_ hien named]# cat /etc/named.conf
options {
        directory "/var/named";
        query-source address * port 53;
};
zone "." {
        type hint;
        file "named.ca";
};
zone "hoge-net.com" {
        type master;
        file "named.hosts";
};
zone "0.yyy.xxx.210.in-addr.arpa" {
        type master;
        file "named.rev";
};
zone "0.0.127.in-addr.arpa" {
        type master;
        file "named.local";
};
-----------------
[root _at_ hien named]# cat /var/named/named.hosts
@     IN   SOA  chan.hoge-net.com. webmaster.hoge-net.com. (
                    20000509   ; Serial
          途中 省略
                    3600 )     ; Minimum [1h]
           IN      NS      chan.hoge-net.com.
           IN      MX      10 chan.hoge-net.com.
localhost  IN      A       127.0.0.1
mail       IN      CNAME   chan.hoge-net.com.
www        IN      CNAME   chan.hoge-net.com.
chan       IN      A       210.xxx.yyy.10
-----------------
[root _at_ hien named]# cat /var/named/named.rev
@             IN  SOA  chan.hoge-net.com. webmaster.hoge-net.com.  (
                                      20000508   ; Serial
      途中 省略
                                      3600  )    ; Minimum [1h]
              IN      NS      chan.hoge-net.com. 
10            IN      PTR     chan.hoge-net.com.
------------------


-- 
Kozo Horii mailto:holly _at_ mit-sys.co.jp

この情報があなたの探していたものかどうか選択してください。
yes/まさにこれだ!   no/違うなぁ   part/一部見つかった   try/これで試してみる

あなたが探していた情報はどのようなことか、ご自由に記入下さい。特に「まさにこれだ!」と言う場合は記入をお願いします。
例:「複数のマシンからCATV経由でipmasqueradeを利用してWebを参照したい場合の設定について」