BIND9.2.0で逆引きがうまくいかない

まず環境を述べます
RedHat7.3、Bind9.2.0。OCNのIP8でサーバー構築しております。ルーターはYAMAHA-RTA55iです。
自分なりに設定し、OCNに問い合わせたところ、正引きはうまくいってるらしいのｄすが逆引きがうまくいっていません。
この掲示板の過去ログをあさってみてそれらしきものはあったのですが解決しておりません。
また、OCN側にもnamed.conf 逆引きファイル、resolv.confなど全てのファイルを見せたのですが解決せずです。
OCNのページにはBind8.×のについてはかかれているのですが9の場合かわるのですか？
エラーメッセージをOCNに調べてくださいといわれたのですが・・・
エラーはvar/log/messageでいいのですかね？
ちなみにログですが
ns named[2181]: using 1 CPU
ns named[2184]: loading configuration from '/etc/named.conf'
ns named[2184]: command channel listening on 127.0.0.1#953
ns named[2184]: 0.0.127.in-addr.arpa:1: no TTL specified; using SOA MINTTL instead
ns named[2184]: 0.0.127.in-addr.arpa:8: file does not end with newline
ns named[2184]: zone 0.0.127.in-addr.arpa/IN: loaded serial 2002103001
ns named[2184]: zone ***.***.163.219.in-addr.arpa/IN: loaded serial 2002103001
ns named[2184]: zone mydomain.jp/IN: loaded serial 2002103002
ns named[2184]: zone localhost/IN: loaded serial 42
ns named[2184]: running
ns named[2184]: zone 0.0.127.in-addr.arpa/IN: sending notifies (serial 2002103001)
ns named[2184]: zone mydomain.jp/IN: sending notifies (serial 2002103002)
ns named[2184]: zone ***.***.163.219.in-addr.arpa/IN: sending notifies (serial 2002103001)

です。どなたかお願いします。困ってます。

No.2 ベストアンサー 回答者： noname#41381 回答日時： 2002/11/11 18:15

#1の補足から

いろいろとocn関連のDNS情報を見た結果
たぶんocnのセカンダリDNSが
　ns-kg-021.ocn.ad.jp.
ではなく
　ns-kg021.ocn.ad.jp.
でしょうね。
これで設定してみてください。

あと、攻撃の手助けとなるのでゾーン転送は制限をかけたほうがいいと思います。
設定例としてはnamed.confで
options {
　directory "/var/named/";
};
これを
options {
　directory "/var/named/";
　allow-query { xxx.xxx.xx.xx } ; //セカンダリDNSサーバのアドレス
};
とゾーン転送をセカンダリDNSのみ許可するようにすればいいかと。

この回答への補足

たいへんありがとうございます。
ただ、大変申し訳ないことにOCNにいわれたままRedhatの再インストールをしてしまいました。すみません。
そして、いくつかの設定をし、Bind関係の設定もしたのですが、今度はまったくpingが通らない状態になりました。OCN側からもPingが通らないといわれました。

tracerouteでルーターまではいってるようですが外部に行きません。
でもLAN上にあるWindowsでは外部に出るので、ルーターは問題ないような気がします（憶測ですが・・）。というのも再インストール前はOCNからPingが通ってましたし・・
大変もうしわけないのですが、どんな原因がかんがえられるでしょうか？

補足日時：2002/11/12 10:31

No.5 回答者： noname#41381 回答日時： 2002/11/13 09:15

#4補足より

>bind-devel9.2.0-8は以下を必要とします;bind=9.2.0
とでます。
>
すみません、自分はソースからmakeしてるので、あまりアドバイスできそうもありません。
＃RedhatのRPMは管理が出来ていないとすぐ依存関係のエラーが出てしまいますね。
＃入れる順番とか、３つ同時に入れるとかそこら辺もポイントかもしれませんね。

とりあえず、
　bind-9.2.1-1.7x.2.i386.rpm
　bind-devel-9.2.1-1.7x.2.i386.rpm
　bind-utils-9.2.1-1.7x.2.i386.rpm
の３つを持ってきて
　rpm -Fvh *.rpm　や　rpm -Uvh *.rpm
が普通ですが...
これでダメなら自分ならいっそ既存のbindを全て削除しますね。（設定ファイルはバックアップ）
　rpm -e bind-...(3つの削除順はいろいろ試す)
これでもエラーなら、最終手段で
　rpm -e --nodeps bind-...
で強制削除。
で
　rpm -ivh *.rpm
で新規にインストール。その後設定ファイルを戻す。
（個別に導入順序があったかも）
すみません、全然詳しくないので参考程度でお願いします。

No.4 回答者： noname#41381 回答日時： 2002/11/12 14:56

#3補足より

>>WindowsのPCからは大丈夫ということでしょうか？
>大丈夫です
>
忘れてましたが、WindowsPCやルータへのpingは大丈夫でしょうか？

>>ルータからのpingはどうでしょう？
>これはどのように調べるのでしょう
>
telnetでルータに入って、そこからpingです。
RTA55iは使ったことがないですが、YAMAHA系のルータなら
コマンドベースでpingやtracerouteができたと思います。
ただ、telnetサーバのサービスを起動しておく必要があります。（既定値で起動しているかな？）

ルータ設定は変えてないとのことですが、
設定内容は確認してますか？
例えばWindows-PCが外部からpingが通るのであれば、それと同様の設定をすればいいのでは？

>nslookupでIPアドレスを検索すると
>Server: 219.163.87.154
>Address: 219.163.87.154#53
>** server can't find 154.87.163.219.in-addr.arpa: REFUSED
>
Cクラス未満の逆引きにはプロバイダ側のDNS情報が必要となるので、
pingが通らない=OCNのDNSサーバに接続できない　
で上記のエラーになっているのでしょう。
このエラーが原因ではなく、接続できない原因を調べる必要がある　ということですね。

この回答への補足

あと先日言われていましたBindの件で9.20のセキュリティホールがあるとおっしゃっていたので9.2.1にアップグレードしようとおもってるのですが、
アップの際に
Lbind-devel9.2.0-8は以下を必要とします;bind=9.2.0
とでます。
これは問題あるのでしょうか？

補足日時：2002/11/13 01:33

この回答へのお礼

まず結論からいいますとping通りました。
原因はまず以前設定していたルーターはLinuxを再インストールした場合再度ファイアーウォールを規定値に戻してやらないとダメみだいです。
で戻したところうまくいきました。
逆引き、正引きもうまく動作してます。
OCNも問題ないと解答を頂きました。
やはりkanop_98さんがおっしゃってたとおりルーターでした。
でもたしかにややこしかったです。
ありがとうございました

お礼日時：2002/11/12 15:50

No.3 回答者： noname#41381 回答日時： 2002/11/12 12:34

#2補足から

>OCNにいわれたままRedhatの再インストールをしてしまいました。
>
あらら...残念です^ ^;;
#でも再インストールって...OCNサポートは素人か？

で、pingが通らない件ですが、
WindowsのPCからは大丈夫ということでしょうか？
ルータからのpingはどうでしょう？
それが大丈夫であれば、ipTablesなどのフィルタリングは大丈夫ということなので、
ルーティングがあやしいですね。
そうなるとRedhatのデフォルトゲートウェイの設定で
　netstat -rn
で「0.0.0.0」がどこに設定されているか確認してみてはどうでしょうか。

これも正常ならやはりルータ設定ではないでしょうか？
一応念のため、ルータの再起動や再設定をしてみてはいかがでしょうか。
ルータのファームウェアの障害で、再度ファームウェアをバージョンアップ等しないと
設定が反映されない等の話をよく聞きます。
こうなると見た目ではわからないということですね。
手詰まりの時はルータの初期化＋ファームウェアの再セットアップをお薦めします。

この回答への補足

>WindowsのPCからは大丈夫ということでしょうか？
大丈夫です
>ルータからのpingはどうでしょう？
これはどのように調べるのでしょう

>そうなるとRedhatのデフォルトゲートウェイの設定で
>　netstat -rn
>で「0.0.0.0」がどこに設定されているか確認してみてはどうでしょうか。
「0.0.0.0」が219.163.87.153です。（ルーターに割り当てているアドレスです。

あとOCNの説明ではもしかしたらルーターの設定でサーバーのグローバルIPアドレスをルーターで関連付けていないと言われました。ただ、再インストール前はOCNからping応答があったらしいのです。ルーターはまったくいじっていないのでなぜでしょうか？
nslookupでIPアドレスを検索すると
Server: 219.163.87.154
Address: 219.163.87.154#53
** server can't find 154.87.163.219.in-addr.arpa: REFUSED

とでます。（関係ないですか？）

補足日時：2002/11/12 13:22

No.1 回答者： noname#41381 回答日時： 2002/11/07 10:28

まず、bind9.2.0にはセキュリティホールがあって、

namedサービスを簡単に落とされてしまうので、9.2.1に上げた方がいいでしょう。
http://www.jp.redhat.com/support/errata/RHSA/RHS …

ログを見ても問題ないような気がします。
ちょっと気になったのはループバックアドレスの逆引きゾーンですね。
bind8.2移行ではTTLの扱いが変わっているので、
>0.0.127.in-addr.arpa:1: no TTL specified; using SOA MINTTL instead
この対策として、$TTL文を追加する必要があります。
追加方法は他のゾーンファイルと同様です（たぶん先頭に$TTLでしょうね）
でも、これが問題ということはないと思いますが...


ということで、他の設定ファイルが問題ですが、
それをOCNに提示しても解決しなかったんですよね？
named.conf、逆引きゾーンファイルを提示してもらえますか。
＃ただ、逆引きなら219.163.***.***の***部分が重要なんですよね～。
＃とりあえず、***のままでいいですが...。

この回答への補足

お世話になります。返事がおくれてすみません。まずは逆引きです。
$TTL 86400
@INSOAns.domain.jp.root.ns.domain.jp. (
2002111104 ; serial
28800 ; refresh
7200 ; retry
604800 ; expire
86400 ; ttk
)

@INNSns-kg-021.ocn.ad.jp.
@INNSns.domain.jp.

154INPTRns.domain.jp.

namded.confです
## named.conf - configuration for bind
#
# Generated automatically by bindconf, alchemist et al.
controls {
inet 127.0.0.1 allow { localhost; } keys { rndckey; };
};

include "/etc/rndc.key";

options {
directory "/var/named/";
};
zone "." {
type hint;
file "root.ca";
};


zone "0.0.127.in-addr.arpa" {
type master;
file "0.0.127.in-addr.arpa.zone";
};
zone "152.87.163.219.in-addr.arpa" {
type master;
file "152.87.163.219.in-addr.arpa.zone";
};


zone "localhost" {
type master;
file "localhost.zone";
};
zone "1st-net.jp" {
type master;
file "1st-net.jp.hosts";
};

補足日時：2002/11/11 11:20