はじめて質問させて頂きます。

現在、OpneBSD 2.9に最初から入っているbind 4.9.8を使用してdnsサーバを構築しています。
今このDNSサーバは外部セグメントにあるんですが、今度このDNSサーバをDMZ(ファイアーウォール内)の中に移動させたいのですが、namad.bootの記述がいまいち判りません。

http://www.linux.or.jp/JF/JFdocs/DNS-HOWTO-10.ht …

ここのホームページにヒントで、forward only; または、query-source port 53; を記述すればいいように書かれているんですが、本当にこれらの記述をnamed.bootにすればDMZ(ファイアーウォール内)の中に移動できるんでしょうか?

初歩的な質問だとは思いますが、よろしくお願い致します。

このQ&Aに関連する最新のQ&A

A 回答 (2件)

ファイアウォールも設定変更するということですね。



現状は次のような接続でしょうか?
LAN内にはDNSサーバがなく、セカンダリサーバもないと仮定していいですか?

WAN
|--[DNS]

[fw]--DMZ--[mail, web, 他]

LAN

そして、次のようにしたいわけですね?

WAN

[fw]--DMZ--[mail, web, DNS, 他]

LAN

以上を仮定すると、選択肢はだいぶ絞られます。

どんなDNSパケットが[fw]を通過する必要があるかを整理します。
(他のDNSサーバがからむともう少し複雑になります)

[WAN<->DMZ]
(1) WANからDMZ内のDNSサーバに来る質問パケット(WAN:*-->DNS:53)
(2) DMZ内のDNSサーバからWANに出る返答パケット(WAN:*<--DNS:53)
(3) DMZ内のDNSサーバからWANに出る質問転送パケット(WAN:53<--DNS:53)
(4) WANからDMZ内のDNSサーバに来る返答パケット(WAN:53-->DNS:53)

[LAN<->DMZ]
(5) LANからDMZ内のDNSサーバに来る質問パケット(LAN:*-->DNS:53)
(6) DMZ内のDNSサーバからLANに出る返答パケット(LAN:*<--DNS:53)

(以上はすべてUDP。セカンダリがなければ、TCPは不要。)

これらが全部通るように設定されていれば、DNSサーバはそのまま移動させる
ことができるはずです。

ただし、bind 8/9 が動いている場合は、質問転送時の発信ポート番号がデフォ
ルトで不定となるので、query-source を設定する方が [fw] の設定をより限
定できていいでしょう。

forward only (bind 4 での slave)を設定するには、forwarders が必要で
す。つまり、DNSサーバが自分で解決できないときに、外部の任意のサーバに
聞きにいくのではなく、特定のサーバだけに転送することにすれば、[fw] の
設定をさらに限定できる可能性があります。([fw] の機能にもよりますが)

この回答への補足

早速の回答、誠にありがとうございます。
ちなみに、DMZ上に内部の名前解決をするDNSサーバがあった場合はどうなるんでしょうか?

その場合も、上記のようにforward onlyを設定するだけで問題ないんでしょうか?

ほんとにド素人の質問で申し訳ありません。


よろしくお願い致します。 m(_ _)m ペコリ

補足日時:2002/02/15 19:36
    • good
    • 0

それは、ファイアウォールが何をどう守っているのかによって全く異なります。


あまりにもがちがちに守っているのなら移動不可能という結論になるかもしれ
ないし、ゆるゆるならそのまま持っていけばOKかもしれません。情報が少なす
ぎます。

それから、bind 4 を使っているのでしたら、参照されている qanda のページ
はまったくあてはまりません。2. の項目の前に、その上にある 1. の項目を
よくごらんください。

この回答への補足

大変失礼致しました。
現在のファイアウォールはガチガチに設定してあります。
DNSサーバをDMZ上に移動させる時には、ファイアウォールの設定でDNSを通すように設定はし直します。

それから、qandaのページはおっしゃる通りbind4には全然関係ないようでした。すみませんでした。

私も色々調べてはいるんですが、なんとしてもDNSサーバをDMZ上に移動させたいので、色々ご迷惑をお掛けしますがよろしくお願いします。

補足日時:2002/02/15 15:31
    • good
    • 0
この回答へのお礼

このような質問にも、回答頂きありがとうございます。

お礼日時:2002/02/15 15:35

このQ&Aに関連する人気のQ&A

お探しのQ&Aが見つからない時は、教えて!gooで質問しましょう!

このQ&Aと関連する良く見られている質問

Qファイアーウォール(iptables)の構築を上手にするには・・・?

RedHatLinux7.3でファイアーウォールなどを設定すべく勉強しているのですが、ここにきてiptableの設定、いえ、むしろパケットフィルターの所、良いパケットの通し方について調べていて、どうしたらいいか困ってしまいました。
必要最低限のパケットを通すべきとはありますが、自分のlinuxで設定したIPを設定するほかに必要なものは何があるでしょうか?
ポート番号設定されているかたもいるのですがそのポートについてどういう意味が一体どういうものなのかわかりません。
壁の穴の開け方でも、偽装して進入することもできたりすると書いてあるところがあったので困っています。
やはりこういう知識は・・・専門書を買うべきでしょうか?
内心迷っています・・・。

Linux&ネットワーク系について初心者故に不的確な表現がありましたらすみません。

Aベストアンサー

ここら辺りを参考にされるといいんじゃないかな。

# つーか,googleで「iptables 設定」で検索すれば
# 参考になるサイトがいっぱい出てくるし。

参考URL:http://www.geocities.co.jp/SiliconValley-Bay/4893/adsl.html

QLinuxでのサーバ構築(DNS)

Linuxでのサーバ構築(インターネットサーバ)をしようと思っています。初心者です。RedHatLinux7のマニュアル等を読みましたが以下の点が良くわかりませんでした。

1)DNSサーバでローカルホスト(正、逆)についての設定はどうなるのでしょうか。
正、逆引きデータベースの設定の方法は本(できるLinuxサーバ)に載っていたのですが。
2)メールサーバとウェブサーバを構築したいのですが、カスタムセットアップでパッケージを全部インストールしているのですが、
(1)SMTPサーバはどのファイルを設定(変更)すればいいのでしょうか。
(2)POPサーバは特に何も設定する必要は無いのでしょうか(APOP以外)。
(3)wwwサーバはどのファイルを設定(変更)すればいいのでしょうか。
3)ファイアーウォールをLinuxで実現するプログラムは何でしょうか。セキュア(うろ覚えです)が、それに当たるのでしょうか。
4)DNS、SMTP,POP,WWW、ファイアーウォール全てを一台のパソコンで利用できるでしょうか
5)パソコンとサーバー機の違いとは何なのでしょうか。(値段だけではありませんよね、、、)

長くなりましたが、よろしくお願いします。
※マニュアルのココに書いてある。HPに載っている(日本語で)。という情報も教えてください。

Linuxでのサーバ構築(インターネットサーバ)をしようと思っています。初心者です。RedHatLinux7のマニュアル等を読みましたが以下の点が良くわかりませんでした。

1)DNSサーバでローカルホスト(正、逆)についての設定はどうなるのでしょうか。
正、逆引きデータベースの設定の方法は本(できるLinuxサーバ)に載っていたのですが。
2)メールサーバとウェブサーバを構築したいのですが、カスタムセットアップでパッケージを全部インストールしているのですが、
(1)SMTPサーバはどのファイルを設定(変更)す...続きを読む

Aベストアンサー

私も初心者なんですが、henachokoさんと同じ内容で2週間ほど悩みやっと解決しました。

まず、DNSの設定についてですが私は下記のサイトがかなり参考になりました。

http://www.atmarkit.co.jp/flinux/index/indexfiles/bindindex.html

メールサーバーに関しては、どうやらsendmailは面倒なようです。それを読んで私は迷わずqmailにしました。

pop,smtpサーバーについてもqmailのを使いました。ちょっとだけ面倒でした。。。

wwwサーバーはApacheでしょうか?デフォルトのインストールでどこに入っているかは分からないですが、httpd.confというファイルで設定できます。

DNS,SMTP,POP,WWWは多分同じサーバーでできると思います。

5)に関しては正直いって分かりません。ハード面では大して変わらないと思うんですが・・・・

QDNSサーバの不具合について

RedHat 7.1のFirewall設定がOS投入時に出来ますが、これを部分的に変更することは可能でしょうか。ファイルがどこに在るか解りません。また間口を最も狭くした場合(domain port#53のみ解放)でも、dns情報をsecondary dnsサーバが取り込めないようです。ipchains -F,Xとしましたところ読み込みを開始し始めました。そこで解放すべきポート番号も出来れば教えていただけると助かります。

Aベストアンサー

Firewall(ipchians)の初期設定のファイルは、/etc/sysconfig/ipchainsです。
RedHat7.1は、OSのインストール時にFireWallの設定を聞いてきますので、なんとなく中にすると結構ポートをふさいでくれます。
とりあえず、あけてみてから順番にふさいでいったほうがいいと思います。
ファイルを編集して(書き方は、ipchainsの記述方法がわかればなんとなくわかると思います)
/etc/rc.d/init.d/ipchains restart
とやればいいでしょう。
outputは、開放していますか?

QfreeBSD4.6 DNSサーバ構築

freeBSD4.6にDNSを構築したいと考えております。
DNSはBIND9を使用したいのですが、互換性はありますでしょうか?
BSD4.6にはじめから入っているものの方が安全でしょうか?

あと、上記のDNSの構築手順がおわかりの方教えていただけないでしょうか。
よろしくお願いします。

Aベストアンサー

FreeBSD 4.6なら、portsからmake installするのが一番てっとりばやいかと。

DNSの構築については、市販の書籍を購入したほうが、ここで回答をまっているより確実でしょう。
っていうか、手元に参考図書の一冊でもないと、やってられないというところ。

参考URL:http://www.jp.freebsd.org/www.FreeBSD.org/ja/ports/index.html

QDNSのマスターサーバについて

現在、ドメインを取得して固定グローバルIPで接続していますがDNSはプロバイダーで立ててもらっているので必要ないのですが、勉強を兼ねて自宅サーバでもDNSを立ち上げたいと考えています。
初歩的な質問で恐縮ですが、単一ドメイン内にDNSのマスターサーバは複数存在可能なのでしょうか?
よろしくお願いします。

Aベストアンサー

> 単一ドメイン内にDNSのマスターサーバは複数存在可能なのでしょうか?

もちろん可能です。


このカテゴリの人気Q&Aランキング

おすすめ情報