DNSサーバをDMZに移動させたい。

Question

はじめて質問させて頂きます。

現在、OpneBSD 2.9に最初から入っているbind 4.9.8を使用してdnsサーバを構築しています。
今このDNSサーバは外部セグメントにあるんですが、今度このDNSサーバをDMZ（ファイアーウォール内）の中に移動させたいのですが、namad.bootの記述がいまいち判りません。

http://www.linux.or.jp/JF/JFdocs/DNS-HOWTO-10.html#qanda
↑
ここのホームページにヒントで、forward only; または、query-source port 53; を記述すればいいように書かれているんですが、本当にこれらの記述をnamed.bootにすればDMZ（ファイアーウォール内）の中に移動できるんでしょうか？

初歩的な質問だとは思いますが、よろしくお願い致します。

punchan_jp · Accepted Answer

ファイアウォールも設定変更するということですね。現状は次のような接続でしょうか？ LAN内にはDNSサーバがなく、セカンダリサーバもないと仮定していいですか？ WAN ｜--[DNS] ｜ [fw]--DMZ--[mail, web, 他] ｜ LAN そして、次のようにしたいわけですね？ WAN ｜ [fw]--DMZ--[mail, web, DNS, 他] ｜ LAN 以上を仮定すると、選択肢はだいぶ絞られます。どんなDNSパケットが[fw]を通過する必要があるかを整理します。（他のDNSサーバがからむともう少し複雑になります） [WAN<->DMZ] (1) WANからDMZ内のDNSサーバに来る質問パケット（WAN:*-->DNS:53） (2) DMZ内のDNSサーバからWANに出る返答パケット（WAN:*<--DNS:53） (3) DMZ内のDNSサーバからWANに出る質問転送パケット（WAN:53<--DNS:53） (4) WANからDMZ内のDNSサーバに来る返答パケット（WAN:53-->DNS:53） [LAN<->DMZ] (5) LANからDMZ内のDNSサーバに来る質問パケット（LAN:*-->DNS:53） (6) DMZ内のDNSサーバからLANに出る返答パケット（LAN:*<--DNS:53）（以上はすべてUDP。セカンダリがなければ、TCPは不要。）これらが全部通るように設定されていれば、DNSサーバはそのまま移動させることができるはずです。ただし、bind 8/9 が動いている場合は、質問転送時の発信ポート番号がデフォルトで不定となるので、query-source を設定する方が [fw] の設定をより限定できていいでしょう。 forward only （bind 4 での slave）を設定するには、forwarders が必要です。つまり、DNSサーバが自分で解決できないときに、外部の任意のサーバに聞きにいくのではなく、特定のサーバだけに転送することにすれば、[fw] の設定をさらに限定できる可能性があります。（[fw] の機能にもよりますが）

punchan_jp · Answer

それは、ファイアウォールが何をどう守っているのかによって全く異なります。
あまりにもがちがちに守っているのなら移動不可能という結論になるかもしれ
ないし、ゆるゆるならそのまま持っていけばOKかもしれません。情報が少なす
ぎます。

それから、bind 4 を使っているのでしたら、参照されている qanda のページ
はまったくあてはまりません。2. の項目の前に、その上にある 1. の項目を
よくごらんください。

DNSサーバをDMZに移動させたい。

ファイアウォールも設定変更するということですね。

この回答への補足

それは、ファイアウォールが何をどう守っているのかによって全く異なります。

この回答への補足

似たような質問が見つかりました

関連するカテゴリからQ&Aを探す

デイリーランキングこのカテゴリの人気デイリーQ&Aランキング

マンスリーランキングこのカテゴリの人気マンスリーQ&Aランキング