逆引きの問い合わせにテストについて

教えてください。

新設のDNSサーバを立てました。新しく回線を敷設して、その下に繋ぎます。
現回線に下に繋がっている既設のDNSサーバから将来変更する予定です。
先ず近日中にお名前.com（レジストラ）で新設のDNSサーバへ向くようにIP変更する予定です。
しばらくは現サーバを見に行くように既設DNSと同じゾーンファイルを設定しておきます。
（正引きや逆引きの情報は既設と同じにしてあります。）

新しいDNSサーバで名前解決のテストをしたいため、
外からNSLOOKPでテストをしたいです。
逆引きのテストをした時に以下のエラーが表示されます。
何が原因か教えていただけないでしょうか。

ある端末からインターネット経由でNSLOOKUPをします。。

>nslookup
>server (新設DNSサーバのIP）
>set type=ptr
>（既設WWWのグローバルIP）

以下のようなQuery refusedという結果になってしまいます。
切替前の段階ではこれは正しい返答なのでしょうか？それともどこか設定がおかしいのでしょうか？

***[（新設のDNSサーバグローバルIP)] can't find （既設のWWWのグローバルIP）.in-addr.arpa: Query refused

よろしくお願い致します。

No.4 回答者： maesen 回答日時： 2014/03/19 12:13

回答漏れがありましたので追記します。

＞allow-recursionをyesにして問題無いでしょうか？
＞DDOS攻撃とか関係ありますでしょうか？

セキュリティ上好ましくないのでこれが良くないです。
変更前の状態、つまり、

＞allow-recursionが設定されていて、ローカルのネットワークアドレスだけ許可されていました。

のままが良いでしょう。

先の回答にも書きましたが、外部からの逆引きの名前解決は直接このDNSサーバに来るわけでは無いので、
再帰問い合わせはローカル側だけ許可で良いと思います。

No.3 回答者： maesen 回答日時： 2014/03/19 09:36

＞allow-recursionにanyを追加して

＞recursion yesにしたら出来たのですが、

再帰問い合わせをしたら逆引きが出来たということであれば、クラスC未満の逆引きと思われるのでこれを前提に回答させて頂きます。

既存DNSにゾーン設定していますので、クラスC未満の逆引きはちょっと特殊な設定になっているのはご理解頂いていると思います。
クラスC未満の逆引きでは、本来の逆引きゾーン（つまりクラスC以上のゾーン）を持っているのは、IPアドレスを割り当てたプロバイダなどになります。
質問者さんのDNSサーバでは、本来の逆引きゾーンのサブドメインを委譲されているだけです。

従って、今回の逆引きは、まず本来の逆引きゾーンを持っているプロバイダのDNSに問い合わせることになりますので、
>nslookup
>server (新設DNSサーバのIP）
>set type=ptr
>（既設WWWのグローバルIP）
このように新設DNSサーバを指定して名前解決を行うと必ず再帰問い合わせになります。

つまり、新設DNSサーバに、そのサーバが管理していないゾーンを問い合わせていますので、
テスト方法が正しくないことになります。

テストするのであれば、委譲後の新設DNSサーバが管理しているゾーンをテストすべきですので
IPアドレスをそのまま問い合わせるのではなく
xxx.ddd.ccc.bbb.aaa.in-addr.arpa.
のように問い合わせてテストをするべきだと思います。

＞切替前の段階ではこれは正しい返答なのでしょうか？それともどこか設定がおかしいのでしょうか？

この回答は正しい応答ということになります。
ただし、新設DNSサーバの動作は同じなので、切替後でも同じテストをすれば結果は同じです。

最終的な確認は、
(1)DNSサーバを切替後
(2)TTL時間経過以降に
(3)外からそこで使用出来るDNSサーバを使用して
(4)逆引きを確認する
となると思います。

No.2 回答者： maesen 回答日時： 2014/03/18 15:14

＞逆引きのテストをした時に以下のエラーが表示されます。

＞何が原因か教えていただけないでしょうか。

確認ですが、同じサーバで正引きは問題無いということで良いでしょうか？

named.confが無い提示されていない状況で原因の特定はちょっと難しいと思います。

Query refusedということで新設DNSサーバにてDNSリクエストが拒否されていますので、
月並みではありますが、allow-xxxxxx オプションの設定に問題がある可能性があります。

また、上記とも関連しますが逆引きだけQuery refusedになるのであれば、クラスC未満の逆引きなのにrecursionを止めているとか。

新設DNSサーバのログを確認した方が良いでしょう。

＞切替前の段階ではこれは正しい返答なのでしょうか？それともどこか設定がおかしいのでしょうか？

設定によるので一概に言えないと思います。

この回答へのお礼

早速ありがとうございます。

allow-recursionが設定されていて、ローカルのネットワークアドレスだけ
許可されていました。
又、一方allow-queryはありませんでした。

allow-recursionにanyを追加して
recursion yesにしたら出来たのですが、
allow-recursionをyesにして問題無いでしょうか？
DDOS攻撃とか関係ありますでしょうか？

もしご存知でしたら教えていただけませんでしょうか。

お礼日時：2014/03/18 20:42

No.1 回答者： lowrider_2005 回答日時： 2014/03/18 15:12

allow-query　でクエリが許可されているアドレスから問い合わせていますか？

例えば下記のようになっていた場合、192.168.0.1/24以外からのクエリは拒否されます。

options {
allow-query { 192.168.0.0/24; };
};