OCNエコノミーの回線を使って、
SUN/Solaris(2.6)で、DNSサーバを構築しています。

ファイアーウォールの設定で、外部からDMZのDNSサーバへの
dnsポートを許可しており、また当然のことながら、その逆も許可しております。

内部LANから、外部への接続はできるようになっていますが、
外部から、DNSサーバへのアクセスができないようになってます。

どなたか、対処方法、あるいは、考えられる原因などご存知でしたら、
ご教示願えませんでしょうか?

よろしくお願いいたします。m(._.)m

このQ&Aに関連する最新のQ&A

A 回答 (4件)

外部からDMZへのアクセスはどのようにログに残ってますか?


全くログに残っていないのであれば、ファイアウォールまで到達していないので、
ISP接続の自ルータ(ある?)の設定が間違っているかも...。

ログ上は正常に接続している(ルールはあっている)のに接続できないのであれば、
DMZ上へのルーティングが問題ではないでしょうか?
DMZをローカルアドレスにしていて、DNSサーバをグローバルアドレスにNATかけている場合、
そのStaticRoutingをファイアウォールで手動設定しないと
いけない機種もあったと思います。

selenityさんが回答されているように、まず外部からDNSサーバにアクセスしてそのログがどうなるかを
確認されるのがいいかと思います。

外部へ接続は大丈夫なようなので(pop,smtp接続が出来ている)
外部へのpingが通らない件は、とりあえずおいといて、
DNSサーバへの接続を片づけるのがいいかもしれませんね。
★グローバルIPへの接続という、DMZ上のDNSサーバではなくインターネットということですよね?

※pingの話で余談ですが、
 pingは内部から外部へecho requestが通るように、外部から内部へecho replyが通るようなると思います(type0を許可)
 運用を考えると、ICMP全部通すでいいと思いますが、
セキュリティ上type13,14(Timestamp)は止めた方がいいとかいう話もききますね。
    • good
    • 0
この回答へのお礼

pingの件、「echo request」や「echo reply」で制御するのですね。
この2つは、思いっきり、ファイアーウォールで禁止してました。(*^.^*)

これで、smtpやpopなどのポートを認識するにもかかわらず、
pingは通らないということが理解できました。
今回の事は、いい勉強になりました。
アドバイスいただき、ありがとうございました。

お礼日時:2001/07/06 22:22

どうやらルーターレベルでの話に見受けられます。


dns(domain)は確かudpポートも空ける筈でしたが、
空けていますか??
    • good
    • 0
この回答へのお礼

その後、無事に解決しました。
アドバイスありがとうございました。

お礼日時:2001/07/06 22:23

LAN-->Internet(POP3,SMTP)がOKでも


ping(ICMP)はだめな場合もあります。
これは両者のプロトコルが異なるため、
ICMPはフィルタリングルールに引っかかっている
のでしょう。
「外部から見れている」かどうかは、「外部から」
接続してみない限り内部からいくら試しても
確認できません。

ファイアーウォールの設定が正しければ、
外部DNSサーバからの問い合わせに答えられます。

この回答への補足

「ネットワーク構成の異なるPCからグローバルIPへテスト」というのは、
P-Inを使って「外部から」 インターネット接続してのことでした。
表現が不十分な点がありまして、申し訳ありません。

補足日時:2001/07/06 22:12
    • good
    • 0
この回答へのお礼

いろいろとアドバイスいただき、ありがとうございました。

お礼日時:2001/07/06 22:16

外部からプライベートドメインを参照しようと


しているといった事はないですよね。
Network Information Centerの登録があなたのIP
アドレスになっていないのではありませんか?

一般的に外部からDNS参照できない場合、Network
Information Centerの登録がされていないことが
多いです。
(例:プライベートドメインをLANで使用していて
その名前を外部から引くetc...)

その次に考えられることはパケットフィルタのルール
にブロックされた。
その場合、丸裸の状態でマシンを外にだし、
正常な参照が出来るかを確認する。

ファイアーウォールの設定で
・Internet-->DMZ
TCP/UDPともにDestPort:53は許可されていますか?
・DMZ-->Internet
TCP/UDPともにSrcPort:53番は許可されていますか?

また「外部から、DNSサーバへのアクセスができない
ようになってます」であれば、DNSの問い合わせは
できなのが普通なのではありませんか?
上記の設定と矛盾しているようにも見えます。

この回答への補足

Network Information Centerの登録、ファイアーウォールの設定、
ともに正しく設定されていることを確認しました。

なお、その後の調査で、以下のことが判明しました。

<判明したこと>
 ネットワーク構成の異なるPCからグローバルIPへテストしていますが、
 相変わらず、「ping xxx.xxx.xxx.xxx」では接続確認できません。
 がしかし、メールソフトなどを使ってグローバルIPへ接続してログを見ると、
 どうやら、グローバルIPへの接続はできているようなのです。

 これは、外部から見えているということで間違いないのでしょうか?

補足日時:2001/07/05 14:01
    • good
    • 0

このQ&Aに関連する人気のQ&A

お探しのQ&Aが見つからない時は、教えて!gooで質問しましょう!

このQ&Aを見た人が検索しているワード

このQ&Aと関連する良く見られている質問

QダイナミックDNS自宅サーバと職場のダイナミックDNSサーバとの接続

 質問いたします。
 自宅はinclのフレッツISDN回線(AtermIW50/DをTAとして使用)と、plalaを経由してのBフレッツ回線(ルーターはAirStation G54/P を使用しての54Mbpsの無線Lan)を併用しています。
 どうすれば、ウイルスバスターなどのワクチンソフトの
ファイアウォールなどを回避して、自宅と職場での
ファイルの共有ややりとり、あるいはアプリの使用が
可能になりますか。
 ぜいたくな質問で恐縮ですが、よろしくお願いいたします。
 また。VPNというものを構築するとうまくゆくとか
いう話も聞きますが、詳しい方、説明願えれば幸いです。

Aベストアンサー

AirStation G54/Pのオンラインマニュアルを簡単に見てみました。
本来ならVPNでの通信がいいのですが、IPSecのパススルーなどにはまだ対応していないようなので、
Windows機能だけのVPN通信は難しいと思われます。
そうなると外部VPN機器が必要になります。
VPNを使わないとなると静的IPマスカレードでサーバ公開という形になります。

セキュリティを考慮すると、この時点であきらめておいた方が無難でしょう。
※ファイル共有をインターネットに公開するには、かなりのリスクがあることを認識しておいてください。
 例えば、共有フォルダにウイルスを置かれたり、ファイルを消されたりといったような。

一応以下に設定する手順を記載してみます。

まずは静的IPマスカレードでPCをインターネット上に公開します。
http://www3.melcoinc.co.jp/download/manual/net/wbrg54_120/katsuyo/chapter16.html
この手順の中ではWWW(80/tcp)を公開していますが、今回はファイル共有なので
「139/TCP」を設定いたします。

で、この静的IPマスカレードを設定するだけ接続できません。
AirStation G54ではデフォルトのパケットフィルタルールで、
ファイル共有のフィルタが設定されているからです。
これを外さなければいけません。

ただ、これを単純に外すだけではセキュリティ的に全然だめです。
一応AirStation G54では送信元(これがSourceIP)によるパケットフィルタができます。
これによって、特定のPCのみしか接続できなくなります。
ここで問題なのが、接続元のIPアドレス。
固定ではないのでDDNSを取得したと思うのですが、
AirStation G54で送信元のIPアドレス欄にmypc.example.comといった
ドメイン名(これがFQDN)で指定できるかです。
#オンラインマニュアルにはパケットフィルタの設定詳細を見つけられませんでした。

ですが、理論的にはIPアドレスを偽装(IP Spoofing)されたら、接続出来てしまいます。
ただ、IPアドレスを偽装して通信を行う(TCPセッションをはる)のはかなり困難です。
ですが、今回のようにFQDNで設定した場合、DNSの偽装(これがDNS Spoofing)の問題もあります。
こちらはIPSpoofingよりは簡単に偽装できてしまいます。

こういったトータル面でみてもVPNを張れないなら別手段を検討するのがいいと思います。
例えばインターネット上のファイル共有スペースを使うとか
VNCやpcANYWHEREといったリモートツールを独自の暗号化セッションで使うとか
TELNETやFTPをSSHで使うとか。
#長くなるので詳細は割愛させていただきます。


あと、ありきたりのアドバイスなので設定済みかとは思いますが、
無線LANで WEP(128(108)bit)で暗号化+MACアドレスでの制限
は最低限設定しておきましょう。

あと全然関係ないところで反応しますが
>ドスパソコンでWin98SEで設定することになるのですが。
>
Windowsパソコンなのでは?
DOS/Vパソコンということかな?

AirStation G54/Pのオンラインマニュアルを簡単に見てみました。
本来ならVPNでの通信がいいのですが、IPSecのパススルーなどにはまだ対応していないようなので、
Windows機能だけのVPN通信は難しいと思われます。
そうなると外部VPN機器が必要になります。
VPNを使わないとなると静的IPマスカレードでサーバ公開という形になります。

セキュリティを考慮すると、この時点であきらめておいた方が無難でしょう。
※ファイル共有をインターネットに公開するには、かなりのリスクがあることを認識しておいてく...続きを読む

QDHCPサーバとDNSサーバについて教えてください。

DHCPサーバとDNSサーバについて教えてください。

会社で数台あるDNSサーバの内の一台を撤去することになりました。
それに伴って、DNSサーバやクライアントPCに振っているIPアドレスの変更を実施することになりました。

DHCPサーバにどのような設定をしたら、クライアントや他のDNSサーバのIPアドレスを
変更(更新)することが出来るでしょうか?

参考になるサイト等も教えていただけたらうれしいです。

私の知識が乏しく、必要な情報が足りなかったらすみません。
よろしくお願いします。

Aベストアンサー

DHCPサーバが何で行われているのかで設定などの変わってきます
何かしらの機器(例えばルータ)なら機器名や
OSでやってるならOSは何なのかの情報あった方が
提示もされやすいと思いますよ

DNSサーバが数台ある環境という事なので
多分そんなものは使ってないと思いますが一般家庭で使われるような
ルータはDHCP有効にすれば大抵は自分自身のLANIPをDNSとして配布します

QSUNのサーバを売りたい

あるシステムが不要となり、そのシステム一式を売りたいのですが、どのような会社(業界)が高く買ってくれそうでしょうか。
レンタル会社には当たってみたのですが、あまり芳しくなかったもので・・・。
また、中古サーバーの相場として、定価の何割ぐらいになるのでしょうか。
<システム概要>
 ・SUNサーバー(E4500等)
 ・CISCOルーター(CISCO7200)
 ・UPS(20kVA)
 ※購入年:平成12年 

Aベストアンサー

エコシスって会社で中古コンピュータ・システムの売買をやってるみたいです。
取引した経験は無いので、自信を持ってお勧めできるというわけではありませんが・・・。

参考URL:http://www.ecosis.co.jp/index.htm

QDNSサーバについて

DNSサーバについてお尋ねします。

IE7でヤフー等のサイトを接続したいのですが、「このページは表示されません」と表示されました。問題を解決するをクリックすると、「DNSサーバに接続されません」と表示されました。
サーバには接続できている状態です。
前回、ネットに接続した時、IE8へのアップロードの画面になり「検索エンジンはGoogleにしますか」をいいえにしてアップデート開始にすると上記のようになりました。そこでアップデートは中止してIE7のままにして、その後は普通にサイトを見ることができていました。
今回パソコンを立ち上げサーバに接続し、IE7を開くと初めから上記のように表示されてしまいます。
IEを閉じるとアップデートをしていたウィルスソフトは新しいを受信できないとなっていました。更新期限は過ぎていません。

IE8へのアップデートを行おうとしたさいにデータを取得するための設定が変わってしまったのでしょうか。

パソコン環境は

TOSHIBA dynabook EXシリーズ
Windows7 Home Premium
ダイヤルアップ接続です。

すみません、どうぞよろしくお願いします。

DNSサーバについてお尋ねします。

IE7でヤフー等のサイトを接続したいのですが、「このページは表示されません」と表示されました。問題を解決するをクリックすると、「DNSサーバに接続されません」と表示されました。
サーバには接続できている状態です。
前回、ネットに接続した時、IE8へのアップロードの画面になり「検索エンジンはGoogleにしますか」をいいえにしてアップデート開始にすると上記のようになりました。そこでアップデートは中止してIE7のままにして、その後は普通にサイトを見ることが...続きを読む

Aベストアンサー

追加
>ウィルスバスター2011グランドもアップデートできないので

セキュリティソフトに「不正侵入を防ぐ機能」(パーソナルファイアーウォール)があるものがあり、Windows 7にもWindowsファイアーウォールがありますが、ファイアーウォールがプログラムやネットワークを遮断していませんか?(「設定」「例外ルール」で追加・登録し許可)

Q自宅サーバ ダイナミックDNS

こんにちは、
自宅サーバを立てようとしています。
ダイナミックDNSを申請して、
AN HTTPDというWWWサーバソフト、
Tiny FTP DaemonというFTPサーバソフト、
DICEというダイナミック管理ソフトとインストールしました。
ルータ(WLAR-L11-L / WLAR-L11G-L Ver.1.30)
でアドレス変換で、wan側IPアドレスを サーバコンピュータのアドレスに持っていくようにしました。
LAN内のコンピュータで、URLを打ち込むと、ルータの設定画面になってしまいます。

これってどうすればいいのでしょうか?
よろしくお願いします。

Aベストアンサー

 ここを見て。
 http://www.cybersyndrome.net/evc.html
 一番上の方の、Remote_addressのIPアドレスが出るから。
 それをブラウザのアドレス欄に突っ込む。
 http://IPアドレス/

 もしくは単純に、どっか自宅の外のパソから閲覧するってのはどうでしょうか。


人気Q&Aランキング

おすすめ情報