- - PR -
BIND 9.2.1のスレーブホストの設定について
| 投稿者 | 投稿内容 | ||||||||||||
|---|---|---|---|---|---|---|---|---|---|---|---|---|---|
|
投稿日時: 2003-02-18 15:02
こんにちは。森蔵です。
千葉さん、重ね重ねお付き合いいただきありがとうございます。
デーモンを起動するユーザは、rootです。 なので、書き込みは本来は出来るはずなんですが、気になって聞いてみました。 ちなみに、スレーブサーバのBINDのバージョンは9にアップされないのですか?
スレーブ側のサーバは、私の管轄ではない為にバージョンアップを行うこと が出来ないのです。デーモンの再起動等は行えるのですが…。 このままの路線で走るしかないというのが現状です。 # 私もバージョンをそろえるのがいいとは思うのです。 ポート番号は53番を使っているのでしょうか? | ||||||||||||
|
投稿日時: 2003-02-18 15:08
森蔵さん
こんちにわ、ちばです。色々と大変ですね。 こちらとしても的確なアドバイスができず、申し訳ないです。 現在は会社にいまして、環境が余り整っておりませんので 自宅に帰ってからマスター 9.2.1、スレーブ 8.2.3で少し テストしてみます。 それでうまくいったらこちらに設定ファイル(named.conf、正引き逆引き ファイル)を乗せますので、森蔵さんの環境用に編集してお使い 下さい。こちらも勉強になるので、試してみます(気になるので)。 それから、ポートは53を使用しています。 最後に確認ですが、2台のDNSサーバはiptablesやipchainsでパケット フィルタリングしていませんよね? | ||||||||||||
|
投稿日時: 2003-02-18 16:35
こんにちは。森蔵です。
いえいえ、そんな事はないです。 ここまでお付き合いいただけて恐縮です。
色々、ありがとうございます。 手を煩わせてしまいます…。
マスター側はipchainsでフィルタリングしていますが、53番は開けています。 スレーブ側は、とくにフィルタ等の設定は行っていないそうです。 すいませんが、宜しくお願いいたします。 | ||||||||||||
|
投稿日時: 2003-02-18 16:53
マスターの方はipchainsでフィルタリングしており、53番ポートは
空けているということですね。 ちなみにプロトコルはUDPのみですか?BINDでゾーン転送する場合は プロトコルにTCPを使いますが、TCP、UDP共に53番ポートに対して アクセスを許可しているか、もう一度ご確認ください。 | ||||||||||||
|
投稿日時: 2003-02-19 00:19
森蔵さん
こんばんわ、ちばです。 本日自宅にて マスター : BIND 9.2.1 スレーブ : BIND 8.2.2 でゾーン転送、および名前解決ができることを確認しました。 BINDは森蔵さんの環境の8.2.3を使用したかったのですが、手に入らず近いバージョンの 物を使用しました。 ちなみにインストールはRPMパッケージを使用しました。インストールしたものは以下に なります。 bind-devel-8.2.2P5-2 bind-8.2.2P5-2 bind-utils-8.2.2P5-2 全てTurboLinux 6.5 Serverに付属のものです。これは手元にあったので使用しました。 ちなみにマスターのBIND 9.2.1 はソースをコンパイルして使用しています。また、 設定方法は森蔵さんと同じように設定いたしました。確認のため、両ホストのnamed.conf を載せておきます。 Master DNS Server--------------------------------------------------------------- options { directory "/usr/local/bind/latest/zone"; }; zone "." { type hint; file "named.ca"; }; zone "0.0.127.in-addr.arpa" { type master; file "named.local"; }; zone "master.jp" { type master; file "master.jp.zone"; allow-transfer { 192.168.0.50; }; }; zone "0.168.192.in-addr.arpa" { type master; file "master.jp.rev"; allow-transfer { 192.168.0.50; }; }; Slave DNS Server---------------------------------------------------------------- options { directory "/etc/zone"; }; zone "." { type hint; file "named.ca"; }; zone "0.0.127.in-addr.arpa" { type master; file "named.local"; }; zone "master.jp" { type slave; file "slave/master.jp.zone"; allow-transfer { none; }; masters { 192.168.0.40; }; }; zone "0.168.192.in-addr.arpa" { type slave; file "slave/master.jp.rev"; allow-transfer { none; }; masters { 192.168.0.40; }; }; --------------------------------------------------------------------------------- 何かお気づきになりましたらレスをつけてください。 | ||||||||||||
|
投稿日時: 2003-02-19 16:17
こんにちは。森蔵です。
ちばさんわざわざテストまでしていただいてありがとうございます。 同様におこなってみましたが、無理でした… 
ipchainsの設定がおかしいのでしょうか? DNSに関連する箇所といえばこのような記述をおこなっています。 -- -A input -s 0/0 -d 0/0 53 -p udp -j ACCEPT DNS云々ではない可能性も出てきましたが、どうでしょうか? | ||||||||||||
|
投稿日時: 2003-02-19 16:45
森蔵さん、こんにちわ。
ちばです。 > -A input -s 0/0 -d 0/0 53 -p udp -j ACCEPT これはプライマリのほうに適用されているルールですか? だとしたらルールが足りません。 一度、プライマリのルールをはずして(# ipchains -F)実行してみてください。 私はipchainsを使っていないのでよくわかりませんが、ルールを日本語で書くと 以下のような記述が必要になります。 1.全てのホストからUDP53番ポートへのINPUTを許可 2.全てのホストへのUDP53番ポートからのOUTPUTを許可 3.全てのホストへのUDP53番ポートへのOUTPUTを許可 4.全てのホストからUDP53番ポートからのINPUTを許可 5.スレーブからTCP53番ポートへのINPUTを許可 6.スレーブへのTCP53番ポートからのOUTPUTを許可 1,2はDNSサーバとしてのルール、3,4はDNSクライアントとしてのルール、 5,6はマスタDNSサーバとしてのルールです。 森蔵さんの記述を見ると1に関しての記述しかありませんので、ipchainsが 動作していれば当然はじかれます。 ご確認お願いいたします。 | ||||||||||||
|
投稿日時: 2003-02-21 16:08
こんにちは。森蔵です。
ちばさん色々とありがとうございました。 返信がおそくなってしまいましたが、無事解決しました。 # 昨日、IPCHAINSの本を買って解決策を見出しました。 具体的には、ゾーン転送には、TCPを使用しているようで、TCPの53番を 開けてあげる必要がありました。 -- -A input -s 0/0 -d 0/0 53 -p tcp -y -j ACCEPT この記述を追加して、IPCAHINSを再起動し、スレーブホストのnamedを 再起動すると、無事ゾーン転送が行われました。 長い間、ありがとうございました。本当に助かりました。 一人では、IPCHAINSがおかしいという所までたどり着けなかったと思います。 | ||||||||||||
スキルアップ/キャリアアップ(JOB@IT)
Copyright © ITmedia, Inc. All Rights Reserved.
著作権はアイティメディア株式会社またはその記事の筆者に属します。
当サイトに掲載されている記事や画像などの無断転載を禁止します。
著作権はアイティメディア株式会社またはその記事の筆者に属します。
当サイトに掲載されている記事や画像などの無断転載を禁止します。