このスレッドは解決済です(未解決に戻す場合はこちら)
<<戻る

nslookupでルートサーバが出てくる? このメッセージに返信する
日時: 2011/05/10 12:56
名前: けんけん
URL:
内部で公開しているサーバ用のDNSサーバを構築しており、それ以外は上位のDNSサーバに問い合わせに行くようにしたいと思っています。
サーバ(CentOS5.4)上では、正引き逆引きともに名前解決ができますが、クライアント側でnclookupを実行すると
(root) nameserver = L.ROOT-SERVERS.NET
(root) nameserver = M.ROOT-SERVERS.NET
(root) nameserver = A.ROOT-SERVERS.NET
(root) nameserver = B.ROOT-SERVERS.NET
(root) nameserver = C.ROOT-SERVERS.NET
(root) nameserver = D.ROOT-SERVERS.NET
(root) nameserver = E.ROOT-SERVERS.NET
(root) nameserver = F.ROOT-SERVERS.NET
(root) nameserver = G.ROOT-SERVERS.NET
(root) nameserver = H.ROOT-SERVERS.NET
(root) nameserver = I.ROOT-SERVERS.NET
(root) nameserver = J.ROOT-SERVERS.NET
(root) nameserver = K.ROOT-SERVERS.NET
既定のサーバー: UnKnown
Address: 192.168.1.2
> www.google.co.jp
サーバー: UnKnown
Address: 192.168.1.2

名前: www.google.co.jp
Served by:
- G.ROOT-SERVERS.NET
- H.ROOT-SERVERS.NET
- I.ROOT-SERVERS.NET
- J.ROOT-SERVERS.NET
- K.ROOT-SERVERS.NET
- L.ROOT-SERVERS.NET
- M.ROOT-SERVERS.NET
- A.ROOT-SERVERS.NET
- B.ROOT-SERVERS.NET
- C.ROOT-SERVERS.NET
となってしまいます。
クライアントはDHCPで、192.168.1.2(内部のDNSサーバ)と上位DNSサーバが割り振られています。

どこかの設定がおかしいと思うのですが、ファイルを見直しても、特に問題があるように思えません。
ちなみに、named.confのforwardersには上位DNSサーバを記述しています。

普通にインターネットにはアクセスできますし、pingの際にも名前解決はできています。
でも、nslookupだけが思うように動いてくれません。

どこか、あやしいと思うようなところがあればご教示ください。
記事編集 編集

Page: | 1 | 2 |

Re: nslookupでルートサーバが出てくる? このメッセージに返信する
日時: 2011/05/10 15:12
名前: けんけん
URL:
>dnsサーバにログインして
>同じようにnslookupを実行してみてください
>
>それで正引きできれば、DNSサーバ以外の問題です
>
>iptablesでUDP TCP port53を開けていますか
>
>
言葉足らずでしたが、「サーバ(CentOS5.4)上では、…」というのは、DNSサーバ上でのことです。
DNSサーバ上では問題なくnslookupが動作します。

iptablesはport53を開けていますが、念のためstopして試しましたが、変わりありませんでした。
記事編集 編集
Re: nslookupでルートサーバが出てくる? このメッセージに返信する
日時: 2011/05/10 19:18
名前: stranger
URL: http://ja.528p.com/
最初の質問に、DNSサーバではOKと書いてありましたね

DNSサーバで許可しているローカルネットワークは
自分のネットワークになっていますか
書いてある通りとすれば 192.168.1.0/24
からのアクセスは許可されていますか

クライアントに割り当てられているIPは
192.168.1.0/24 のネットワークのものになっていますか

一度ルータのDHCPを止めて固定IPを割り当ててみる
記事編集 編集
Re: nslookupでルートサーバが出てくる? このメッセージに返信する
日時: 2011/05/10 20:07
名前: けんけん
URL:
>最初の質問に、DNSサーバではOKと書いてありましたね
>
>DNSサーバで許可しているローカルネットワークは
>自分のネットワークになっていますか
>書いてある通りとすれば 192.168.1.0/24
>からのアクセスは許可されていますか
>
>クライアントに割り当てられているIPは
>192.168.1.0/24 のネットワークのものになっていますか
>
>一度ルータのDHCPを止めて固定IPを割り当ててみる
>
ありがとうございます!
その辺に問題がありました。
DNSサーバはDMZにあるので192.168.1.0/24で、クライアントは
LANにあるので192.168.2.0/24です。
クライアントをDMZに接続するとちゃんと動きました。

named.confは以下のように設定しているのですが、間違って
いますか?

acl dmz {
192.168.1.0/24;
127.0.0.1;
};

acl lan {
192.168.2.0/24;
};

options {
#listen-on port 53 { 127.0.0.1; };
#listen-on-v6 port 53 { ::1; };
directory "/var/named";
dump-file "/var/named/data/cache_dump.db";
statistics-file "/var/named/data/named_stats.txt";
memstatistics-file "/var/named/data/named_mem_stats.txt";


allow-query { localhost; dmz; lan; };
allow-query-cache { localhost; dmz; lan; };
forwarders {
192.168.1.1;
192.168.2.1;
**.**.**.**; / 上位DNSサーバのアドレス
};
};
logging {
channel default_debug {
file "data/named.run";
severity dynamic;
};
category lame-servers { null; };
};
view "localhost_resolver" {
match-clients { localhost; };
match-destinations { localhost; };
recursion yes;
include "/etc/named.rfc1912.zones";
include "/etc/named.*****.zone.in";
};

view "internal" {
match-clients { lan; };
match-destinations { lan; };
recursion yes;
include "/etc/named.rfc1912.zones";
include "/etc/named.*****.zone.in"; // サーバのプライベートアドレスを記述
};

view "dmz" {
match-clients { dmz; };
match-destinations { dmz; };
recursion yes;
include "/etc/named.rfc1912.zones";
include "/etc/named.*****.zone.dmz"; // サーバのプライベートアドレスを記述
};

view "external" {
match-clients { any; };
match-destinations { any; };
recursion no;
include "/etc/named.*****.zone.wan"; // サーバのグローバルアドレスを記述
};

記事編集 編集
Re: nslookupでルートサーバが出てくる? このメッセージに返信する
日時: 2011/05/10 20:50
名前: stranger
URL: http://ja.528p.com/
ローカル-IP ← → DMZ-IP
にルーティングする方法を考えないと接続できませんよね
記事編集 編集
Re: nslookupでルートサーバが出てくる? このメッセージに返信する
日時: 2011/05/12 19:56
名前: けんけん
URL:
>ローカル-IP ← → DMZ-IP
>にルーティングする方法を考えないと接続できませんよね
いろいろ調べてみましたがよくわかりません…。
でも、DNSサーバにpingは通るので、ルーティングできてないわけではないのでは?
記事編集 編集
Re: nslookupでルートサーバが出てくる? このメッセージに返信する
日時: 2011/05/12 21:33
名前: stranger
URL: http://ja.528p.com/
クライアントがlinuxなら
rootになってポートスキャンしてみる

nmap -sU -p 53 192.168.1.2
記事編集 編集
Re: nslookupでルートサーバが出てくる? このメッセージに返信する
日時: 2011/05/13 10:11
名前: けんけん
URL:
>クライアントがlinuxなら
>rootになってポートスキャンしてみる
>
>nmap -sU -p 53 192.168.1.2

クライアントはWindowsですが、NMapWinを使って調べてみました。
tcpもudpも53は開いています。
記事編集 編集
Re: nslookupでルートサーバが出てくる? このメッセージに返信する
日時: 2011/05/13 14:15
名前: stranger
URL: http://ja.528p.com/
view "dmz" {
match-clients { dmz; };
match-destinations { dmz; };
recursion yes;
include "/etc/named.rfc1912.zones";
include "/etc/named.*****.zone.dmz"; // サーバのプライベートアドレスを記述
};

こちら側にサーバの正引きが書かれているとして
lanからのアクセスも許可しないとダメなのでは?
match-clients { dmz; lan; };

match-clients はリクエスト元のソースIPでマッチを行う
match-destinations はリクエストを受け付けるインターフェースのIPアドレスでマッチを行う
記事編集 編集
Re: nslookupでルートサーバが出てくる? このメッセージに返信する
日時: 2011/05/13 15:55
名前: けんけん
URL:
>view "dmz" {
>match-clients { dmz; };
>match-destinations { dmz; };
>recursion yes;
>include "/etc/named.rfc1912.zones";
>include "/etc/named.*****.zone.dmz"; // サーバのプライベートアドレスを記述
>};
>
>こちら側にサーバの正引きが書かれているとして
>lanからのアクセスも許可しないとダメなのでは?
>match-clients { dmz; lan; };
>
>match-clients はリクエスト元のソースIPでマッチを行う
>match-destinations はリクエストを受け付けるインターフェースのIPアドレスでマッチを行う

できました!
そこでした。確かに言われてみればdmzはlanにも許可しないといけないですよね。
お恥ずかしい限りです。
ありがとうございました。
かなり長い時間悩んでいたので、本当に助かりました。
記事編集 編集

Page: | 1 | 2 |

件名※必須
名前※必須
URL
任意のパスワード (投稿後のコメント修正・削除時に使用)
画像認証※必須 投稿キー(画像で表示されている数字を入力)
コメント※必須

※質問を投稿後に自己解決された場合は、原因と行った対処を具体的に書き込み下さるよう、よろしくお願いします。

- WEB PATIO -