このスレッドは解決済です(未解決に戻す場合はこちら)
<<戻る

CTUの設定(DNSのUDP?) このメッセージに返信する
日時: 2007/01/09 00:07
名前: 炊けたろう
URL:
いつも参考にさせて頂いています。
炊けたろうと申します。

朝日ネットでフレッツ光プレミアム(ホームタイプ)
で回線が来ているので、こちらのサイトを参考にCENTOSで
外部向けDNSを建てようと悪戦苦闘しており、
皆様のご助言の頂きたく掲示板に思い書き込ませて頂きました。

■ 概略
 外部からの名前解決が出来ずに原因を探っています。

■ 以下詳細です。

長文して礼いたします。

現在
# dig @固定グローバルIPアドレス 独自ドメイン

と打つと以下が帰ってき外部向けにDNSが開放できていない状態です。
; <<>> DiG 9.2.4 <<>> @固定グローバルIPアドレス 独自ドメイン
; (1 server found)
;; global options: printcmd
;; connection timed out; no servers could be reached

内部向けは正常に動いているようです。
ログは cat /var/log/messages(下記※1記載)で見てもおかしい所が分かりませんでした。

iptablesは(下記※2記載)で53番ポートは空けています。

CTUの設定は鷹の巣HPを参考にさせて頂きアドレス変換。ポート開放しました。
http://sakaguch.com/SetCTUfirewall.html
(下記※3記載)

Shields UP!のAll Service PortsではDNS該当の53番はOPENとなっていたのですが、
ネットワーク内部・外部からポートスキャン等でのいろいろ調べて行く内に53番のUDPが
ネットワーク内部ではOK!・ネットワーク外部ではNG;;という事が分かり、
CTUの設定が間違っているのかと考えているのですが、
皆様のお知恵をお借りできないでしょうか?

記事編集 編集

Page: | 1 | 2 |

※2 iptables.sh このメッセージに返信する
日時: 2007/01/09 00:15
名前: 炊けたろう
URL:
※2 iptables.sh
LAN=eth0
LOCALNET_MASK=`ifconfig $LAN|sed -e 's/^.*Mask:\([^ ]*\)$/\1/p' -e d`
LOCALNET_ADDR=`netstat -rn|grep $LAN|grep $LOCALNET_MASK|cut -f1 -d' '`
LOCALNET=$LOCALNET_ADDR/$LOCALNET_MASK
sed -i '/IPTABLES_MODULES/d' /etc/sysconfig/iptables-config
echo "IPTABLES_MODULES=\"ip_conntrack_ftp\"" >> /etc/sysconfig/iptables-config
/etc/rc.d/init.d/iptables stop
iptables -P INPUT DROP # 受信はすべて破棄
iptables -P OUTPUT ACCEPT # 送信はすべて許可
iptables -P FORWARD DROP # 通過はすべて破棄
sysctl -w net.ipv4.tcp_syncookies=1 > /dev/null
sed -i '/net.ipv4.tcp_syncookies/d' /etc/sysctl.conf
echo "net.ipv4.tcp_syncookies=1" >> /etc/sysctl.conf
sysctl -w net.ipv4.icmp_echo_ignore_broadcasts=1 > /dev/null
sed -i '/net.ipv4.icmp_echo_ignore_broadcasts/d' /etc/sysctl.conf
echo "net.ipv4.icmp_echo_ignore_broadcasts=1" >> /etc/sysctl.conf
sed -i '/net.ipv4.conf.*.accept_redirects/d' /etc/sysctl.conf
for dev in `ls /proc/sys/net/ipv4/conf/`
do
sysctl -w net.ipv4.conf.$dev.accept_redirects=0 > /dev/null
echo "net.ipv4.conf.$dev.accept_redirects=0" >> /etc/sysctl.conf
done
sed -i '/net.ipv4.conf.*.accept_source_route/d' /etc/sysctl.conf
for dev in `ls /proc/sys/net/ipv4/conf/`
do
sysctl -w net.ipv4.conf.$dev.accept_source_route=0 > /dev/null
echo "net.ipv4.conf.$dev.accept_source_route=0" >> /etc/sysctl.conf
done
iptables -N LOG_FRAGMENT
iptables -A LOG_FRAGMENT -j LOG --log-tcp-options --log-ip-options --log-prefix '[IPTABLES FRAGMENT] : '
iptables -A LOG_FRAGMENT -j DROP
iptables -A INPUT -f -j LOG_FRAGMENT
iptables -A INPUT -s ! $LOCALNET -p tcp -m multiport --dports 135,137,138,139,445 -j DROP
iptables -A INPUT -s ! $LOCALNET -p udp -m multiport --dports 135,137,138,139,445 -j DROP
iptables -A OUTPUT -d ! $LOCALNET -p tcp -m multiport --sports 135,137,138,139,445 -j DROP
iptables -A OUTPUT -d ! $LOCALNET -p udp -m multiport --sports 135,137,138,139,445 -j DROP
iptables -N LOG_PINGDEATH
iptables -A LOG_PINGDEATH -m limit --limit 1/s --limit-burst 4 -j ACCEPT
iptables -A LOG_PINGDEATH -j LOG --log-tcp-options --log-ip-options --log-prefix '[IPTABLES PINGDEATH] : '
iptables -A LOG_PINGDEATH -j DROP
iptables -A INPUT -p icmp --icmp-type echo-request -j LOG_PINGDEATH
iptables -A INPUT -i lo -j ACCEPT
iptables -A INPUT -s $LOCALNET -j ACCEPT
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A INPUT -d 255.255.255.255 -j DROP
iptables -A INPUT -d 224.0.0.1 -j DROP
iptables -A INPUT -p tcp --dport 113 -j REJECT --reject-with tcp-reset
iptables -A INPUT -p tcp --dport 22 -j ACCEPT

# 外部からのTCP/UDP53番ポート(DNS)へのアクセスを許可
# ※外部向けDNSサーバーを運用する場合のみ
iptables -A INPUT -p tcp --dport 53 -j ACCEPT
iptables -A INPUT -p udp --dport 53 -j ACCEPT

iptables -A INPUT -p tcp --dport 80 -j ACCEPT
iptables -A INPUT -p tcp --dport 443 -j ACCEPT
iptables -A INPUT -p tcp --dport 21 -j ACCEPT
iptables -A INPUT -p tcp --dport 60000:60006 -j ACCEPT
iptables -A INPUT -p tcp --dport 25 -j ACCEPT
iptables -A INPUT -p tcp --dport 465 -j ACCEPT
iptables -A INPUT -p tcp --dport 110 -j ACCEPT
iptables -A INPUT -p tcp --dport 995 -j ACCEPT
iptables -A INPUT -p tcp --dport 143 -j ACCEPT
iptables -A INPUT -p tcp --dport 993 -j ACCEPT
if [ -s /root/deny_ip ]; then
for ip in `cat /root/deny_ip`
do
iptables -I INPUT -s $ip -j DROP
done
fi
http://www.nsrc.org/codes/country-codes.html#contry%20codes
COUNTRYLIST='CN KR'
wget -q http://ftp.apnic.net/stats/apnic/delegated-apnic-latest
iptables -N OTHERFILTER
iptables -A OTHERFILTER -j DROP
for country in $COUNTRYLIST
do
for ip in `cat delegated-apnic-latest | grep "apnic|$country|ipv4|"`
do
FILTER_ADDR=`echo $ip |cut -d "|" -f 4`
TEMP_CIDR=`echo $ip |cut -d "|" -f 5`
FILTER_CIDR=32
while [ $TEMP_CIDR -ne 1 ];
do
TEMP_CIDR=$((TEMP_CIDR/2))
FILTER_CIDR=$((FILTER_CIDR-1))
done
iptables -I INPUT -s $FILTER_ADDR/$FILTER_CIDR -j OTHERFILTER
done
done
rm -f delegated-apnic-latest
iptables -A INPUT -j LOG --log-tcp-options --log-ip-options --log-prefix '[IPTABLES INPUT] : '
iptables -A INPUT -j DROP
iptables -A FORWARD -j LOG --log-tcp-options --log-ip-options --log-prefix '[IPTABLES FORWARD] : '
iptables -A FORWARD -j DROP
/etc/rc.d/init.d/iptables save
/etc/rc.d/init.d/iptables start
記事編集 編集
※3 CTUの設定_1 このメッセージに返信する
日時: 2007/01/09 00:18
名前: 炊けたろう
URL:
※3 CTUの設定
アドレス変換
1 接続先1 サーバのローカルIPアドレス TCP 21 〜 22
2 接続先1 サーバのローカルIPアドレス TCP 25 〜 25
3 接続先1 サーバのローカルIPアドレス TCP・UDP 53 〜 53
4 接続先1 サーバのローカルIPアドレス TCP 80 〜 80
5 接続先1 サーバのローカルIPアドレス TCP 110 〜 110
6 接続先1 サーバのローカルIPアドレス TCP 143 〜 143
7 接続先1 サーバのローカルIPアドレス TCP 443 〜 443
8 接続先1 サーバのローカルIPアドレス TCP 465 〜 465
9 接続先1 サーバのローカルIPアドレス TCP 993 〜 993
10 接続先1 サーバのローカルIPアドレス TCP 995 〜 995
11 接続先1 サーバのローカルIPアドレス TCP 60000 〜 60006
ファイアーウォール
1 拒否 全接続先 IPv4・IPv6 WAN→LAN ICMP 指定しない any any
すべてのアドレス すべてのポート すべてのアドレス すべてのポート
保存しない PING他を無応答に。
2 拒否 全接続先 IPv4・IPv6 WAN→LAN ICMPv6 指定しない any any
すべてのアドレス すべてのポート すべてのアドレス すべてのポート
保存しない PING他を無応答に。
10 拒否 全接続先 IPv4・IPv6 WAN→LAN TCP 指定しない
すべてのアドレス すべてのポート すべてのアドレス 135〜139
保存しない WAN側WinLAN内ファイル共有の拒否
11 拒否 全接続先 IPv4・IPv6 LAN→WAN TCP 指定しない
すべてのアドレス 135〜139 すべてのアドレス すべてのポート
保存しない WAN側WinLAN内ファイル共有の拒否
12 拒否 全接続先 IPv4・IPv6 WAN→LAN TCP 指定しない
すべてのアドレス すべてのポート すべてのアドレス 201〜208
保存しない WAN側LAN内AppleTalkの拒否
13 拒否 全接続先 IPv4・IPv6 LAN→WAN TCP 指定しない
すべてのアドレス 201〜208 すべてのアドレス すべてのポート
保存しない WAN側LAN内AppleTalkの拒否
14 拒否 全接続先 IPv4・IPv6 WAN→LAN TCP 指定しない
すべてのアドレス すべてのポート すべてのアドレス 445〜445
保存しない WAN側WinLAN内ファイル認証の拒否
15 拒否 全接続先 IPv4・IPv6 LAN→WAN TCP 指定しない
すべてのアドレス 445〜445 すべてのアドレス すべてのポート
保存しない WAN側WinLAN内ファイル認証の拒否
20 拒否 接続先1 IPv4 WAN→LAN すべてのプロトコル 指定しない
10.0.0.0〜10.255.255.255 すべてのポート すべてのアドレス すべてのポート
保存しない WAN側A級プライベートアドレス拒否
21 拒否 接続先1 IPv4 LAN→WAN すべてのプロトコル 指定しない
すべてのアドレス すべてのポート 10.0.0.0〜10.255.255.255 すべてのポート
保存しない WAN側A級プライベートアドレス拒否
22 拒否 全接続先 IPv4 WAN→LAN すべてのプロトコル 指定しない
172.16.0.0〜172.31.255.255 すべてのポート すべてのアドレス すべてのポート
保存しない WAN側B級プライベートアドレス拒否
23 拒否 全接続先 IPv4 LAN→WAN すべてのプロトコル 指定しない
すべてのアドレス すべてのポート 172.31.0.0〜172.31.255.255 すべてのポート
保存しない WAN側B級プライベートアドレス拒否
24 拒否 全接続先 IPv4 WAN→LAN すべてのプロトコル 指定しない
192.168.0.0〜192.168.255.255 すべてのポート すべてのアドレス すべてのポート
保存しない WAN側C級プライベートアドレス拒否
25 拒否 全接続先 IPv4 LAN→WAN すべてのプロトコル 指定しない
すべてのアドレス すべてのポート 192.168.0.0〜192.168.255.255 すべてのポート
保存しない WAN側C級プライベートアドレス拒否
26 拒否 全接続先 IPv4 WAN→LAN すべてのプロトコル 指定しない
127.0.0.0〜127.255.255.255 すべてのポート すべてのアドレス すべてのポート
保存しない WAN側自己診断用IPアドレスの拒否
27 拒否 全接続先 IPv4 LAN→WAN すべてのプロトコル 指定しない
すべてのアドレス すべてのポート 127.0.0.0〜127.255.255.255 すべてのポート
保存しない WAN側自己診断用IPアドレスの拒否
28 拒否 全接続先 IPv6 WAN→LAN すべてのプロトコル 指定しない
FE::〜FE:FFFF:FFFF:FFFF:FFFF:FFFF:FFFF:FFFF すべてのポート すべてのアドレス すべてのポート
保存しない WAN側リンクローカルアドレスの拒否
29 拒否 全接続先 IPv6 LAN→WAN すべてのプロトコル 指定しない
すべてのアドレス すべてのポート FE::〜FE:FFFF:FFFF:FFFF:FFFF:FFFF:FFFF:FFFF すべてのポート
保存しない WAN側リンクローカルアドレスの拒否
30 拒否 全接続先 IPv4 WAN→LAN すべてのプロトコル 指定しない
グローバル固定IP〜グローバル固定IP すべてのポート すべてのアドレス すべてのポート
保存しない 自己IPアドレスよりの偽装パケットの遮断
記事編集 編集
CTUの設定_2 このメッセージに返信する
日時: 2007/01/09 00:21
名前: 炊けたろう
URL:
41 許可 IPv6 IPv6 WAN→LAN UDP 指定しない
すべてのアドレス 16384〜16403 すべてのアドレス 16384〜16403
保存しない テレビ電話機能1を使用
42 許可 IPv6 IPv6 WAN→LAN UDP 指定しない
すべてのアドレス 16484〜16503 すべてのアドレス 16484〜16503
保存しない テレビ電話機能2を使用
43 許可 IPv6 IPv6 WAN→LAN TCP 指定しない
すべてのアドレス 1024〜65535 すべてのアドレス 10000〜10009
保存しない テレビ電話機能3を使用
44 許可 IPv6 IPv6 WAN→LAN UDP 指定しない
すべてのアドレス 32768〜65535 すべてのアドレス 35060〜35064
保存しない テレビ電話機能4を使用
45 許可 IPv6 IPv6 WAN→LAN UDP 指定しない
すべてのアドレス 32768〜65535 すべてのアドレス 35050〜35054
保存しない テレビ電話機能5を使用
46 許可 IPv6 IPv6 WAN→LAN UDP 指定しない
すべてのアドレス 32768〜65535 すべてのアドレス 17000〜17009
保存しない テレビ電話機能6を使用
50 許可 全接続先 IPv4・IPv6 WAN→LAN TCP SYN
すべてのアドレス すべてのポート すべてのアドレス 21〜22
保存しない
51 許可 全接続先 IPv4・IPv6 WAN→LAN TCP SYN
すべてのアドレス すべてのポート すべてのアドレス 25〜25
保存しない
52 許可 全接続先 IPv4・IPv6 WAN→LAN TCP SYN
すべてのアドレス すべてのポート すべてのアドレス 53〜53
保存しない
53 許可 全接続先 IPv4・IPv6 WAN→LAN UDP 指定しない
すべてのアドレス すべてのポート すべてのアドレス 53〜53
保存しない
54 許可 全接続先 IPv4・IPv6 WAN→LAN TCP SYN
すべてのアドレス すべてのポート すべてのアドレス 80〜80
保存しない
55 許可 全接続先 IPv4・IPv6 WAN→LAN TCP SYN
すべてのアドレス すべてのポート すべてのアドレス 110〜110
保存しない
56 許可 全接続先 IPv4・IPv6 WAN→LAN TCP SYN
すべてのアドレス すべてのポート すべてのアドレス 143〜143
保存しない
57 許可 全接続先 IPv4・IPv6 WAN→LAN TCP SYN
すべてのアドレス すべてのポート すべてのアドレス 443〜443
保存しない
58 許可 全接続先 IPv4・IPv6 WAN→LAN TCP SYN
すべてのアドレス すべてのポート すべてのアドレス 465〜465
保存しない
59 許可 全接続先 IPv4・IPv6 WAN→LAN TCP SYN
すべてのアドレス すべてのポート すべてのアドレス 993〜993
保存しない
60 許可 全接続先 IPv4・IPv6 WAN→LAN TCP SYN
すべてのアドレス すべてのポート すべてのアドレス 995〜995
保存しない
61 許可 全接続先 IPv4・IPv6 WAN→LAN TCP SYN
すべてのアドレス すべてのポート すべてのアドレス 60000〜60006
保存しない
71 拒否 全接続先 IPv4・IPv6 WAN→LAN TCP SYN
すべてのアドレス すべてのポート すべてのアドレス すべてのポート
保存しない 全TCP−SYNパケットのしゃ断
記事編集 編集
Re: CTUの設定(DNSのUDP?) このメッセージに返信する
日時: 2007/01/23 21:26
名前: WCN
URL:
私も同じようなエラーに遭遇し、メーカー(私の場合は、CTUではなく、ルーター:AtermWR7800Hを使用)に問い合わせたところ以下のような回答をもらいました。

私の質問
> Q:(お客様のご質問)
> AtermWR7800H のWAN側にNTT東日本フレッツ光、
> LAN側に Linux サーバーを設置した構成にて、
>
> dig @グローバルIPアドレス ドメイン名
> を実行すると以下のエラーとなる。
>
> 「reply from unexpected source: 192.168.0.1 53,
>   expected xxx.xxx.xxx.xxx(グローバルIPアドレス)53
>  ---
>  ;; connection time out; no servers could be reached 」
>
>
> ・LAN内にDNSサーバーを構築しています。
> ・ポートマッピング設定をしています。
> ・dig @192.168.0.1 ドメイン名 では、正常に動作します。

回答の抜粋
> また、AtermのLAN側でサーバー運用の際は
> Atermのセキュリティ機能について以下の点をご 注意ください。
>
> AtermのLAN側のパソコンから
> LAN側に設置したサーバーなどへ DDNSによるドメイン名や
> 自己のサイトのグローバルIPアドレスでのアクセスの場合
>
> 自己のサイトのグローバルIPアドレスによるアクセスとなるので
> セキュリティのために拒否される仕様です。
> Atermの設定では回避できません。
>
> 同じサイトのLAN側のパソコンからはアクセスできません。
> 外部のサイトからアクセスしてお試しください。
>
>
> 備考
> LAN側パソコンからの操作で
> 「dig @グローバルIPアドレス ドメイン名
>  を実行すると以下のエラーとなる。」
> と言う点は このセキュリティ機能の影響のようです。
>

ということで、外部のLinuxから dig @グローバルIPアドレス ドメイン名 を実行すると
正常に動作しました。セキュリティー機能は外せないので、これで、問題はないということのようです。
また、Atermは初期設定でDNSのUDP、WAN側、順方向に対してフィルタ(拒否)となっていました。

今回のCTUのケースに当てはまるかどうか分かりませんが、状況が似ているので、報告させていただきました。





記事編集 編集
Re: CTUの設定(DNSのUDP?) このメッセージに返信する
日時: 2007/01/25 13:02
名前: 炊けたろう
URL:
WCN様
ご返信ありがとうございます。

WCN様言う通りまさしく同じケースでした!!

外部のマシンから

# dig @固定グローバルIPアドレス 独自ドメイン

とすると正常な反応が返ってきました。

WCN様ご助言ありがとうございました。
大変助かりましたm(_ _)m


上記のように解決しましたので、
解決済みにさせて頂きたいと思います。

この場をご提供して頂いた管理人様
ありがとうございました。
記事編集 編集
Луи Витон このメッセージに返信する
日時: 2013/07/30(Tue) 17:15
名前: 236178
URL: http://louisvuitton-ru.tumblr.com/
とくおさんお元気ですか?実は秘かに岐阜市にお見えになるのを待っているひらりんです。こっちでまた音楽活動をはじめて、とくおさんのライブで知った曲なども歌っています。あの頃、とーべんさんとの阿吽の掛け合いを聴いてホントに爽快でしたが、いざ自分がやろうとすると、タイミングを合わせるのも一苦労だったりしますが・・・また子供がも少し大きくなったら(今、下が5歳です)きっと会いに参りますー! Луи Витон http://louisvuitton-ru.tumblr.com/
記事編集 編集
here このメッセージに返信する
日時: 2013/07/30(Tue) 17:17
名前: 236178
URL: http://www.nikesoccershoes2013.com/site_map.html
・PIW東京公演最終日(7月15日)の2公演が収録され、8月9日夜、BSジャパンにて2時間枠で放送されるそうです。安藤さんはこの公演では連日、昼はAmazing Grace、夜はMusic of the Nightを披露していました。どちらが(どちらも?)見られるか楽しみですね。 [url=http://www.nikesoccershoes2013.com/site_map.html]here[/url] <a href="http://www.nikesoccershoes2013.com/site_map.html" title="here">here</a>
記事編集 編集

Page: | 1 | 2 |

件名※必須
名前※必須
URL
任意のパスワード (投稿後のコメント修正・削除時に使用)
画像認証※必須 投稿キー(画像で表示されている数字を入力)
コメント※必須

※質問を投稿後に自己解決された場合は、原因と行った対処を具体的に書き込み下さるよう、よろしくお願いします。

- WEB PATIO -