このスレッドは解決済です(未解決に戻す場合はこちら)
<<戻る

BINDの外部からの正引き このメッセージに返信する
日時: 2009/09/07 09:44
名前: wolk
URL:
いつもお世話になっております。
先日、御サイトを見ながらBINDでDNSサーバを構築しました。
その際、途中行き詰ってしまったので質問させて下さい。

状況としましては
・内向け名前解決はできる。
・外向け名前解決はできない。(イーモバイル・携帯電話等からテスト)
http://www.cman.jp/network/support/port.htmlにて53番のポートにはアクセスできてました。
http://www.cman.jp/network/support/nslookup.htmlにて、DNSが自ドメイン・マイハマネットの物に変更されている事を確認。
・設定等は、全てこちらのサイトを参考にしながら、自分のドメイン用に設定を書き換えてます。

以上の様な状態ですが、レジストラのネームサーバ設定を変更してから4.5日ほど経過しても未だ反映されていません。利用しているレジストラは『ムームードメイン』です。
正確には、ムームードメインはリセラーでお名前.comが上位レジストラーだという事を以前利用規約で読んだ気がします...(汗)
他にも必要な情報があれば可能な限り追記したいと思います。よろしくお願いします。
記事編集 編集

Page: | 1 | 2 | 3 | 4 | 5 |

Re: BINDの外部からの正引き このメッセージに返信する
日時: 2009/09/13 00:14
名前: wolk
URL:
stranger様ありがとうございます。
ルータはtcp udp 共に53番ポートは開放済みです。アドレス変換もwanのグローバルIPアドレスからサーバのローカルアドレスへ向けています。
stranger様の仰る通り、セカンダリのネームサーバへもゾーンファイルが転送されていません。
stranger様のサイトに掲載されていたnamed-checkconfでnamed.confの構文チェックもしましたがエラーは出力されませんでした。
view "external"の項目もcentossrv以外は全てデフォルトのままです、加えて/etc/ディレクトリにもnamed.ng-x.com.zone.wanファイルを/var/named/chroot/etc/ディレクトリからコピーしました。
zone.wanファイルも構文チェックをかけましたが、エラーは出力されませんでした。
記事編集 編集
Re: BINDの外部からの正引き このメッセージに返信する
日時: 2009/09/13 06:07
名前: stranger
URL: http://ja.528p.com/
ここのサイトの設定例(chroot)では
/var/named/chroot/etc/named.confで
view "external"用の設定
/var/named/chroot/etc/named.centossrv.com.zone.wanを読み込む

/var/named/chroot/etc/named.centossrv.com.zone.wanで
view "external"のzoneファイル
/var/named/chroot/var/named/centossrv.com.db.wanを読み込む

ファイルの配置はあっていますか
zoneファイルはnamedユーザが読込できるパーミッションになっていますか

named-checkconf
named-checkzone
は文法をチェックするもので中身が合っているかまでチェックしないと思います

これ以上はわかりません悪しからず
記事編集 編集
Re: BINDの外部からの正引き このメッセージに返信する
日時: 2009/09/13 09:55
名前: wolk
URL:
stranger様ありがとうございます。
以前はできていた外部からのnslookupやdigにも応答しなくなってしまいました。
やはりどこかしらに、見落としがあるのだと思います...また1から見直します。
ありがとうございました。
記事編集 編集
Re: BINDの外部からの正引き このメッセージに返信する
日時: 2009/09/16 17:50
名前: wolk
URL:
見落としというか、構文のチェックの仕方を間違えてました...。
ゾーン設定ファイルにnamed-checkzoneコマンドを使ったらいくつもエラーが出力されました。
【内向ゾーン】
[root@www etc]# named-checkzone ng-x.com /var/named/chroot/etc/named.ng-x.com.zone
dns_master_load: /var/named/chroot/etc/named.ng-x.com.zone:1: syntax error
dns_master_load: /var/named/chroot/etc/named.ng-x.com.zone:1: syntax error
/var/named/chroot/etc/named.ng-x.com.zone:2: unknown RR type 'type'
/var/named/chroot/etc/named.ng-x.com.zone:3: unknown RR type 'file'
dns_master_load: /var/named/chroot/etc/named.ng-x.com.zone:3: syntax error
dns_master_load: /var/named/chroot/etc/named.ng-x.com.zone:3: syntax error
dns_master_load: /var/named/chroot/etc/named.ng-x.com.zone:5: unexpected end of line
dns_master_load: /var/named/chroot/etc/named.ng-x.com.zone:4: unexpected end of input
dns_master_load: /var/named/chroot/etc/named.ng-x.com.zone:5: syntax error
dns_master_load: /var/named/chroot/etc/named.ng-x.com.zone:5: syntax error
/var/named/chroot/etc/named.ng-x.com.zone:6: unknown RR type 'type'
/var/named/chroot/etc/named.ng-x.com.zone:7: unknown RR type 'file'
dns_master_load: /var/named/chroot/etc/named.ng-x.com.zone:7: syntax error
dns_master_load: /var/named/chroot/etc/named.ng-x.com.zone:7: syntax error
dns_master_load: /var/named/chroot/etc/named.ng-x.com.zone:9: unexpected end of line
dns_master_load: /var/named/chroot/etc/named.ng-x.com.zone:8: unexpected end of input
/var/named/chroot/etc/named.ng-x.com.zone: file does not end with newline
zone ng-x.com/IN: loading master file /var/named/chroot/etc/named.ng-x.com.zone: syntax error
【外向き】
[root@www etc]# named-checkzone ng-x.com /var/named/chroot/etc/named.ng-x.com.zone.wan
dns_master_load: /var/named/chroot/etc/named.ng-x.com.zone.wan:1: syntax error
dns_master_load: /var/named/chroot/etc/named.ng-x.com.zone.wan:1: syntax error
/var/named/chroot/etc/named.ng-x.com.zone.wan:2: unknown RR type 'type'
/var/named/chroot/etc/named.ng-x.com.zone.wan:3: unknown RR type 'file'
dns_master_load: /var/named/chroot/etc/named.ng-x.com.zone.wan:3: syntax error
dns_master_load: /var/named/chroot/etc/named.ng-x.com.zone.wan:3: syntax error
/var/named/chroot/etc/named.ng-x.com.zone.wan:4: unknown RR type 'allow-query'
dns_master_load: /var/named/chroot/etc/named.ng-x.com.zone.wan:6: unexpected end of line
dns_master_load: /var/named/chroot/etc/named.ng-x.com.zone.wan:5: unexpected end of input
/var/named/chroot/etc/named.ng-x.com.zone.wan: file does not end with newline
zone ng-x.com/IN: loading master file /var/named/chroot/etc/named.ng-x.com.zone.wan: syntax error
コピー&ペーストで設定したファイルではありますが、新しいBINDでは使えない文法があったという事なのでしょうか?但し、内向は正引き・逆引きができています。
記事編集 編集
Re: BINDの外部からの正引き このメッセージに返信する
日時: 2009/09/16 18:17
名前: stranger
URL: http://ja.528p.com/
>見落としというか、構文のチェックの仕方を間違えてました...。
>ゾーン設定ファイルにnamed-checkzoneコマンドを使ったらいくつもエラーが出力されました。

/var/named/chroot/etc/named.ng-x.com.zone
/var/named/chroot/etc/named.ng-x.com.zone.wan

はnamed.confファイルの一部ではないか

named-checkzoneは上記のファイルで読み込むzoneファイルをチェックするもの

namedのログにzoneファイルをloadした情報がでていませんか
記事編集 編集
Re: BINDの外部からの正引き このメッセージに返信する
日時: 2009/09/16 19:29
名前: wolk
URL:
http://www.freewheelburning.com/linux/namedlog.html
を参考にログの出力先を変えました。
以降、named.logになります。

Sep 16 19:18:37 www named[2533]: zone 0.in-addr.arpa/IN/localhost_resolver: loaded serial 42
Sep 16 19:18:37 www named[2533]: zone 0.0.127.in-addr.arpa/IN/localhost_resolver: loaded serial 1997022700
Sep 16 19:18:37 www named[2533]: zone 11.168.192.in-addr.arpa/IN/localhost_resolver: loaded serial 2004031901
Sep 16 19:18:37 www named[2533]: zone 255.in-addr.arpa/IN/localhost_resolver: loaded serial 42
Sep 16 19:18:37 www named[2533]: zone 0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.ip6.arpa/IN/localhost_resolver: loaded serial 1997022700
Sep 16 19:18:37 www named[2533]: zone ng-x.com/IN/localhost_resolver: loaded serial 2004031901
Sep 16 19:18:37 www named[2533]: zone localdomain/IN/localhost_resolver: loaded serial 42
Sep 16 19:18:37 www named[2533]: zone localhost/IN/localhost_resolver: loaded serial 42
Sep 16 19:18:37 www named[2533]: zone 0.in-addr.arpa/IN/internal: loaded serial 42
Sep 16 19:18:37 www named[2533]: zone 0.0.127.in-addr.arpa/IN/internal: loaded serial 1997022700
Sep 16 19:18:37 www named[2533]: zone 11.168.192.in-addr.arpa/IN/internal: loaded serial 2004031901
Sep 16 19:18:37 www named[2533]: zone 255.in-addr.arpa/IN/internal: loaded serial 42
Sep 16 19:18:37 www named[2533]: zone 0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.ip6.arpa/IN/internal: loaded serial 1997022700
Sep 16 19:18:37 www named[2533]: zone ng-x.com/IN/internal: loaded serial 2004031901
Sep 16 19:18:37 www named[2533]: zone localdomain/IN/internal: loaded serial 42
Sep 16 19:18:37 www named[2533]: zone localhost/IN/internal: loaded serial 42
Sep 16 19:18:37 www named[2533]: zone ng-x.com/IN/external: loaded serial 2009091401
Sep 16 19:18:37 www named[2533]: running

externalの情報もきちんと読み込まれているように思いますが、やはり記述にミスがあるのでしょうか。
記事編集 編集
Re: BINDの外部からの正引き このメッセージに返信する
日時: 2009/09/17 07:42
名前: stranger
URL: http://ja.528p.com/
ルータの設定やiptablesに問題があるのでは?

マイハマネットにtransferされたら
zone ng-x.com/IN/external: sending notifies (serial 2009091401)
のようなログがでる
記事編集 編集
Re: BINDの外部からの正引き このメッセージに返信する
日時: 2009/09/17 18:42
名前: wolk
URL:
stranger様ありがとうございます。
仰る通り、ポート開放やiptablesによる影響の可能性が大きいかもしれないです...改めてnamed.logを開いてみると
Sep 16 22:24:14 www named[2533]: client 123.50.202.226#45090: view external: bad zone transfer request: 'ns1.ng-x.com/IN': non-authoritative zone (NOTAUTH)
Sep 16 23:48:04 www named[2533]: client 123.50.202.226#51306: view external: bad zone transfer request: 'ns1.ng-x.com/IN': non-authoritative zone (NOTAUTH)
Sep 17 02:18:04 www named[2533]: client 123.50.202.226#33330: view external: bad zone transfer request: 'ns1.ng-x.com/IN': non-authoritative zone (NOTAUTH)
Sep 17 03:08:03 www named[2533]: client 123.50.202.226#34480: view external: bad zone transfer request: 'ns1.ng-x.com/IN': non-authoritative zone (NOTAUTH)
Sep 17 03:28:05 www named[2533]: client 123.50.202.226#39150: view external: bad zone transfer request: 'ns1.ng-x.com/IN': non-authoritative zone (NOTAUTH)
Sep 17 03:48:04 www named[2533]: client 123.50.202.226#58639: view external: bad zone transfer request: 'ns1.ng-x.com/IN': non-authoritative zone (NOTAUTH)
Sep 17 09:07:03 www named[2533]: client 123.50.202.226#52291: view external: bad zone transfer request: 'ns1.ng-x.com/IN': non-authoritative zone (NOTAUTH)
Sep 17 14:58:04 www named[2533]: client 123.50.202.226#57140: view external: bad zone transfer request: 'ns1.ng-x.com/IN': non-authoritative zone (NOTAUTH)
Sep 17 18:04:02 www named[2533]: shutting down: flushing changes
Sep 17 18:04:02 www named[2533]: stopping command channel on 127.0.0.1#953
Sep 17 18:04:02 www named[2533]: stopping command channel on ::1#953
Sep 17 18:04:02 www named[2533]: no longer listening on 127.0.0.1#53
Sep 17 18:04:02 www named[2533]: no longer listening on 192.168.11.2#53
Sep 17 18:04:02 www named[2533]: exiting
と、マイハマネットへの転送が失敗しています。ログを見ると5桁のポート番号を使ってゾーン転送をしてるようですが、こちらのサイトのiptablesのデフォルト設定ですと、これらのポートのtcp/udpは開放されていないですよね...時間ができたらこの件も試してみようと思います。
記事編集 編集
Re: BINDの外部からの正引き このメッセージに返信する
日時: 2009/09/18 07:41
名前: stranger
URL: http://ja.528p.com/
ログを良く見る
マイハマネットからの接続要求ではないか bad zone transfer request:
DNSキャッシュ問題でクエリポートをランダマイズするように警告されているので
マイハマネットのDNSサーバはそのように修正されているのでしょ
こちらのDNSはport53で受けます
iptablesの設定はdportを指定しているだけなので発信元は全て許可のはず

iptablesを一時的にall ACCEPTにしてみるとか
確認の方法はあると思うが

試しに
optionsの allow-query { localhost; localnets; };をコメントして

view localhost_resolver
view "internal"
で個別に設定したらどうなりますか

view "external"は allow-query { any; };
これがうまく機能してないような気がする
記事編集 編集
Re: BINDの外部からの正引き このメッセージに返信する
日時: 2009/10/17 15:15
名前: wolk
URL:
ご無沙汰してます、あれから設定を見直すため何度もOSを入れなおし、BIND構築までやりなおしてみました...特に設定箇所なども変えたわけではないのですが、今回何故かセカンダリサーバ(マイハマネット様)にゾーン転送だけ成功はしました。
なので、喜ばしい事に外部から正引きはできるようにはなったのですが...

何故か、自ドメインのネームサーバだけ外部から応答してくれません、つまり...
・マイハマネット様の2台へはゾーン転送済
・自ドメインネームサーバでは名前解決できない
・今現在セカンダリサーバのみで名前解決をしている
という状況下にあります。

負荷分散の為、セカンダリサーバをご利用させて頂いてるはずなのに、マイハマネット様にだけ負荷をかけてしまうようになるので申し訳なく思ってます、ですのでなるべく早く解決したいと思っています。

環境をもう一度整理して記述します。
・ルータの53ポートのポートフォワーディングは設定済
・iptablesのパケットフィルタリングも53番ポートは開放済
・hosts.allow/hosts.deny等にはnamedに関する記述は一切してません
・zone.wanの設定ファイルにて、こちらのサイト通りallow-query { any; };で外部応答許可、allow-transferにて、マイハマネット様の2台のネームサーバのIPだけ記述済
・レジストラにてネームサーバと固定IPの紐付済
・ネームサーバは自ドメインとマイハマネット様の2台をレジストラに登録済
・外部用ゾーンデターベースにも自ドメインとマイハマネット様の2台をNSとして記述済

テストはhttp://www.cman.jphttp://thednsreport.com/にて行わせていただきました、cman様のdigコマンドで、自ドメインネームサーバを指定して名前解決を試みましたが、応答せず。
thednsreport様の参照結果でも自ドメインのネームサーバだけ応答しないという状況です。
どうか、お力添え願いますm(_ _)m
記事編集 編集

Page: | 1 | 2 | 3 | 4 | 5 |

件名※必須
名前※必須
URL
任意のパスワード (投稿後のコメント修正・削除時に使用)
画像認証※必須 投稿キー(画像で表示されている数字を入力)
コメント※必須

※質問を投稿後に自己解決された場合は、原因と行った対処を具体的に書き込み下さるよう、よろしくお願いします。

- WEB PATIO -