このスレッドは解決済です(未解決に戻す場合はこちら)
<<戻る

BINDでLAN内他セグメントからのクエリ許可について このメッセージに返信する
日時: 2009/06/30 16:04
名前: よっしー
URL: https://takao-y.net/~takao/fswiki/wiki.cgi
こんにちは、お世話になります。

掲題の件、この度自宅ネットワークセグメントを次の通り改編することにしました。

@192.168.1.*/24→現在DNS含めてサーバ、クライアント群が所属しているネットワーク

A192.168.2.*/24→今回新たに追加するネットワーク

今回@のネットワークに所属するクライアント群を全てAのネットワークに移設
するにあたって、従来のようにクライアントにDHCPでIPアドレスを配布する為
上記両ネットワーク間のルーティングを行っているCisco L3スイッチ上でDHCP
リレーエージェントを有効にし、取り敢えず配下のIP電話には無事IPアドレスが
自動配布出来ていることまでは確認出来ました。

ところが肝心のAのネットワーク上のクライアントPC(Vista Business SP2)上で
名前解決が出来ていないようで、@のネットワーク上のサーバ等にPingが通りません
(ネットワーク疎通が出来ません)。

DNSの設定はBIND9でほぼこのサイトの通りに構築し、@のネットワーク上のクライアント
群では名前解決が出来ていることは確認済みです。今回対象のネットワークセグメントが
違うのでDNSのクエリの設定かと思い、named.confファイル内のaclステートメントで
Aのネットワークのネットワークアドレスを指定してallow-queryパラメータに設定して
みましたが、それを行うと内部の名前解決でも外部のルートネームサーバを見に行って
しまうようで期待したような動作をしませんでした。尚、外部へのネットワーク接続は
PPPoE接続(Cisco ルータを使用してPPPoE接続設定投入)です。外部へのDNSの問い合わせ
はプロバイダのDNSにフォワードしています。

念の為、下記にnamed.confの設定を記載しますので、何か適切な改善方法等御座いましたら
ご教授戴ければ幸いです(aclの設定は現在は削除してあります)。

宜しくお願い致します。

以上

//
// named.caching-nameserver.conf
//
// Provided by Red Hat caching-nameserver package to configure the
// ISC BIND named(8) DNS server as a caching only nameserver
// (as a localhost DNS resolver only).
//
// See /usr/share/doc/bind*/sample/ for example named configuration files.
//
// DO NOT EDIT THIS FILE - use system-config-bind or an editor
// to create named.conf - edits to this file will be lost on
// caching-nameserver package upgrade.
//
options {
#listen-on port 53 { 127.0.0.1; };
#listen-on-v6 port 53 { ::1; };
version "unknown";
directory "/var/named";
dump-file "/var/named/data/cache_dump.db";
zone-statistics yes;
statistics-file "/var/named/data/named_stats.txt";
memstatistics-file "/var/named/data/named_mem_stats.txt";

// Those options should be used carefully because they disable port
// randomization
query-source port 53;
#query-source-v6 port 53;
allow-query { localhost; localnets; };
forwarders{
xxx.xxx.xx.xx;→プロバイダのプライマリDNS
xxx.xxx.xxx.xx;→プロバイダのセカンダリDNS
};
};
logging {
channel default_debug {
file "data/named.run";
severity dynamic;
};
};
view localhost_resolver {
match-clients { localhost; };
match-destinations { localhost; };
recursion yes;
include "/etc/named.rfc1912.zones";
include "/etc/named.(ドメイン名).zone";
};
view "internal" {
match-clients { localnets; };
match-destinations { localnets; };
recursion yes;
include "/etc/named.rfc1912.zones";
include "/etc/named.(ドメイン名).zone";
};
view "external" {
match-clients { any; };
match-destinations { any; };
recursion no;
include "/etc/named.(ドメイン名).zone.wan";
};
記事編集 編集
Re: BINDでLAN内他セグメントからのクエリ許可について このメッセージに返信する
日時: 2009/06/30 19:15
名前: stranger
URL: http://ja.528p.com/
サブネットマスクを255.255.0.0にするか、ルータを挟んでルーティングの設定をする

範囲が広すぎる場合、255.255.252.0にするとか?
記事編集 編集
Re: BINDでLAN内他セグメントからのクエリ許可について このメッセージに返信する
日時: 2009/06/30 21:13
名前: よっしー
URL: https://takao-y.net/~takao/fswiki/wiki.cgi
こんばんは、お世話になります。

strangerさん>
レス有難う御座います。(^o^)

上記の件、情報の伝達が漏れており申し訳有りません。現在既にL3スイッチ上でルーティングを
有効にしており、@とAのネットワークをそれぞれVLAN1、2に割り当ててその間で設定しています。

一応あれから試行錯誤の末、named.confを下記設定にして解決しました。

//
// named.caching-nameserver.conf
//
// Provided by Red Hat caching-nameserver package to configure the
// ISC BIND named(8) DNS server as a caching only nameserver
// (as a localhost DNS resolver only).
//
// See /usr/share/doc/bind*/sample/ for example named configuration files.
//
// DO NOT EDIT THIS FILE - use system-config-bind or an editor
// to create named.conf - edits to this file will be lost on
// caching-nameserver package upgrade.
//

acl "(Aのネットワーク名)" { (Aのネットワークアドレス); };

options {
#listen-on port 53 { 127.0.0.1; };
#listen-on-v6 port 53 { ::1; };
version "unknown";
directory "/var/named";
dump-file "/var/named/data/cache_dump.db";
zone-statistics yes;
statistics-file "/var/named/data/named_stats.txt";
memstatistics-file "/var/named/data/named_mem_stats.txt";

// Those options should be used carefully because they disable port
// randomization
query-source port 53;
#query-source-v6 port 53;
allow-query { localhost; localnets; "(Aのネットワーク名)"; };
forwarders{
(プロバイダのプライマリDNS);
(プロバイダのセカンダリDNS);
};
};
logging {
channel default_debug {
file "data/named.run";
severity dynamic;
};
};
view localhost_resolver {
match-clients { localhost; };
match-destinations { localhost; };
recursion yes;
include "/etc/named.rfc1912.zones";
include "/etc/named.(ドメイン名).zone";
};
view "internal" {
match-clients { localnets; "takao-home-lan"; };
match-destinations { localnets; "(Aのネットワーク名)"; };
recursion yes;
include "/etc/named.rfc1912.zones";
include "/etc/named.(ドメイン名).zone";
};
view "external" {
match-clients { any; };
match-destinations { any; };
recursion no;
include "/etc/named.(ドメイン名).zone.wan";
};

今にして思えばaclのネットワーク名を""で囲わなかったのとmatch-destinationsの書き方
が悪かったのかもしれません・・・。(^^;)

最後にネットワークのサブネッティングについてはご指摘の通りもう少し運用してみて
見直してみようかと思います。(^^;)

有難う御座いました。

宜しくお願い致します。

以上
記事編集 編集
件名※必須
名前※必須
URL
任意のパスワード (投稿後のコメント修正・削除時に使用)
画像認証※必須 投稿キー(画像で表示されている数字を入力)
コメント※必須

※質問を投稿後に自己解決された場合は、原因と行った対処を具体的に書き込み下さるよう、よろしくお願いします。

- WEB PATIO -