S.C. MAGI-SYSTEM 日記
Diary
2009年になって、実に3年ぶりに更新再開。

hns - 日記自動生成システム - Version 2.19.9

2009年01月09日(金) [n年日記]

[天気:雨](武蔵中原) 起床:6:30 就寝:22:00

#1 [Server] recursion no

今日は昨日に続いてDNSの話。

先日、ITproを読んでいたらいい記事があったので貼っておきます。
DNSファイアウォールが可能にする真のセキュアDNS [要登録]

登録してないと見られないので内容をさらっと紹介すると、 あるドメインのSOAを持っているコンテンツDNS *1 と、いわゆる普通の名前解決をするためのキャッシュDNS *2 は別にしましょ、ということです。
記事を書いているのがアプライアンスベンダーなので、話はさらに コンテンツDNS(プライマリとします)をDMZの内側に配置して、 外部からのリクエストはそのプライマリ・コンテンツDNSから委譲を受けた セカンダリ・コンテンツDNSにやらせましょ、とまで書いています。
これで、間違ってDNSが乗っ取られてしまっても、 DNSレコードを書き変えられてしまう心配がない *3 、ということ。

まあ、外の名前解決は基本的にプロバイダのDNSをforwarderに指定してしまっているので、 あんまり関係ないんですけどね。(笑)

しかし、中と外のDNSを分ける話題は、実はここのネットワークの話にも関係します。
1つのnamedで、プライベート・ネットワーク(internal)のDNSと 外に公開しているグローバル・ネットワーク(external)のDNSを同時に提供しています。 *4
当然、同一のホスト名で名前を解決しているので、中からのリクエストはプライベートIP、 外からのリクエストはグローバルIPが返るようにしないといけません。
外にプライベートIPを見せるわけにはいきませんからね。
それと、外からプライベートIPの逆引きをされないようにもしないといけません。

このように、1つのnamedでリクエスト元のIPアドレスによって レスポンスを変える方法は比較的簡単に設定できます。
また 外部の記事 なんですが、コピペしても意味がないのでここを見てください。(笑)
ここで大事なのは、recursionというキーワードです。
これは自分がAurhorityを持ってるドメイン *5 以外の名前解決を依頼されたときにどうふるまうか、ということ。

先程書いたように、中からは自分のドメインに関する名前解決は当然ですが、 それ以外に外部の名前解決を提供する必要があります。 *6
逆に、外部からのリクエストについては自分のドメインに関するレスポンスを返す必要がありません。
むしろ、踏み台やら何やらに利用されないためにも返すべきではありません。
そこで
view "external" {
(snip)
        recursion no;
(snip)
}

外部からのリクエストについては recursion no をきちんと入れないといけないのです。

これを入れておくと、外からのリクエストには以下のように返ります。
[ttys001%rei:~]% dig @xxx.xxx.xxx.xxx ki.nu in soa

; <<>> DiG 9.4.2-P2 <<>> @xxx.xxx.xxx.xxx ki.nu in soa
; (1 server found)
;; global options:  printcmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: REFUSED, id: 63677
;; flags: qr rd; QUERY: 1, ANSWER: 0, AUTHORITY: 0, ADDITIONAL: 0
;; WARNING: recursion requested but not available

;; QUESTION SECTION:
;ki.nu.				IN	SOA

;; Query time: 54 msec
;; SERVER: xxx.xxx.xxx.xxx#53(xxx.xxx.xxx.xxx)
;; WHEN: Fri Jan  9 20:35:03 2009
;; MSG SIZE  rcvd: 23

status が REFUSED となって、拒否されたのが分かりますね。
同じように中からやってみましょう。
[ttyp5%melchior:~]% dig @127.0.0.1 ki.nu in soa

; <<>> DiG 9.4.3 <<>> @127.0.0.1 ki.nu in soa
;; global options:  printcmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 38104
;; flags: qr rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 13, ADDITIONAL: 11

;; QUESTION SECTION:
;ki.nu.				IN	SOA
(snip)
;; Query time: 5 msec
;; SERVER: 127.0.0.1#53(127.0.0.1)
;; WHEN: Fri Jan  9 20:38:00 2009
;; MSG SIZE  rcvd: 495

status が NOERROR となり、結果がきちんと返っているのが分かります。

自分でDNSを上げている方は気を付けましょう。
*1: 実際にそのゾーンのSOA,NSとなっているDNSのこと。
*2: Webを見るためとかメール送信のために「外部」の名前を解決するDNS
*3: 正確に言うなら書き変えられてしまいますが、あくまでslaveなのでmasterは無事。
*4: なんか昔、日記に書いた気がするんだけど…
*5: そのnamedでmasterやslaveで指定されているドメイン。
*6: それは例えforwarderを指定していてもです。指定がないとforwarderにもききにいきません。

2006年01月09日(月) [n年日記]

[天気:晴れ](本八幡) 起床:9:30 就寝:24:30

#1 [Shinkansen] 品川→名古屋

こだま587号、ぷらっとこだまエコノミープランで品川から名古屋へ。
私が帰りの新幹線を東京発ではなく、品川発にしているのには2つの理由があります。
  1. 総武快速横須賀線は東京乗り換えよりも品川乗り換えの方が楽。
  2. 東京駅は混んでいる。
ただ、自由席のときは確実に席をおさえられるように東京から乗らざるを得ませんが。
品川駅は「エキナカ」が発達しているので、駅で時間を潰すのも楽しいですし。

2004年01月09日(金) [n年日記]

[天気:晴れ](研究室) 起床:9:30 就寝:26:30

#1 [Muzik] LFO

Amazon.co.jp から LFO のアルバムが2枚届きました。

…が、忙しいのと日記をスタックに積みすぎてしまった(笑)ので 内容については後日に。
今は日数を埋めることに専念。

#2 [MacOSX] Camino Nightly Build

MOZILLA_1_6_BRANCH のcommitが落ち着いてきたのと、 私が明日から旅行に行ってしまうのでしばらく Mac に触らないこともあって 家で放置 Build 。 [Camino-20040109.dmg.gz]
今回も gcc 3.3 でコンパイルしてあります。
一応 Mozilla 1.6 はまだ正式リリースではないので、これもbetaだと思って下さい。

2003年01月09日(木) [n年日記]

[天気:晴れ](大学) 起床:11:30 就寝:23:30

#1 [*BSD] AquaSKK and SKKIME

昨日の G4 購入のきっかけになったものの1つに AquaSKK があります。
SKKerな私はSKK以外の日本語入力環境が使えません。(笑)
一時期えらくハマっていた Ragnarok Online も有料化云々以前に、 IME による日本語入力に疲れて *1 中断してた *2 というくらいです。
一応Unixなんだから、skkservとかemacsとかでならSKKが使えるだろう くらいの考えではいましたが、よもや OS X native なSKKがあるとは…。
どの OS X のアプリ上でもSKKで日本語入力ができる。
いやぁ。すばらしい。
届く日が待ちどおしい。
*1: MMORPG ではチャットによるコミュニケーションは不可欠ですので、 慣れない日本語入力環境でプレイするのはしごく大変なのです。
*2: そういえば、一時期止まっていた SKKIME も開発を再開したみたいですね。 WindowsでもSKKが使えるんであれば、また復活できるかも。

#2 [*BSD] メモリ

以前 ChiBUG のイベントの際にも引き取り手を募集していた 128MB の SO-DIMM PC100 SDRAM ですが、 今日、Q氏に無事 ラーメン一杯 で売却されました。
どうもごちそうさまでした。


最近の日記
2019年06月24日
10年振り
2009年12月31日
定期アップデート
2009年04月03日
定期アップデート
2009年03月22日
定期アップデート
2009年01月26日
pomera
2009年01月23日
今日のBOT
2009年01月22日
BOT
2009年01月20日
Seagate HDD
PowerPCの備忘録
RSS feed
abuse
2009年01月19日
Windows 7 beta
2009年01月16日
perl-after-upgrade
2009年01月14日
アクセスカウンタ
2009年01月13日
ひとまず完了
2009年01月12日
7.1-RELEASE(適用)
2009年01月10日
hns 2.19.9
2009年01月09日
recursion no
以上、4 日分です。
先月 2019年11月 来月
1 2
3 4 5 6 7 8 9
10 11 12 13 14 15 16
17 18 19 20 21 22 23
24 25 26 27 28 29 30
Namazu for hns による簡易全文検索
詳しくは 詳細指定/ヘルプを参照して下さい
検索式:

タイトル一覧
カテゴリ分類
Powered by hns-2.19.9, HyperNikkiSystem Project