- ベストアンサー
bindで使用するプロトコルについて
社内ネットワーク内に、インターネットに公開しているDNSサーバを立てており、bind8.2を使用しています。 プロバイダのDNSサーバをセカンダリネームサーバに指定しています。 質問です。 Q1.DNS検索に使用しているプロトコルは以下の2つ だけでしょうか? domain 53/udp domain 53/tcp Q2.ident(113/tcp)というプロトコルは何に使用 するものなのでしょうか? Q3.プロバイダにセカンダリネームサーバを置いていて 当方のドメインの情報は登録されています。 外部(インターネット)からのDNS検索を認めたく ないので、ファイヤーウォールにて、外部からの domain 53/udp domain 53/tcpの接続を遮断する 設定にしようと考えてますが、インターネットから 当方の公開サーバが探せなくなってしまう等の問題 はでてしまいますでしょうかか?
- みんなの回答 (3)
- 専門家の回答
質問者が選んだベストアンサー
A1:基本的には53/tcp、53/udpの2つです。 A2:接続してきたクライアントを操作している ユーザ情報の取得(のはす)する機能です。 A3:「プロバイダにセカンダリネームサーバを置いて」 と「外部からの53/udp、53/tcpの接続を遮断する」は 矛盾する事象です。 セカンダリネームサーバを設置する時点で、 ネームサーバ同士で、登録レコード情報の同期を 取るため53/tcpと53/udpの通信は必須です。 JPNICにPrimaryDNS、SecondaryDNSが登録されている 時点でこの2台へは等しく外部からのDNSの問い合わせ に答えられる必要があります。 外部からのDNSの問い合わせはDNSサーバとして 登録されているマシンのうと、どれに問い合わせる かは確定している訳ではありません。 したがってPort53を遮断している場合に、運悪く プライマリDNSに問い合わせした場合、ホストが 見つからない事になりますので、あなたの公開サーバ 見つかったり見つからなかったりといった現象が 出ます。
その他の回答 (2)
>identをなぜ通す設定になっているか不明なのです > メールではないでしょうか? sendmail8.8以上は標準設定でident認証を行う設定になっていたはずです。 標準的なsendmail設定でメール運用していませんか? (tcp_wrapper や httpdでも設定できるけど普通はしないと思います) >これを通さないように設定変更をしたいのです。 > 自sendmailの設定変更により、外部からのsmtp接続に対して自サーバからident要求をしなくなります。 これで、IN-(ident)->OUT は必要なくなるかな? sendmailの設定は、 CFを使っているなら READ_TIMEOUT='ident=0' 起動時に-orident=0オプションをつけてもOKです。 OUT(ident) ->IN は相手のsendmailサーバの設定次第なので、対応はまず無理でしょう。 以下を参考にフィルタリング設定を行うしかないです。 >identを通さないようにした場合の影響について >教えていただけませんでしょうか? > まず、単純にパケットフィルタ(drop)した場合は、 identがタイムアウトするまで待ちが発生します。(数秒?) そのぶんメールの配信が遅くなるってことで、送れなくなるってことはないはずです。 ただ、気を利かして(?)ICMPを返す設定にするとメールが送れないケースも出てくるのでやらないのが無難でしょう。 とここまで書いてなんですが、実際にやった訳ではないので、自信ないです...。m(_ _)m ※自分所はident開けっぱなしにしてます。^ ^;)
お礼
identに関してはどうもなにやっているか良く わからなくて、詳細なご解説で助かりました。 ご指摘の通り、sendmail8.8以降を使用しています。 やはりidentは閉じないほうようにしようと思います。 ご回答ありがとうございました。
- NINJA104
- ベストアンサー率43% (133/306)
Q3にだけ補足。 ポート53はudpとtcp共にDNS用となっていますが、目的に相違があります。 53/udpは#1の説明の通りに開けておく必要があります。 53/tcpはセカンダリDNSサーバとゾーン転送を行う為だけに存在していると言っても過言ではないので、プロバイダのDNSサーバ(セカンダリ)からの接続のみ通す様にIPフィルタリングするのが好ましいです。
お礼
tcpのほうはそういう動きをしていたのですね。 そのようにフィルタをかけるように早速修正します。 ご回答ありがとうございました。
![その他([技術者向] コンピューター) イメージ](https://gazo.okwave.jp/okwave/spn/images/related_qa/c205_4_thumbnail_img_sm.png)
お礼
ご回答ありがとうございました。 この辺の動作が良くわかってなかったので 助かりました。
補足
早速のご回答ありがとうございます。 Q2についてですが、ファイヤーウォールの設定 で、外部からも内部からもident(113/tcp)のプ ロトコルを当方のDNSサーバに通す設定になって いて(前任者から管理を引き継いだのですが、 identをなぜ通す設定になっているか不明なのです) これを通さないように設定変更をしたいのです。 identを通さないようにした場合の影響について 教えていただけませんでしょうか? いろいろすみません。