- ベストアンサー
外部インターネットからDNSサーバが認識されません。
OCNエコノミーの回線を使って、 SUN/Solaris(2.6)で、DNSサーバを構築しています。 ファイアーウォールの設定で、外部からDMZのDNSサーバへの dnsポートを許可しており、また当然のことながら、その逆も許可しております。 内部LANから、外部への接続はできるようになっていますが、 外部から、DNSサーバへのアクセスができないようになってます。 どなたか、対処方法、あるいは、考えられる原因などご存知でしたら、 ご教示願えませんでしょうか? よろしくお願いいたします。m(._.)m
- その他(インターネット接続・通信)
- 回答数4
- ありがとう数5
- みんなの回答 (4)
- 専門家の回答
質問者が選んだベストアンサー
- ベストアンサー
外部からDMZへのアクセスはどのようにログに残ってますか? 全くログに残っていないのであれば、ファイアウォールまで到達していないので、 ISP接続の自ルータ(ある?)の設定が間違っているかも...。 ログ上は正常に接続している(ルールはあっている)のに接続できないのであれば、 DMZ上へのルーティングが問題ではないでしょうか? DMZをローカルアドレスにしていて、DNSサーバをグローバルアドレスにNATかけている場合、 そのStaticRoutingをファイアウォールで手動設定しないと いけない機種もあったと思います。 selenityさんが回答されているように、まず外部からDNSサーバにアクセスしてそのログがどうなるかを 確認されるのがいいかと思います。 外部へ接続は大丈夫なようなので(pop,smtp接続が出来ている) 外部へのpingが通らない件は、とりあえずおいといて、 DNSサーバへの接続を片づけるのがいいかもしれませんね。 ★グローバルIPへの接続という、DMZ上のDNSサーバではなくインターネットということですよね? ※pingの話で余談ですが、 pingは内部から外部へecho requestが通るように、外部から内部へecho replyが通るようなると思います(type0を許可) 運用を考えると、ICMP全部通すでいいと思いますが、 セキュリティ上type13,14(Timestamp)は止めた方がいいとかいう話もききますね。
その他の回答 (3)
- Duck_
- ベストアンサー率36% (4/11)
どうやらルーターレベルでの話に見受けられます。 dns(domain)は確かudpポートも空ける筈でしたが、 空けていますか??
お礼
その後、無事に解決しました。 アドバイスありがとうございました。
- selenity
- ベストアンサー率41% (324/772)
LAN-->Internet(POP3,SMTP)がOKでも ping(ICMP)はだめな場合もあります。 これは両者のプロトコルが異なるため、 ICMPはフィルタリングルールに引っかかっている のでしょう。 「外部から見れている」かどうかは、「外部から」 接続してみない限り内部からいくら試しても 確認できません。 ファイアーウォールの設定が正しければ、 外部DNSサーバからの問い合わせに答えられます。
お礼
いろいろとアドバイスいただき、ありがとうございました。
補足
「ネットワーク構成の異なるPCからグローバルIPへテスト」というのは、 P-Inを使って「外部から」 インターネット接続してのことでした。 表現が不十分な点がありまして、申し訳ありません。
- selenity
- ベストアンサー率41% (324/772)
外部からプライベートドメインを参照しようと しているといった事はないですよね。 Network Information Centerの登録があなたのIP アドレスになっていないのではありませんか? 一般的に外部からDNS参照できない場合、Network Information Centerの登録がされていないことが 多いです。 (例:プライベートドメインをLANで使用していて その名前を外部から引くetc...) その次に考えられることはパケットフィルタのルール にブロックされた。 その場合、丸裸の状態でマシンを外にだし、 正常な参照が出来るかを確認する。 ファイアーウォールの設定で ・Internet-->DMZ TCP/UDPともにDestPort:53は許可されていますか? ・DMZ-->Internet TCP/UDPともにSrcPort:53番は許可されていますか? また「外部から、DNSサーバへのアクセスができない ようになってます」であれば、DNSの問い合わせは できなのが普通なのではありませんか? 上記の設定と矛盾しているようにも見えます。
補足
Network Information Centerの登録、ファイアーウォールの設定、 ともに正しく設定されていることを確認しました。 なお、その後の調査で、以下のことが判明しました。 <判明したこと> ネットワーク構成の異なるPCからグローバルIPへテストしていますが、 相変わらず、「ping xxx.xxx.xxx.xxx」では接続確認できません。 がしかし、メールソフトなどを使ってグローバルIPへ接続してログを見ると、 どうやら、グローバルIPへの接続はできているようなのです。 これは、外部から見えているということで間違いないのでしょうか?
![その他([技術者向] コンピューター) イメージ](https://gazo.okwave.jp/okwave/spn/images/related_qa/c205_4_thumbnail_img_sm.png)
お礼
pingの件、「echo request」や「echo reply」で制御するのですね。 この2つは、思いっきり、ファイアーウォールで禁止してました。(*^.^*) これで、smtpやpopなどのポートを認識するにもかかわらず、 pingは通らないということが理解できました。 今回の事は、いい勉強になりました。 アドバイスいただき、ありがとうございました。