はじめての自宅サーバ構築 - Fedora/CentOS -
Last Update 2018/01/16
[ 更新履歴 ] [ サイト マップ ] [ 質問掲示板 ] [ 雑談掲示板 ] [ リンク ]
トップ >> 当サイト情報 >> スレッド

このページは表示専用です。新規投稿・レスや最新情報はこちらです。

このスレッドはクローズされています。記事の閲覧のみとなります。

 内部DNSが参照できない
日時: 2007/07/01 09:04
名前: よしひと

LINUX初心者です。

現在、ルータを経由→ハブを経由して「内部DNS」と「クライアント」を接続する形でLANを形成しています。
内部用のDNSを構築しているのですが、DNSサーバ本体での名前解決は問題ないのですが、
同じネットワーク内にあるWINDOWSクライアントからの名前解決が出来ません。
というか、内部DNSを認識することが出来ず、http://kajuhome.com/bind.shtml#n09-01
書かれている手順で内部DNSを登録したところ、インターネットにも繋がらなくなりました。

両者間のネットワークについては、ping確認も問題ないのですが、
クライアント側に問題があるのか、サーバー側に問題があるのか、何が原因なのかよくわかりません。
何か根本的な勘違いをしているような気がするのですが、どなたかアドバイスをお願いできないでしょうか?

少し長くなりますが、現在の設定個所や構築環境については、以下のとおりとなります。

●マシン環境&ネットワーク環境
---------------------------------------------------------------
≪マシン環境≫
 ・内部DNS環境 ・・・OS=Fedora Core5/BIND=9.3.2-4.1
 ・クライント環境  ・・・OS=Windows2000(SP4)
≪ネットワーク環境≫
 ・ドメイン名・NWアドレス ・・・sample.net(192.168.1.0/24)
 ・マスターサーバ     ・・・ns1.sample.net(192.168.1.31)
 ・クライアント      ・・・pc1.sample.net(192.168.1.13)
---------------------------------------------------------------

●「nslookup(内部DNS/クライアント)と、「ipconfig/all(クライアント)」の実行結果は、
以下のとおりです。

◇nslookup(クライアント)
---------------------------------------------------------------
c:\>nslookup
DNS request timed out.
  timeout was 2 seconds.
*** Can't find server name for address 192.168.1.31: Timed out
*** Default servers are not available
Default Server: UnKnown   ←(内部DNSを認識出来ていない)
Address: 192.168.1.31

>

◇nslookup(内部DNS)
---------------------------------------------------------------
[root@ns1 ~]# nslookup
> sample.net         ←(自ドメイン名)
Server:     192.168.1.31
Address:    192.168.1.31#53

Name:  sample.net
Address: 192.168.1.31
> pc1             ←(クライアント名:正引き)
Server:     192.168.1.31
Address:    192.168.1.31#53

Name:  pc1.sample.net
Address: 192.168.1.13
> 192.168.1.13        ←(クライアント名:逆引き)
Server:     192.168.1.31
Address:    192.168.1.31#53

13.1.168.192.in-addr.arpa    name = pc1.sample.net.


◇ipconfig/all(クライアント)
---------------------------------------------------------------
c:\>ipconfig /all

Windows 2000 IP Configuration

    Host Name . . . . . . . . . . . . : pc1
    Primary DNS Suffix . . . . . . . : sample.net
    Node Type . . . . . . . . . . . . : Broadcast
    IP Routing Enabled. . . . . . . . : No
    WINS Proxy Enabled. . . . . . . . : No
    DNS Suffix Search List. . . . . . : sample.net
                      xxxxxx.xxxx.jp ←(ISPのDNS Suffix)

Ethernet adapter ローカル エリア接続:

    Connection-specific DNS Suffix . : xxxxxx.xxxx.jp ←(ISPのDNS Suffix)
    Description . . . . . . . . . . . : VIA Rhine II Fast Etherne
    Physical Address. . . . . . . . . : 00-E0-4C-C2-9C-63
    DHCP Enabled. . . . . . . . . . . : Yes
    Autoconfiguration Enabled . . . . : Yes
    IP Address. . . . . . . . . . . . : 192.168.1.13
    Subnet Mask . . . . . . . . . . . : 255.255.255.0
    Default Gateway . . . . . . . . . : 192.168.1.1
    DHCP Server . . . . . . . . . . . : 192.168.1.1
    DNS Servers . . . . . . . . . . . : 192.168.1.31
    Lease Obtained. . . . . . . . . . : 2007年7月1日 4:42:14
    Lease Expires . . . . . . . . . . : 2007年7月4日 4:42:14


次ページに、内部DNSのそれぞれの設定ファイル内容についてお知らせいたします。

■ コンテンツ関連情報

 Re: クライアントから、内部DNSが参照できない-? ( No.1 )
日時: 2007/07/01 05:51
名前: よしひと

●内部DNSのそれぞれの設定内容は、以下のとおりとなります。
≪named.conf≫
---------------------------------------------------------------
options {
    directory "/var/named";
    allow-query { localnets; };
    version "";
    dump-file "/var/named/data/cache_dump.db";
    statistics-file "/var/named/data/named_stats.txt";
    // query-source address * port 53;
};

view "internal" {
    match-clients { localnets; };
    recursion yes;

    zone "." IN {
        type hint;
        file "named.root";
    };

    zone "0.0.127.in-addr.arpa" IN {
        type master;
        file "0.0.127.rev";
        allow-update { none; };
    };

    zone "sample.net" {
        type master;
        file "sample.net-lan.zone";
        allow-update { none; };
    };

    zone "1.168.192.in-addr.arpa" {
        type master;
        file "1.168.192.rev";
        allow-update { none; };
    };
};
---------------------------------------------------------------


≪sample.net-lan.zone≫
---------------------------------------------------------------
$TTL 86400
@    IN   SOA   ns1.sample.net. root.ns1.sample.net.(
            2007063001   ; serial
            3600      ; refresh
            900       ; retry
            604800     ; expire
            600       ; negative
)
    IN   NS   ns1.sample.net.
    IN   A    192.168.1.31
ns   IN   A    192.168.1.31
pc1   IN   A    192.168.1.13
www   IN   CNAME  sample.net.


≪1.168.192.rev≫
---------------------------------------------------------------
$TTL 86400
@    IN   SOA   ns1.sample.net. root.ns1.sample.net.(
            2007063001   ; serial
            3600      ; refres
            900       ; retry
            604800     ; expire
            600       ; negative
)
    IN   NS   ns1.sample.net.
    IN   PTR   sample.net.
31   IN   PTR   ns1.sample.net.
13   IN   PTR   pc1.sample.net.


≪# vi /etc/hostsの結果≫
---------------------------------------------------------------
# Do not remove the following line, or various programs
# that require network functionality will fail.
127.0.0.1        localhost.localdomain localhost


≪vi /etc/resolv.confの結果≫
---------------------------------------------------------------
domain sample.net
search sample.net
nameserver 192.168.1.31


≪# vi /etc/nsswitch.confの結果≫
---------------------------------------------------------------
#hosts:   db files nisplus nis dns
hosts:   files dns


≪vi /etc/host.confの結果≫
---------------------------------------------------------------
order hosts,bind


≪iptables -L(内部DNS)の実行結果≫
---------------------------------------------------------------
[root@ns1 /]# iptables -L
Chain INPUT (policy ACCEPT)
target   prot opt source        destination
RH-Firewall-1-INPUT all -- anywhere       anywhere

Chain FORWARD (policy ACCEPT)
target   prot opt source        destination
RH-Firewall-1-INPUT all -- anywhere       anywhere

Chain OUTPUT (policy ACCEPT)
target   prot opt source        destination

Chain RH-Firewall-1-INPUT (2 references)
target   prot opt source        destination
ACCEPT   all -- anywhere       anywhere
ACCEPT   icmp -- anywhere       anywhere      icmp any
ACCEPT   ipv6-crypt-- anywhere       anywhere
ACCEPT   ipv6-auth-- anywhere       anywhere
ACCEPT   udp -- anywhere       224.0.0.251     udp dpt:mdns
ACCEPT   udp -- anywhere       anywhere      udp dpt:ipp
ACCEPT   tcp -- anywhere       anywhere      tcp dpt:ipp
ACCEPT   all -- anywhere       anywhere      state RELATED,ESTABLISHED
ACCEPT   tcp -- anywhere       anywhere      state NEW tcp dpt:ftp
ACCEPT   tcp -- anywhere       anywhere      state NEW tcp dpt:smtp
ACCEPT   tcp -- anywhere       anywhere      state NEW tcp dpt:ssh
ACCEPT   udp -- anywhere       anywhere      state NEW udp dpt:netbios-ns
ACCEPT   udp -- anywhere       anywhere      state NEW udp dpt:netbios-dgm
ACCEPT   tcp -- anywhere       anywhere      state NEW tcp dpt:netbios-ssn
ACCEPT   tcp -- anywhere       anywhere      state NEW tcp dpt:microsoft-ds
ACCEPT   tcp -- anywhere       anywhere      state NEW tcp dpt:telnet
ACCEPT   tcp -- anywhere       anywhere      state NEW tcp dpt:http
REJECT   all -- anywhere       anywhere      reject-with icmp-host-prohibited


以上です。

情報として足りているかどうかはわかりませんが、以上が現時点で必要と思われる設定情報となります。
お手数をお掛けいたしますが、どなたか原因についてお分かりの方いらっしゃいましたら、
どうかアドバイスをいただけますようお願いいたします。


 Re: 内部DNSが参照できない ( No.2 )
日時: 2007/07/01 10:09
名前: 管理者

多忙にて簡略的な確認しかできません事をご了承ください。

以下を変更して、サービス再起動後に確認願います。

> ≪named.conf≫
> ---------------------------------------------------------------
> options {
>     directory "/var/named";
>     allow-query { localnets; };

       ↓        ↓
     allow-query { any; };
       もしくは
     allow-query { 127.0.0.1; 192.168.1.0/24; };
 Re: 内部DNSが参照できない ( No.3 )
日時: 2007/07/01 10:27
名前: よしひと


管理人様

早々にご回答いただきありがとうございます。

ご指摘いただきました二つの方法にて再設定をさせていただきましたが、nslookupの実行結果も含め
今までと同様で変化はございませんでした。
あれから、いろいろな部分を見直したりもしているのですが、
今のところ有効な手がかりは見つかっておりません。

私の方でもいろいろと頑張ってやってみますので、もし他にお気づきの点などございましたら、
教えていただけると助かります。

よろしくお願いいたします。

 Re: 内部DNSが参照できない ( No.4 )
日時: 2007/07/01 18:54
名前: 管理者

> ◇nslookup(クライアント)
> ---------------------------------------------------------------
> c:\>nslookup
> DNS request timed out.
>   timeout was 2 seconds.
> *** Can't find server name for address 192.168.1.31: Timed out
> *** Default servers are not available
> Default Server: UnKnown   ←(内部DNSを認識出来ていない)
> Address: 192.168.1.31


ちょっと確認です。
上記の状態で、「ドメイン」の正引き、クライアントの「正・逆引き」はできませんか?

> Default Server: UnKnown   ←(内部DNSを認識出来ていない)

上記は、DHCPサーバを構築したときにサーバー名を継承してくると記憶にあった気がします。
bind(DNS)だけの構築では、上記はUnKnowとなり、且つクライアントのネットワークプロパティに
DNSサーバの指定を手動で設定しなければなりません。
(DHCPとの連携であれば、この項目は自動的に設定されます。)
 Re: 内部DNSが参照できない ( No.5 )
日時: 2007/07/01 16:57
名前: よしひと

管理人様

遅くなって申し訳ございません。
夜通しでDNSの設定していたので、いつの間にかダウンしてしまいました。誠に申し訳ございません。

ご質問の件について確認させていただきましたところ、以下のような結果になりました。
→結論としては、いずれも解決はいたしませんでした。

c:\>nslookup
DNS request timed out.
  timeout was 2 seconds.
*** Can't find server name for address 192.168.1.31: Timed out
*** Default servers are not available
Default Server: UnKnown
Address: 192.168.1.31

> sample.net
Server: UnKnown
Address: 192.168.1.31

DNS request timed out.
  timeout was 2 seconds.
DNS request timed out.
  timeout was 2 seconds.
*** Request to UnKnown timed-out
> pc1
Server: UnKnown
Address: 192.168.1.31

DNS request timed out.
  timeout was 2 seconds.
*** Request to UnKnown timed-out
> pc1.sample.net
Server: UnKnown
Address: 192.168.1.31

DNS request timed out.
  timeout was 2 seconds.
DNS request timed out.
  timeout was 2 seconds.
*** Request to UnKnown timed-out
> 192.168.1.13
Server: UnKnown
Address: 192.168.1.31

DNS request timed out.
  timeout was 2 seconds.
*** Request to UnKnown timed-out
>

また、二つ目のご指摘についてですが、最初に経由しているルータにてDHCPを提供している為、
サーバー側ではDHCPは構築しておりません。
ルータ側のDHCPを停止して、サーバー側でDHCPを構築するべきなのでしょうか?

度々お手数ですが、どうかよろしくお願いいたします。


 Re: 内部DNSが参照できない ( No.6 )
日時: 2007/07/01 17:36
名前: よしひと


管理人様

必要かどうかわかりませんが、クライアントPCを一台ネットワークに追加して以下のようなネットワーク構成にしました。
それに伴い、内部DNS側の設定ファイルも修正し、追加したPCにおいても同様の現象が起きるかどうか検証してみたところ、
同じ結果となってしまいました。

・ドメイン名・NWアドレス ・・・ sample.net(192.168.1.0/24)
・マスターサーバ     ・・・ ns1.sample.net(192.168.1.31)
・クライアント?     ・・・ pc1.sample.net(192.168.1.13)/Windows2000(SP4)
・クライアント?     ・・・ pc2.sample.net(192.168.1.15)/Windows2000(SP4)  →(追加)

ただ、ちょっと気になった点がございましたので、掲載させていただきます。
(1).pc1〜pc2間では、”ホスト名”でのping疎通は問題なく行なわれる。
(2).但し、両者とも「pc1」もしくは「pc2」という”ホスト名”でのping疎通は可能だが、
   「.sample.net」というサフィックスをつけた状態では「Unknown host pc2.sample.net.」と出てしまい、
   pingが通らない。
  →内部DNSが参照できていないので当然かも知れませんが・・・。
(3).内部DNS上では、サフィックスをつけた状態でもつけない状態でも、pingでの疎通は可能。

ちなみに、クライアント?・?のホスト名の設定手順は、[マイコンピュータ]→[プロパティ]→[ネットワークIDタブ」→
「プロパティ」画面にて、以下の方法で入力しています。
→コンピュータ名の欄に、「pc1」もしくは「pc2」を入力。
→[詳細タブ]を開き、[このコンピュータのプライマリDNSサフィックスの欄に「sample.net」を入力。

参考になるかどうかはわかりませんが、念のため掲載させていただきます。
よろしくお願いいたします。


 Re: 内部DNSが参照できない ( No.7 )
日時: 2007/07/01 19:09
名前: 管理者

> ルータ側のDHCPを停止して、サーバー側でDHCPを構築するべきなのでしょうか?

使い勝手だけの問題なので、「構築すべき」と言う部分には当てはまりません。

【前提】
サーバにDNSサーバを構築している

【以下条件の場合】
・サーバ側でDHCPを構築する
  『メリット』
    ・クライアント側は、ネットワークプロパティは意識しなくてすむ。
  『デメリット』
    ・DNSとDHCPとの連携した構築をしなければならない。構築難易レベルは高。

・ルータ側でDHCPを構築する
  『メリット』
    ・DHCPサーバ構築をしないので、サーバ設計を気にしなくてすむ。
  『デメリット』
    ・ネットワークプロパティのDNSサーバIPの欄にサーバのIPを設定しないと名前ベースでアクセスできない。


> →[詳細タブ]を開き、[このコンピュータのプライマリDNSサフィックスの欄に「sample.net」を入力。

ネットワークプロパティの部分は以下だけにしてみてください。

 ?IPアドレスを自動的に取得する  ← オン
 ?DNSサーバを指定する       ← 192.168.1.31(自サーバのIP)
 Re: 内部DNSが参照できない ( No.8 )
日時: 2007/07/01 20:12
名前: よしひと


管理者様

DHCPメリット、デメリットのご説明ありがとうございました。
いつも思うのですが、管理者様の説明は、いつも端的にまとめられていて本当に分かりやすいですね(勉強になります)。

後、ネットワークプロパティーの設定ですが、一応ご指示どおりの設定にはなっております。
?のDNSサーバを指定すると、外部との疎通が取れなくなってしまうのです。
私の説明が悪かったのかも知れませんので念のためですが、下記の[詳細タブ]といいいますのは、
”システムのプロパティ”における、「コンピュータ名」を入力する画面の[詳細タブ]のことでございます。

> →[詳細タブ]を開き、[このコンピュータのプライマリDNSサフィックスの欄に「sample.net」を入力。

もしかすると、クライアント側のホスト名の設定方法に問題があるのかも知れないと思いまして、
情報を掲示させていただきました。
もし何か他に確認すべき点などございましたら、ご指摘いただければ助かります。

よろしくお願いいたします。

 Re: 内部DNSが参照できない ( No.9 )
日時: 2007/07/01 20:27
名前: 管理者

> ?のDNSサーバを指定すると、外部との疎通が取れなくなってしまうのです。
> 私の説明が悪かったのかも知れませんので念のためですが、下記の[詳細タブ]といいいますのは、
> ”システムのプロパティ”における、「コンピュータ名」を入力する画面の[詳細タブ]のことでございます。


上記の件、了解いたしました。

親レスも詳しく見ていなかったのも当方のミスです。
クライアントの名前解決は問題なく「外部に繋がらなくなってしまう」と言うことですね。

「named.conf」ファイルのルートゾーン(以下)ですが、「named.root」は存在していますか?
「named.ca」の間違いではありませんか?

> view "internal" {
>     match-clients { localnets; };
>     recursion yes;
>
>     zone "." IN {
>         type hint;
>         file "named.root";        ← この部分
>     };


DNSサービスを再起動した時のログ「/var/log/messages」も教えてください。
 Re: 内部DNSが参照できない ( No.10 )
日時: 2007/07/01 21:02
名前: よしひと


管理者様

>「named.conf」ファイルのルートゾーン(以下)ですが、「named.root」は存在していますか?
>「named.ca」の間違いではありませんか?


「named.root」は存在しております。今回、特に意味はなかったのですが「ca」→「root」へ
あえて変更する形で作業を進めました。
一応、内部DNSサーバ側からは、nslookupにて「www.yahoo.co.jp」の名前解決などは出来ております。


> DNSサービスを再起動した時のログ「/var/log/messages」も教えてください。

以下、「service named restart」を実行した際のログ結果です。
------------------------------------------------------------------------------------------
Jul 1 20:42:05 ns1 named[4274]: starting BIND 9.3.2 -u named -t /var/named/chroot
Jul 1 20:42:05 ns1 named[4274]: found 1 CPU, using 1 worker thread
Jul 1 20:42:05 ns1 named[4274]: loading configuration from '/etc/named.conf'
Jul 1 20:42:05 ns1 named[4274]: listening on IPv4 interface lo, 127.0.0.1#53
Jul 1 20:42:05 ns1 named[4274]: listening on IPv4 interface eth0, 192.168.1.31#53
Jul 1 20:42:05 ns1 named[4274]: command channel listening on 127.0.0.1#953
Jul 1 20:42:05 ns1 named[4274]: command channel listening on ::1#953
Jul 1 20:42:05 ns1 named[4274]: zone 0.0.127.in-addr.arpa/IN/internal: loaded serial 2007063001
Jul 1 20:42:05 ns1 named[4274]: zone 1.168.192.in-addr.arpa/IN/internal: loaded serial 2007063001
Jul 1 20:42:05 ns1 named[4274]: zone sample.net/IN/internal: loaded serial 2007031400
Jul 1 20:42:05 ns1 named[4274]: running
------------------------------------------------------------------------------------------
サービスのrestart後、再度クライアントからの接続を試みましたが、やはりダメでした。

後、「スレッドNO.6」で書かせていただいております、2台のクライアント間におけるping疎通確認で、
「サフィックス抜きのホスト名」の場合のみ疎通が成功してしまうのは、
ルータ側のDHCP機能により名前解決をしているだけということなのでしょうか?
話が脱線してしまうようでしたら、申し訳ございません。

以上です。
よろしくお願いいたします。

 Re: 内部DNSが参照できない ( No.11 )
日時: 2007/07/01 21:22
名前: 管理者

> 後、「スレッドNO.6」で書かせていただいております、2台のクライアント間におけるping疎通確認で、
> 「サフィックス抜きのホスト名」の場合のみ疎通が成功してしまうのは、
> ルータ側のDHCP機能により名前解決をしているだけということなのでしょうか?


申し訳ないですが、現段階ではなんとも答えられません。
「スレッドNO.6」の(2)は書かれている通りだと思いますが、(3)がいまいち理解できません。


内部解決だけの構築であったら以下の様に変更してみて頂けますか?
(当掲示板のコピー注意:スペースが全角となっています。)

≪named.conf≫
---------------------------------------------------------------
options {
    directory "/var/named";
    dump-file "/var/named/data/cache_dump.db";
    statistics-file "/var/named/data/named_stats.txt";
    // query-source address * port 53;
};

controls {
  inet 127.0.0.1 allow { localhost; } keys { rndckey; };
};

zone "." IN {
    type hint;
    file "named.root";
};

zone "0.0.127.in-addr.arpa" IN {
    type master;
    file "0.0.127.rev";
    allow-update { none; };
};

include "/etc/rndc.key";

zone "sample.net" {
    type master;
    file "sample.net-lan.zone";
    allow-update { none; };
};

zone "1.168.192.in-addr.arpa" {
    type master;
    file "1.168.192.rev";
    allow-update { none; };
};
 Re: 内部DNSが参照できない ( No.12 )
日時: 2007/07/01 21:47
名前: よしひと


管理者様

ご指定の内容で、named.confを書き換えた後、サービスの再起動をして検証いたしましたが、
サーバー側では問題なく、クライアント側からはDNS自体が認識出来ないという同じ結果になりました。

念のため、クライアントからサーバーへのアクセスが正常に出来ていないのではないかと思って
nmapコマンドでポートスキャンをしてみたのですが、サーバ側の53番は開放されている状態です。

 Re: 内部DNSが参照できない ( No.13 )
日時: 2007/07/01 21:54
名前: 管理者

すみません「allow-query」が抜けていました。
以下に再度明記します。

≪named.conf≫
---------------------------------------------------------------
options {
    directory "/var/named";
    dump-file "/var/named/data/cache_dump.db";
    statistics-file "/var/named/data/named_stats.txt";
    // query-source address * port 53;
    allow-query{ any; };
};

controls {
  inet 127.0.0.1 allow { localhost; } keys { rndckey; };
};

zone "." IN {
    type hint;
    file "named.root";
};

zone "0.0.127.in-addr.arpa" IN {
    type master;
    file "0.0.127.rev";
    allow-update { none; };
};

include "/etc/rndc.key";

zone "sample.net" {
    type master;
    file "sample.net-lan.zone";
    allow-update { none; };
};

zone "1.168.192.in-addr.arpa" {
    type master;
    file "1.168.192.rev";
    allow-update { none; };
};

 Re: 内部DNSが参照できない ( No.14 )
日時: 2007/07/01 22:09
名前: よしひと

管理者様

allow-queryを追記してみましたが、結果は同じでした。
いろいろとアドバイスをいただきながら、申し訳ございません。

 Re: 内部DNSが参照できない ( No.15 )
日時: 2007/07/01 22:23
名前: 管理者

少し、時間をください。
親レスからよく確認し、頭を整理てみますね。
 Re: 内部DNSが参照できない ( No.16 )
日時: 2007/07/01 22:27
名前: よしひと


管理者様

かしこまりました。
お手数をお掛けして申し訳ありません。

私の方でも出来るところまで頑張ってやってみます。
よろしくお願いいたします。

 Re: 内部DNSが参照できない ( No.17 )
日時: 2007/07/02 14:35
名前: 管理者

設定内容を見直して見ました。
親スレッドでクライアントからの確認「nslookup」(以下部分)の実施結果がありますよね。

> ◇nslookup(クライアント)
> ---------------------------------------------------------------
> c:\>nslookup
> DNS request timed out.
>   timeout was 2 seconds.
> *** Can't find server name for address 192.168.1.31: Timed out
> *** Default servers are not available
> Default Server: UnKnown   ←(内部DNSを認識出来ていない)
> Address: 192.168.1.31
>


また、スレッドの ( No.5 ) も同様

> c:\>nslookup
> DNS request timed out.
>   timeout was 2 seconds.
> *** Can't find server name for address 192.168.1.31: Timed out
> *** Default servers are not available
> Default Server: UnKnown
> Address: 192.168.1.31
>
> > sample.net
> Server: UnKnown
> Address: 192.168.1.31
>      :
>      :



当方の認識間違いで、『サーバでの内向き名前解決はできる』しかし『クライアントが外部に対して名前解決できない』ではなくて、
『サーバでの内向き名前解決はできる』しかし『クライアントは全く解決できない』が今回の問題なのですよね?

> c:\>nslookup
> DNS request timed out.
>   timeout was 2 seconds.


上記の部分で『DNSサーバに接続できない』と言う部分がまさにこの部分だと存じます。
大変失礼しました。


さて本題ですが、親スレッドで「iptables」のリストを開示頂いていますよね?(以下)

> [root@ns1 /]# iptables -L
> Chain INPUT (policy ACCEPT)
> target   prot opt source        destination
> RH-Firewall-1-INPUT all -- anywhere       anywhere
>
> Chain FORWARD (policy ACCEPT)
> target   prot opt source        destination
> RH-Firewall-1-INPUT all -- anywhere       anywhere
>
> Chain OUTPUT (policy ACCEPT)
> target   prot opt source        destination
>
> Chain RH-Firewall-1-INPUT (2 references)
> target   prot opt source        destination
> ACCEPT   all -- anywhere       anywhere
> ACCEPT   icmp -- anywhere       anywhere      icmp any
> ACCEPT   ipv6-crypt-- anywhere       anywhere
> ACCEPT   ipv6-auth-- anywhere       anywhere
> ACCEPT   udp -- anywhere       224.0.0.251     udp dpt:mdns
> ACCEPT   udp -- anywhere       anywhere      udp dpt:ipp
> ACCEPT   tcp -- anywhere       anywhere      tcp dpt:ipp
> ACCEPT   all -- anywhere       anywhere      state RELATED,ESTABLISHED
> ACCEPT   tcp -- anywhere       anywhere      state NEW tcp dpt:ftp
> ACCEPT   tcp -- anywhere       anywhere      state NEW tcp dpt:smtp
> ACCEPT   tcp -- anywhere       anywhere      state NEW tcp dpt:ssh
> ACCEPT   udp -- anywhere       anywhere      state NEW udp dpt:netbios-ns
> ACCEPT   udp -- anywhere       anywhere      state NEW udp dpt:netbios-dgm
> ACCEPT   tcp -- anywhere       anywhere      state NEW tcp dpt:netbios-ssn
> ACCEPT   tcp -- anywhere       anywhere      state NEW tcp dpt:microsoft-ds
> ACCEPT   tcp -- anywhere       anywhere      state NEW tcp dpt:telnet
> ACCEPT   tcp -- anywhere       anywhere      state NEW tcp dpt:http
> REJECT   all -- anywhere       anywhere      reject-with icmp-host-prohibited



ここの設定で、Port53(domain)が開いていません。恐らくF/Wで遮断されているものと思われます。
ファイアウォールで、Port53を開けるように設定してください。

  参照:http://kajuhome.com/security_trouble.shtml#n01-02


あと、現在は直っているのかも知れませんが、設定ミスがありましたので下記に記します。

> ≪sample.net-lan.zone≫
> ---------------------------------------------------------------
> $TTL 86400
> @    IN   SOA   ns1.sample.net. root.ns1.sample.net.(
>             2007063001   ; serial
>             3600      ; refresh
>             900       ; retry
>             604800     ; expire
>             600       ; negative
> )
>     IN   NS   ns1.sample.net.
>     IN   A    192.168.1.31
> ns   IN   A    192.168.1.31             ← ここ


「ns」ではなくて「ns1」ですね。

誤)
  ns   IN   A    192.168.1.31

正)
  ns1   IN   A    192.168.1.31

 Re: 内部DNSが参照できない ( No.18 )
日時: 2007/07/02 19:25
名前: よしひと


管理者様

お世話になります。

> 当方の認識間違いで、『サーバでの内向き名前解決はできる』しかし『クライアントが外部に対して名前解決できない』ではなくて、
>『サーバでの内向き名前解決はできる』しかし『クライアントは全く解決できない』が今回の問題なのですよね?


はい。その通りでございます。
私の説明不足で、こちらこそ大変失礼いたしました。

後、ファイアウォールの穴開けの件、試してみましたところ、
以下のようなちょっと不思議な現象が発生してしました。

・53番ポートを開けただけでは、事象は全く変わらない。
・ファイアウォールを「disable」にしたところ、問題は解決した。

「disable」にすることで内部DNSに対するクライアントからの名前解決は可能になりますが、
セキュリティー上、このまますべて開放した状態にしておくのは不安です。
なぜ、このような現象になるのかお分かりになりますでしょうか?
もしかして、53番ポート以外を使用しているなんていうことが考えられるのでしょうか?

一応、53番ポートを開けた時の「iptables」の情報を掲示させていただきます。
-----------------------------------------------------------------------
[root@ns1 ~]# iptables -L
Chain INPUT (policy ACCEPT)
target   prot opt source        destination
RH-Firewall-1-INPUT all -- anywhere       anywhere

Chain FORWARD (policy ACCEPT)
target   prot opt source        destination
RH-Firewall-1-INPUT all -- anywhere       anywhere

Chain OUTPUT (policy ACCEPT)
target   prot opt source        destination

Chain RH-Firewall-1-INPUT (2 references)
target   prot opt source        destination
ACCEPT   all -- anywhere       anywhere
ACCEPT   icmp -- anywhere       anywhere      icmp any
ACCEPT   ipv6-crypt-- anywhere       anywhere
ACCEPT   ipv6-auth-- anywhere       anywhere
ACCEPT   udp -- anywhere       224.0.0.251     udp dpt:mdns
ACCEPT   udp -- anywhere       anywhere      udp dpt:ipp
ACCEPT   tcp -- anywhere       anywhere      tcp dpt:ipp
ACCEPT   all -- anywhere       anywhere      state RELATED,ESTABLISHED
ACCEPT   tcp -- anywhere       anywhere      state NEW tcp dpt:domain
ACCEPT   tcp -- anywhere       anywhere      state NEW tcp dpt:ssh
ACCEPT   tcp -- anywhere       anywhere      state NEW tcp dpt:telnet
ACCEPT   tcp -- anywhere       anywhere      state NEW tcp dpt:smtp
ACCEPT   tcp -- anywhere       anywhere      state NEW tcp dpt:http
ACCEPT   tcp -- anywhere       anywhere      state NEW tcp dpt:ftp
ACCEPT   udp -- anywhere       anywhere      state NEW udp dpt:netbios-ns
ACCEPT   udp -- anywhere       anywhere      state NEW udp dpt:netbios-dgm
ACCEPT   tcp -- anywhere       anywhere      state NEW tcp dpt:netbios-ssn
ACCEPT   tcp -- anywhere       anywhere      state NEW tcp dpt:microsoft-ds
REJECT   all -- anywhere       anywhere      reject-with icmp-host-prohibited
-----------------------------------------------------------------------

-----------------------------------------------------------------------
[root@ns1 ~]# cat /etc/sysconfig/iptables
# Firewall configuration written by system-config-securitylevel
# Manual customization of this file is not recommended.
*filter
:INPUT ACCEPT [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
:RH-Firewall-1-INPUT - [0:0]
-A INPUT -j RH-Firewall-1-INPUT
-A FORWARD -j RH-Firewall-1-INPUT
-A RH-Firewall-1-INPUT -i lo -j ACCEPT
-A RH-Firewall-1-INPUT -p icmp --icmp-type any -j ACCEPT
-A RH-Firewall-1-INPUT -p 50 -j ACCEPT
-A RH-Firewall-1-INPUT -p 51 -j ACCEPT
-A RH-Firewall-1-INPUT -p udp --dport 5353 -d 224.0.0.251 -j ACCEPT
-A RH-Firewall-1-INPUT -p udp -m udp --dport 631 -j ACCEPT
-A RH-Firewall-1-INPUT -p tcp -m tcp --dport 631 -j ACCEPT
-A RH-Firewall-1-INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
-A RH-Firewall-1-INPUT -m state --state NEW -m tcp -p tcp --dport 53 -j ACCEPT
-A RH-Firewall-1-INPUT -m state --state NEW -m tcp -p tcp --dport 22 -j ACCEPT
-A RH-Firewall-1-INPUT -m state --state NEW -m tcp -p tcp --dport 23 -j ACCEPT
-A RH-Firewall-1-INPUT -m state --state NEW -m tcp -p tcp --dport 25 -j ACCEPT
-A RH-Firewall-1-INPUT -m state --state NEW -m tcp -p tcp --dport 80 -j ACCEPT
-A RH-Firewall-1-INPUT -m state --state NEW -m tcp -p tcp --dport 21 -j ACCEPT
-A RH-Firewall-1-INPUT -m state --state NEW -m udp -p udp --dport 137 -j ACCEPT
-A RH-Firewall-1-INPUT -m state --state NEW -m udp -p udp --dport 138 -j ACCEPT
-A RH-Firewall-1-INPUT -m state --state NEW -m tcp -p tcp --dport 139 -j ACCEPT
-A RH-Firewall-1-INPUT -m state --state NEW -m tcp -p tcp --dport 445 -j ACCEPT
-A RH-Firewall-1-INPUT -j REJECT --reject-with icmp-host-prohibited
COMMIT
-----------------------------------------------------------------------

以上、よろしくお願いいたします。


 Re: 内部DNSが参照できない ( No.19 )
日時: 2007/07/02 20:01
名前: 管理者

はっきりと「こっち」と書けないことが恥ずかしいのですが、domain(port53)のプロトコルは「TCP」ではなく「UDP」だったと思います。
 Re: 内部DNSが参照できない ( No.20 )
日時: 2007/07/02 20:04
名前: よしひと


管理人様

度々失礼いたします。

参考になるかどうかはわかりませんが、切り分けの為、53番を開けた状態で
「SELINUX」の設定を”disabled”にして再起動をしてみたのですが、結果は同じでした。

また、何かありましたら掲示させていただきます。

 Re: 内部DNSが参照できない ( No.21 )
日時: 2007/07/02 20:13
名前: よしひと


管理人様

「domain:tcp」→「domain:udp」に変更したところ、すべて解決いたしました。
初歩的なところでしたが、いろいろと苦戦しただけに感動いたしました。
お手数をお掛けいたしました。

これからもこちらのサイトを参考にしながらいろいろと勉強させていただきます。

この度は、本当にありがとうございました。

■ その他

ページ先頭へ


Copyright(©)2004-2018 First home server construction. All Right Reserved.