kamata-net.com: DNS(bind9)構築

2004/07/11 (Sun) DNS(bind9)構築

たいしたことないと思っていたDNSサーバに苦戦。
bind8からbind9って結構変わっていたのね。

・ndcコマンドがなくなりrndcコマンドというのに変わっていた。
・セキュリティ強化の為かroot起動ではなくnamedユーザ起動になっていた
・こともあろうに、-u named -t /var/named/chroot とchrootして起動しているため/var/named配下にzoneファイルその他を置いてもダメだった(気づくのにどれぐらい時間がかかったことか！)
・その為設定ファイルは/var/named/chroot/var/namedとか/var/named/chroot/etc配下に置かなければならない。

完全にやられましたよ。ちなみにrndc.conf、rndc.keyは/etc配下と/var/named/chroot/etc配下両方にあったほうが使い勝手がいいです。

・rootでrndcコマンドを使用するときには/etcを見るのに対し
・named起動時には/var/named/chroot/etcにもないとダメだから

syslogに
couldn't add command channel 127.0.0.1#953: not found
こんなメッセージや
# rndc localhostと叩いて
rndc: connect failed: connection refused
こんなメッセージが出力される方は以下も参考にしてみて下さい。

それにしても/var/named/chroot/etc/の下に空のnamed.confおいておくなよなー。Fedora不親切。なんとなくnamed動いちゃうジャン。

rndcコマンドを使用するために必要な設定
rndcを使用するためには、named.confファイルにcontrolsステートメントが必要。下記のように記述することにより、ローカルホストから rndcが接続できるようになる。(rndckeyは任意の文字列)
named.confは、すべてが読み込めるファイルであるため、 keyステートメントを別のファイルの中に置いて、includeステートメントを使用して参照するほうが良い。

controls {
inet 127.0.0.1 allow { localhost; } keys { rndckey; };
};
include "/etc/rndc.key";

BINDに付属する以下のコマンド(rndc-confgen)を使用してHMAC-MD5鍵が書かれたkeyステートメントファイルを生成する。(/etc/rndc.keyに生成される)

# rndc-confgen -a -b 512 -k rndckey
(HMAC-MD5鍵の最大長の512bitで作成)

以上で、Bindを起動すれば、同時にrndcがポート953で起動され、ローカルホストでrndcが使用できるようになる。

投稿者 setoatu : July 11, 2004 12:14 AM

TumblrにReblog

トラックバック

このエントリーのトラックバックURL:

このリストは、次のエントリーを参照しています: 'DNS(bind9)構築' , kamata-net.com.

はじめまして。
ＢＩＮＤ９でグローバル側とローカル側でＤＮＳを立てています。
ローカル側では、きちんと引けているのに、グローバル側は
なぜか引けません。正直、途方に暮れています。
エラーログははかれておらず、設定ファイルも/var/named/chroot/var/namedの下においてあります。
もしお気づきの点がありましたら、御教授いただけないでしょうか？宜しくお願い致します。

Posted by: simarisu : May 20, 2007 12:37 PM

こんにちわ。
それだけですとなんともいえませんが、named.confは/var/named/chroot/etc配下にありますか？

Posted by: setoatu : May 21, 2007 01:50 AM

レスありがとうございます。
named.confは/var/named/chroot/etcの配下にあります。
また、説明が不足しておりましたが、ファイアウォール（以下、FW）内では、グローバル側、ローカル側ともに引けています。FW外からの問い合わせに対して名前解決が出来ない状況です。当初FWの設定がおかしいのかとも思い、メーカのサポートセンタに問い合わせを入れましたが（ログ、パラメータを送り、解析してもらいました）、設定上問題ないとのことで、DNSの設定がおかしいのではと指摘されています。大変お手数をおかけしますが、他に何か考えられる可能性はありますでしょうか？必要な情報があれば、提示いたします。宜しくお願い致します。

Posted by: simarisu : May 21, 2007 03:01 PM

iptables等のホスト内でのFWでブロックしていることはありませんか？

# service iptables stop

でFWを停止して試してみてください。

Posted by: setoatu : May 21, 2007 03:05 PM

iptablesは、既に止めてあります。他に考えられる問題はありますでしょうか？宜しくお願い致します。

Posted by: simarisu : May 21, 2007 03:23 PM

うーん。よくわからないですね。
FWは外側から内側に入ってくる53/udpを許可済みですよね？
tcpdumpではQueryパケットが入ってくるのがキャプチャできますか？

また、(ないとは思いますが)、Default GWがFWに向いていないとか、まったく別の要因は考えられませんか？

Posted by: setoatu : May 21, 2007 03:28 PM

レスありがとうございます。
Port53は空けてあります。また、Default GWもFW向けにしています。障害切り分けのために、先ほどFWをはずし、直結しましたが、状況は変わりませんでした。
初歩的な質問で恐縮ですが、tcpdumpコマンドでQueryパケットだけをモニタリングする場合の、引数は何を指定すればいいのでしょうか？宜しくお願い致します。

Posted by: simarisu : May 21, 2007 03:46 PM

外出先なので細かくわからないのですが、named.confにクエリーを許可するセグメントを書く箇所なかったでしたっけ？

tcpdumpについては、grepでもいいのでは？

Posted by: setoatu : May 21, 2007 04:08 PM

外出先にも関わらず、レス頂き恐縮です。allow-query {any;};になっています。また、ダンプファイルについてですが、grepで検索しても、Queryは引っかかりませんでした。

Posted by: simarisu : May 21, 2007 04:27 PM

もしかして、レジストラでDNSの設定を自ホストに設定が漏れているとかありませんか？
もしくは設定したばかりとか。。。

DNSの設定が反映されるには最低2日ぐらいはかかると思います。

Posted by: setoatu : May 21, 2007 10:10 PM

再三のお問い合わせに対応頂き、恐縮です。
もし助言いただけるようでしたら、内容が細かくなってしまいますので、直接メールさせていただくことは可能でしょうか？
ずうずうしいお願いで申し訳ございませんが、もしご対応いただけるようでしたら、宜しくお願い致します。

Posted by: simarisu : May 22, 2007 09:02 PM

コメントする