社内などに自前ルートDNSサーバを作ってみる
LANのなかにBINDで自前のルートDNSサーバを作って、そこを参照してJPドメインなども参照するようにする設定をする。
クエリの動きは以下のような感じにする。
Windowsクライアント → ローカルDNSサーバ(192.168.10.178) → ルートDNSサーバ(192.168.10.179) → jpドメインサーバ(192.168.10.173)
BINDのデフォルトの動作的には、
1 2 3 4 | zone "." IN { type hint; file "ルートヒントファイル名";}; |
という記述が /etc/named.conf にある場合はそれに従ってルートDNSサーバを探しにいく。
無い場合はデフォルトで内部にバイナリコードで埋め込まれたルートDNSサーバを参照しに行く。
という動作になる。
BINDのデフォルトの動作 参考
http://d.hatena.ne.jp/happs/20100304/1267706787
なのでローカルDNSサーバに別のルートヒントファイルを用意して、
そこから自前で作ったルートDNSサーバを参照しに行くようにする。
ローカルDNSサーバを作成(Windowsクライアントが参照する用)
このIPアドレスは 192.168.10.178
.(ルート)ドメインを管理するサーバの/etc/named.confに以下の設定を記述する
1 2 3 4 5 6 7 8 9 10 | # vi /etc/named.conf//zone "." IN { ←こっちはコメントアウトする// type hint;// file "named.ca";//};zone "." IN { type hint; file "root.ca";}; |
ローカルDNSサーバの/var/named以下のゾーンファイルに以下のような設定を記述する
自前のルートヒントファイルを用意する。
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 | # vi /var/named/root.ca; <<>> DiG 9.5.0b2 <<>> +bufsize=1200 +norec NS . @a.root-servers.net;; global options: printcmd;; Got answer:;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 34420;; flags: qr aa; QUERY: 1, ANSWER: 13, AUTHORITY: 0, ADDITIONAL: 20;; OPT PSEUDOSECTION:; EDNS: version: 0, flags:; udp: 4096;; QUESTION SECTION:;. IN NS;; ANSWER SECTION:. 518400 IN NS test.root.net.;; ADDITIONAL SECTION:test.root.net. 3600000 IN A 192.168.10.179;; Query time: 147 msec;; SERVER: 198.41.0.4#53(198.41.0.4);; WHEN: Mon Feb 18 13:29:18 2008;; MSG SIZE rcvd: 615 |
ルートヒントファイルは特殊なファイルなので書き方が異なる。
SOAレコードなどは必要ない。
またルートヒントファイルのアクセス権も適切にしなければいけない。
この場合は /var/named/root.ca のアクセス権をもともとあった named.ca というルートヒントファイルのようにあわせる必要がある。
そうしないと named が起動しない
1 2 3 | # ls -l /var/named-rw-r-----. 1 root named 1892 10月 23 11:28 2013 named.ca-rw-r--r--. 1 root root 605 10月 23 11:42 2013 root.ca |
ルートヒントのオーナーグループを named にする。
1 | # chgrp named /var/named/root.ca |
ルートヒントのアクセス権を 640 にする。
1 | # chmod 640 /var/named/root.ca |
1 2 3 | # ls -l /var/named-rw-r-----. 1 root named 1892 10月 23 11:28 2013 named.ca-rw-r-----. 1 root named 605 10月 23 11:42 2013 root.ca |
named の再起動
1 | # /etc/init.d/named restart |
.(ルート)ドメインを管理するサーバを作成
このIPアドレスは 192.168.10.179
.(ルート)ドメインを管理するサーバの/etc/named.confに以下の設定を記述する
1 2 3 4 5 6 7 8 9 10 | # vi /etc/named.conf//zone "." IN { ←こっちはコメントアウトする// type hint;// file "named.ca";//};zone "." IN { type master; //type をマスターにする。 file "root.root";}; |
.(ルート)ドメインを管理するサーバの/var/named以下のゾーンファイルに以下のような設定を記述する
1 2 3 4 5 6 7 8 9 10 11 12 13 | # vi /var/named/root.root# cat /var/named/root.root$TTL 3600S@ IN SOA dns root ( 2013101701 60S 120S 360S 120S ) IN NS dnsdns IN A 192.168.10.179jp IN NS dns.jpdns.jp IN A 192.168.10.173 |
named の再起動
1 | # /etc/init.d/named restart |
JPドメインを管理するサーバを作成
このIPアドレスは 192.168.100.173
JPドメインを管理するサーバの/etc/named.confに以下の設定を記述する
1 2 3 4 5 | # vi /etc/named.confzone "jp" { type master; file "jp";}; |
※このサーバは /etc/named.conf に以下の設定が入っていても入っていなくても大丈夫
1 2 3 4 | zone "." IN { type hint; file "named.ca";}; |
JPドメインを管理するサーバの/var/named以下のゾーンファイルに以下のような設定を記述する
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 | # vi /var/named/jp$TTL 3600S@ IN SOA dns root ( 2013101701 60S 120S 240S 360S ) IN NS dnsdns IN A 192.168.10.173co IN NS dns.co //さらにサブドメインを定義する場合dns.co IN A 192.168.10.150 //さらにサブドメインを定義する場合ac IN NS dns.ac //さらにサブドメインを定義する場合dns.ac IN A 192.168.10.151 //さらにサブドメインを定義する場合jp. IN MX 100 1.1.1.1 //MXレコードを定義する場合aaa IN A 10.1.1.10 //Aレコードを定義する場合 |
named の再起動
1 | # /etc/init.d/named restart |
確認
WindowsクライアントなどのDNSの参照を 192.168.10.178 (ローカルDNSサーバ用)にする。
クライアントからローカルDNSサーバに対して以下のようなクエリを投げるとIPが引けることが分かる。
1 2 3 4 5 6 7 | C:Usersadmin>nslookup aaa.jpサーバー: UnKnownAddress: 192.168.10.178権限のない回答:名前: aaa.jpAddress: 10.1.1.10 |
クエリの動き
Windowsクライアント → ローカルDNSサーバ(192.168.10.178) → ルートDNSサーバ(192.168.10.179) → jpドメインサーバ(192.168.10.173)
BINDサーバ上にネガティブキャッシュなどが残っているとうまく名前が引けないことがあるので、
ローカルDNSサーバ、ルートDNSサーバ、jpドメインサーバ上のキャッシュを以下のコマンドでクリアにしてから試すと良い。
# rndc flush
またこの場合外部のインターネットなどにある本物の jpドメインなどにはクエリが飛ばなくなる。
BINDはルートヒントファイルや他のゾーンファイルなどがある場合は、/etc/named.conf にしたがってそこを見に行き、
無い場合は内蔵されたバイナリのルートヒントの情報を参照してインターネットに抜けるからである。
