DNSサーバの設定方法

BINDはBerkeley Internet Name Domainの頭文字をとったもので、いわゆるDNSサーバとリゾルバライブラリ、各種ツールの集合体です。
DNSはDomain Name Systemで、インターネットを支える必要不可欠なシステムです。
DNSの目的は、ホスト名とIPアドレスを関連づけることで、そのために名前空間の階層化と権限委譲による分散型データベースに集約されます。
ＢＩＮＤはＬＩＮＵＸをインストールすると自動的にインストールされていますので、そのまま設定を行う方が良いでしょう。
しかし、どうしても最新バージョンを御利用したい方は、以下のサイトからダウンロードしてください。
http://www.isc.org/

最新バージョンは9.3.2　(2009年12月15日現在)、なっています。

1. IPアドレスの説明
   

2. BINDの設定
   

3. BINDのセキュリティ設定
   

4. DNSのテスト
   

5. DNSの仕上げ
   

6. network unreachable resolving
   

◆ＩPアドレスの説明

インターネット（JPNICに登録してある）に接続するＩＰアドレス(グローバルIPアドレス)を設定します。


ホスト名	you
ドメイン名	ドメイン名
管理者のメールアドレス	hirosima@ドメイン名
ネームサーバ名	you.ドメイン名（ＩＰアドレス：210.232.123.47）
セカンダリーＤＮＳ	ns-tk013.ocn.ad.jp（ＩＰアドレス：203.139.160.79）
ＩＰアドレス	123.234.123.45〜123.234.123.60
サブネットマスク	255.255.255.240

では、今回は以下の条件で各サーバを設定すると仮定します。

rt.ドメイン名.	123.234.123.46	ルータ用
you.ドメイン名.	123.234.123.47	ネームサーバ
mail.ドメイン名.	123.234.123.47	メールサーバ
www.ドメイン名.	123.234.123.47	WWWサーバ(含むftpサーバ)

トップへ戻る

◆BINDの設定


1. ディレクトリーの作成
   

   ゾーンファイルを置くディレクトリー、/var/namedに置きますが、/var/namedがない場合は以下のコマンドで/var/namedを作成してください。
   　#cd /var
   

   VAR# mkdir named
   

   　

2. name.zoneファイルの作成
   

   正引きのデータを用意します。以下のようにnamed.zoneファイルをhero-island.zoneと言う名前で作成しました。

   $TTL 86400 @ IN SOA you.ドメイン名. root.ドメイン名. ( 20070910 ;serial シリアルＮＯですが、変更したときにセカンダリーに知らせる役目をしています。 10800 ;refresh after 3 hours リフレシュ間隔(３時間)の意味です。 3600 ;retry after 1 hour 再試行時間(１時間)の意味です。 604800 ;expire after 1 week 最大有効期間(１週間)の意味です。 86400 ;minimum ttl of 1 day 生存時間(1日)の意味です。 ) IN NS you.ドメイン名. 　ネームサーバー名 IN NS ns-tk013.ocn.ad.jp. 　　　セカンダリーＤＮＳ名です（ＯＣＮで指定される筈です。）　　　　　 ; IN MX 10 you.ドメイン名. ; router IN A 123.234.123.46　　　ここがルーターです。 you IN A 123.234.123.47　　　ここがネームサーバです。 ; www IN CNAME you.ドメイン名.　　wwwを立ち上げるための定義 mail IN CNAME you.ドメイン名.　　mailを立ち上げるための定義 ftp IN CNAME you.ドメイン名.　　ftpを立ち上げるための定義 ; localhost IN A 127.0.0.1 localhostの指定です。 "."を忘れず記入してください、意味が変わってきます。

   
   最初に、SOA(Start Of Authority)レコードを記述します。
   これはゾーンの開始を宣言し、そのゾーンに関連するパラメータを定義するレコードです。
   <名前>は、そのゾーンを示すFQDNのドメイン名です。
   $TTL 86400は外部のDNSが、このドメイン情報を参照してキャッシュする際、どれくらいの期間情報を保持するかの指定で86400秒（1日）です。
   上記の例では、「ドメイン名.」であるnamed.confで指定されたゾーン名は「@」と省略することができます。
   普通のSOAレコードの名前は「@」と記述されます。

   NSレコード
   「ドメイン名」というドメインに関する情報を持っているネームサーバは「you.ドメイン名.」と
   「ns-tk013.ocn.ad.jp.」というホスト名であることを意味しています

   MXレコード
   MXレコードは、メール・エクスチェンジャを指定します。
   上記の例では、「ドメイン名」宛の電子メールは「mail.ドメイン名」に送り付けると言う意味です。
   「mail.ドメイン名」では、電子メールを受取るためにsendmail等が動いていることになります。

   Aレコード
   Aレコードは「ホスト名→IPアドレス」の対応表です。

   CNAMEレコード
   MXレコードで「ドメイン名」のメール・エクスチェンジャとして「mail.ドメイン名.」を指定しましたが
   このホストは「ドメイン名」の別名です。あるホストの別名を指定する場合にCNAMEレコードを使用します。
   

   
   

   
   

3. 逆引きゾーンファイルの作成

   逆引きゾーンファイル(named.rev)をhero-island.revと言う名前で作成しました。
   

   $TTL 86400 @ IN SOA you.ドメイン名. root.ドメイン名. ( 20070910 ;serial 10800 ;refresh after 3 hours 3600 ;retry after 1 hour 604800 ;expire after 1 week 86400 ;minimum ttl of 1 day ) IN NS you.ドメイン名. IN NS ns-tk013.ocn.ad.jp. ; 46 IN PTR router.ドメイン名. 47 IN PTR you.ドメイン名. ;

   
   「named.zone」には、「ドメイン名」に対する正引き(ホスト⇒IPアドレス)のための情報が記述してあります。
   それに対し、逆引き(IPアドレス⇒ホスト名)のためのファイルは、ネットワークごとに分割する必要があります。
   「named.rev」は「123.234.123.45/60」のネットワークに対するファイルです。

   １行目の45.123.234.210.in-addr.arpa.は、逆引きのために使われるドメイン名です。

   PTRレコード
   「named.zone」の「IN A」で示されるAレコードが「ホスト名⇒IPアドレス」の対応表であったのに対して、
   「IN PTR」で示されるPTRレコードは「IPアドレス⇒ホスト名」の対応表になります。 47 IN PTR you.ドメイン名.
   の行は「123.234.123.47」というIPアドレスは「you.ドメイン名」のホスト名と対応するという意味になります。

   
   

4. 逆引きゾーンファイルの作成

   ループバックアドレス「127.0.0.1」の逆引きゾーンファイル(local.rev)を作成しました。
   local.rev
   

   $TTL 86400 @ localhost.root.localhost. ( 20070910 ;serial 10800 ;refresh after 3 hours 3600 ;retry after 1 hour 604800 ;expire after 1 week 86400 ;minimum ttl of 1 day ) IN NS you.ドメイン名. ; 1 IN PTR localhost.

   
   
   

5. named.confの修正

   named,confは、BINDそのものの基本設定ファイルです。これは通常/etc/named.confですが、
   ディストリビューションによっても違ってきます。
   例えばLASER5 Linux 6.4はこのとおりですが、Debian系は/etc/bind/named.confです。
   /etc/named.confの赤字の部分を修正しました。
   

   * to talk to, you might need to uncomment the query-source * directive below. Previous versions of BIND always asked * questions using port 53, but BIND 8.1 uses an unprivileged * port by default. */ // query-source address * port 53; allow-transfer { 123.234.123.45/28; 203.139.160.79/32; }; }; // // a caching only nameserver config // zone "." IN { type hint; file "named.root"; }; zone "0.0.127.in-addr.arpa" IN { type master; file "local.rev"; }; zone "ドメイン名" IN { type master; file "hero-island.zone"; }; zone "45.123.123.123.in-addr.arpa" IN { type master; file "hero-island.rev"; };};

   
   

   
   

6. named.rootの入手

   ここまでで、一応のファイルがきましたが、「named.root」と言うファイルが必要です。
   

   このファイルはルートネームの一覧表のファイルで、これがないとＤＮＳは動作しません。
   

   named.rootはftp://rs.internic.net/domain/named.rootからダウンロードできます。
   

   このファイルを/var/namedのフォルダーにコピーをします。
   

7. resolv.confの修正
   

   「etc/resolv.conf」ファイルをeditで開き、赤字部分を御利用のアドレスに合せて修正します。
   

   search ドメイン名 nameserver 123.234.123.47 nameserver 203.203.123.23OCNのDNSサーバIPアドレスを指定します。

   
   

   
   

8. host.confの修正
   

   「etc/host.conf」ファイルをeditで開き、赤字部分を御利用のアドレスに合せて修正します。
   

   order bind.hosts multi on

   
   

   
   

9. /etc/hostsファイルの修正
   

   ここで、使用するローカル端末のホスト名を変更します。
   /etc/hostsファイルを以下のように修正しました。

   127.0.0.1 localhost この行は、絶対に変更しないでください。 192.168.0.1 you 192.168.0.40 win1 192.168.0.41 win2 192.168.0.42 win3 192.168.0.43 win4 192.168.0.44 win5 192.168.0.45 win6 192.168.0.46 mac1

10. /etc/HOSTNAMEsファイルの修正
    

    ここでは、HOSTANAMEファイルを修正します。ディストリビューションによっては/etc/hostnameとなっているもののあります。
    /etc/HOSTNAMEファイルを以下のように修正しました。

    you.ドメイン名

11. 再起動をします。
    

トップへ戻る

◆BINDのセキュリティ設定


ネームサーバは、その性質上、だれからもアクセスできるサーバです。
とういうことは、外部からの悪意のあるアクセスに対しても警戒しなければなりません。
ここでは、ゾーン転送の制限、問い合わせを受理する相手の制限、動的登録の制限について、
説明をします。

1. ゾーン転送の禁止
   ゾーン転送は、マスターサーバからスレッブサーバにゾーンデータをコピーする処理です。
   これは、マスターサーバとスレーブサーバのデータベースを同期させる上で、必要不可欠な機能
   ですが、これが悪用されるケースが多く発生しています。
   具体的には、以下の方法でゾーン転送の禁止を行います。

   zone "ドメイン名" in {
   type master:
   file "hero-island.zone"
   allow-transfer { 　　　 たとえばゾーン定義中に以下のように記述することで、
   123.234.123.47 　　　 123.234.123.47以外の相手にゾーン転送を禁止できます。
   }; 　　 　　　　　　　　　　ゾーン転送の必要は基本的にはセカンダリサーバのみで、それ以外は必要ありません。
   };

2. 問い合わせの制限
   ネームサーバはInternet上の不特定多数のホストから名前解決リクエストを受理し、応答を返します。
   サイトのメールサーバやwebサーバに対して外部からアクセスできるようにすろためには、それらの名前解決を行う
   ネームサーバにアクセスする必要があるからです。
   しかし、サイトの構成によっては、これを制限することもできます。外部からアクセスされる公開サーバとは別に、
   組織内しか使われないサーバ類を運用し、その名前解決にもDNSを使うという場合、組織内のプライベートなネームサーバは
   外部からアクセスする必要はないわけです。というか、外部からアクセスできなくする必要があります。
   このような問い合わせの制限は、プライベートなネームサーバに対するパケットフィルタリングでも行えますが、
   外部からアクセス可能なネームサーバ上で、ゾーン単位で制限を行うこともできます。
   例えば、この機能を利用して、プライベートなサーバ類の名前解決を限定的なものにすることができます。

   zone "ドメイン名" in {
   type master:
   file "hero-island.zone"
   allow-query { 　　　
   192.168.2/24 　　　プライベートアドレス192.168.2/24以外の問い合わせを禁止できます。
   };

3. 動的登録の制限
   DHCPで多数のクライアントのネットワーク設定を行う環境で、クライアントの名前解決にもDNSを使いたい場合、
   ネームサーバの動的登録機能を使うことになります。動的登録は便利な反面、非常に危険な面も持っています。
   動的な登録とはすなわち認証を受けることなく、ネームサーバのデータベースの内容を変更できます。
   この機能を悪用されれば、サーバはクラッカーのやりたい放題です。
   こういう事態を防ぐ手段として、動的登録機能を使用する際、慎重に設定を行うことはもちろん、動的登録を行える
   範囲を制限する必要があります。そして可能であれば動的登録を行えるネームサーバを外部に対して非公開にすることが望ましいですね。
   以下の方法で動的登録を制限できます。

   zone "ドメイン名" in {
   type master:
   file "hero-island.zone"
   allow-update { 　　　
   192.168.2/24 　　　192.168.2/24に指定したアドレスからの動的登録のリクエストを受理します。
   };

   ◆DNSのテスト
   

   1. namedのテスト
      

      # /usr/sbin/named   (すでにnamedを起動している時は/usr/sbin/named,reloadとしてください、 
      
      # ps -ax | grep named   と入力しますと、以下のように表示されます。
      
      161  ?  S  00/user/sbin/named
      161  ?  S  00/user/sbin/named   このように表示されるとnamedは動いています。
      
      

      もし、上記のメッセージが表示されない場合は定義上のミスの場合が考えられます。
      /var/log/syslogに原因が出力される場合が多くありますので参考にしてください。
      
      

      
      

   2. nslockupでのテスト
      

      ここのテストはroot権限で行ないます。実際にネットに繋いでテストをします。
      

      赤字の部分を入力してください、（ドメイン名は自分のドメイン名で行ないます。(*_*))
      

      # nslookup -query=NS ドメイン名.　　←ＮＳレコードを確認します。 Server: you.hero-isnland.ne.jp 　　　　 ←ドメイン名を確認してください、 Address: 210.232.123.47　　　　　　　　　　　　　　　　　　　　　 　←ＩＰアドレスを確認してください、 Aliases: 47.123.232.210　 　 　　　　　　　　 ←逆引きＩＰアドレスを確認してください、 ドメイン名 nameserver = you.ドメイン名 　　 　←ネームサーバ名を確認してください、 ドメイン名 nameserver = ns-tk013.ocn.ad.jp　　　　　 　←セカンダリー名を確認してください、 you.ドメイン名 internet address = 123.234.123.47 ←ＩＰアドレスを確認してください、 ns-tk013.ocn.ad.jp internet address = 203.203.203.79 ←セカンダリーＩＰアドレスを確認してください、 # nslookup -query=MX ドメイン名.　　←ＭＸレコードを確認します。 Server: you.hero-isnland.ne.jp 　　　　 ←ドメイン名を確認してください、 Address: 123.234.123.47　　　　　　　　　　　　　　　　　　　　 　←ＩＰアドレスを確認してください、 Aliases: 47.123.232.123 　 　　　　　　　　 ←逆引きＩＰアドレスを確認してください、

      
      

      このテストで不幸な結果が出た場合は、再度、named.zono、named.rev、localnet.revもしくはlocalhost.revを修正してください、
      

4. トップへ戻る

   ◆DNSの仕上げ
   

   「/etc/rc.d/rc.inet2」のファイルを修正します。これで自動的にＤＮＳが立ち上がります
   

   #v Start the BIND name server daemon using option: #if [ -x /etc/rc.d/rc.bind ]; then # /etc/rc.d/rc.bind start #fi ←上記3行をコメント(#)を外します。

   #chmod 755 /etc/rc.d/rc.bind　←これでrc.bindは起動できます。 再起動して、Namedの起動を確認します。
   

   
   

   トップへ戻る

   ◆network unreachable resolving
   

   /var/log/messagesを見るとnamedを起動する際に「network unreachable resolving」が表示されていました。
   これは、ipv6でnamedを起動しようとしているのか？実際はipv4ではないのか？
   そこで「/etc/rc.d/rc.bind」のファイルを若干修正しました。
   

   #bind_start(){ if [ -x /usr/sbin/named ]; then echo "Startting BIND : /usr/sbin/named" /sbin/named -4 ←　-4を追加しました。 sleep 1 fi

   再起動して、/var/log/messagesを確認したら「network unreachable resolving」は消えました。
   

   
   

   トップへ戻る

   前ページへ戻る
   

   
   

   
   

   
   

   
   

   
   

   
   

   
   

   
   

   ---

   ご質問・お問い合わせ - 免責事項
   Copyright (C) 1998 hero-island. All Rights Reserved.