投稿日:2004年03月16日 作成鷹の巣

No.15208 外向けDNSサーバ運用時、ルータのUDPポート53も開放した方が良いですか?



外向けDNSサーバ運用時、ルータのUDPポート53も開放した方が良いですか?

No.15208 投稿時間:2004年03月16日(Tue) 02:38 投稿者名:yokohama URL:

こんばんは。

固定IPアドレスで外向けDNSサーバの運用についてお聞きしたい事があります。

外向け専用で、LAN内部からは一切使用しないDNSサーバを運用する場合、
ルータの開放するポートは、TCP 53だけでなく、UDP 53も開放した方が良いのですか?

この鷹の巣さんのサイト内のDNSサーバ関連の説明には、
TCP/UDP共に開放する、という記述がありますが、
他のサイトのDNSサーバ運用についての記述には、
開放するポートとして、TCPだけしか書いていない場合もあります。
(単なる記載ミスでしょうか・・・)


ちょっと例えが違うかもしれませんが、
FTPサーバで言うと、パッシブモードならば、
必ずしもポート20を開放する必要がなく、他のポートの開放などの代替手段が可能だが、
通常はポート20・21の両方を開放する、というのと同じような理由なのでしょうか?
それともやはり、DNSサーバ運用にはTCP/UDP両方のポート53の開放が必要でしょうか。


最初にUDPで接続し、あるデータ量を超えるとTCPで接続するようになっています。

No.15209 投稿時間:2004年03月16日(Tue) 08:11 投稿者名:stranger URL:

> こんばんは。
> > 固定IPアドレスで外向けDNSサーバの運用についてお聞きしたい事があります。
> > 外向け専用で、LAN内部からは一切使用しないDNSサーバを運用する場合、
> ルータの開放するポートは、TCP 53だけでなく、UDP 53も開放した方が良いのですか?
> > この鷹の巣さんのサイト内のDNSサーバ関連の説明には、
> TCP/UDP共に開放する、という記述がありますが、
> それともやはり、DNSサーバ運用にはTCP/UDP両方のポート53の開放が必要でしょうか。

DNSのデータのやりとりでは最初にUDPで接続し,あるデータ量(512バイト、数字は不確か)
をこえるとTCPで接続するようになっています

dns udp tcp
などで検索してください まずは情報を収集しましょう


外向けDNSサーバーは、UDP 53番ポートを開放することが必須となります。

No.15210 投稿時間:2004年03月16日(Tue) 08:12 投稿者名:鷹の巣@松阪 URL:http://sakaguch.com/

> 外向け専用で、LAN内部からは一切使用しないDNSサーバを運用する場合、
> ルータの開放するポートは、TCP 53だけでなく、UDP 53も開放した方が良いのですか?

> この鷹の巣さんのサイト内のDNSサーバ関連の説明には、
> TCP/UDP共に開放する、という記述がありますが、
> 他のサイトのDNSサーバ運用についての記述には、
> 開放するポートとして、TCPだけしか書いていない場合もあります。
> (単なる記載ミスでしょうか・・・)


外向けDNSサーバーは、UDP 53番ポートを開放することが必須となります。
私の外向けDNSサーバー(ns1.sakaguch.com)は、UDP 53番ポートだけを開放しています。
nslookup www.yahoo.co.jp ns1.sakaguch.com
又は
dig @ns1.sakaguch.com www.yahoo.co.jp
と試して見て下さい。外部からns1.sakaguch.comを利用出来ます。

TCP 53番ポートを開放するのは、主にセカンダリDNSサーバーにゾーン転送
(ドメイン名の設定データの転送)をする場合です。
また、ドメイン名の問い合わせに対して、不完全な応答をDNSレゾルバ(DNSクライアント)に
返したりすると、DNSレゾルバがTCP 53番ポートで接続して来ます。
通常、DNSレゾルバは、UDP 53番ポートを使用して、複数のDNSサーバーへ
一斉に問い合わせを行なって、最も応答の速いDNSサーバーの回答を採用し溜め込み(キャッシュ)します。


> ちょっと例えが違うかもしれませんが、
> FTPサーバで言うと、パッシブモードならば、
> 必ずしもポート20を開放する必要がなく、他のポートの開放などの代替手段が可能だが、
> 通常はポート20・21の両方を開放する、というのと同じような理由なのでしょうか?

パッシブモードは、ポート20を使用しませんので、ルータのポートフォワーディングする必要がないです。
また、ポートモードでもダウンロード専用でしたら、外から内にポートフォワーディングする必要がないです。

> それともやはり、DNSサーバ運用にはTCP/UDP両方のポート53の開放が必要でしょうか。

ということで、普通はDNSサーバはTCP/UDP両方のポート53の開放が必要となります。


tcp/53と外向きの通信用途でudp/53を解放しています。

No.15213 投稿時間:2004年03月16日(Tue) 11:18 投稿者名:まぁ。 URL:

> TCP 53番ポートを開放するのは、主にセカンダリDNSサーバーにゾーン転送
> (ドメイン名の設定データの転送)をする場合です。
> また、ドメイン名の問い合わせに対して、不完全な応答をDNSレゾルバ(DNSクライアント)に
> 返したりすると、DNSレゾルバがTCP 53番ポートで接続して来ます。
> 通常、DNSレゾルバは、UDP 53番ポートを使用して、複数のDNSサーバーへ
> 一斉に問い合わせを行なって、最も応答の速いDNSサーバーの回答を採用し溜め込み(キャッシュ)します。

こんにちは。上記にもある通り、当方では、セカンダリDNSが外部(プライマリはDMZネットワーク)にあるので、
tcp/53と外向きの通信用途でudp/53を解放しています。始めの頃やはりudpを解放していなくて、外の方から
DNSが引けない!とお叱りのメールを頂いた事があります(苦笑)ではでは。


UDP 53番は必須なのですね。納得できました。

No.15220 投稿時間:2004年03月17日(Wed) 00:49 投稿者名:yokoyama URL:

皆さん回答ありがとうございます。

> TCP 53番ポートを開放するのは、主にセカンダリDNSサーバーにゾーン転送
===中略===
> 返したりすると、DNSレゾルバがTCP 53番ポートで接続して来ます。

なるほど。
セカンダリDNSにDDNSサービスを指定していて、
ゾーン転送をしない、または出来ない環境下で、
DNSサーバのゾーンの設定が正しい場合は、TCP 53番は不要という事ですね。

現在の当方のDNSサーバの運用状況からすると、
TCP 53番は開放する必要はなさそうなので、UDPだけを開放する事にします。


strangerさん
> dns udp tcp
> などで検索してください まずは情報を収集しましょう

そうですね。これぐらいは自分で検索して解決できないと、
この先ちょっとキツイですね(笑)
自宅サーバについて、まだまだやりたい事が沢山ありますので。

解決できて助かりました。ありがとうございました。


|目次|掲示板|過去ログ目次|▲頁先頭|