投稿日:2004年09月12日 作成鷹の巣

No.17224 DNSサーバーを内外両方のリクエストに答える設定にするのは良くないですか?



DNSサーバーを内外両方のリクエストに答える設定にするのは良くないですか?

No.17224 投稿時間:2004年09月12日(Sun) 17:06 投稿者名:kenta URL:

DNSをWAN側とLAN側の両方からリクエストを処理できるようにすると、
セキュリティやその他の面で何か不都合が出てきますでしょうか。
(現在は動的IPですので、まだ先の話で恐縮です。)

WAN側からのリクエストに答える設定にして、
自分のドメインを解決するDNSサーバを構築するとします。
そのDNSサーバにLAN側から他のドメインを解決できるような設定を追加すると、
具体的に何か不都合が起こりますでしょうか。
イメージとしてはプロバイダのDNSのように他の名前を解決できる設定を追加する、
または再帰を有効にする設定の追加です。

第三者が私のドメインの解決だけでなく、
私のDNSサーバを使って他のドメインについても、
自由に解決できるようになってしまうと思いますが、
自由に使えるならば使おう、という事になるのでしょうか。
メールサーバが第三者も自由に使えてしまう場合の不都合は、
容易に想像できるのですが。

LAN内の他のホスト名を解決する設定はしませんので、
LAN内の構成が漏れてしまう事はないと思いますが、
他のドメインを解決する設定にした場合も、
何かそのような不都合がありますでしょうか。


分けることができる。

No.17225 投稿時間:2004年09月12日(Sun) 17:49 投稿者名:stranger URL:

> DNSをWAN側とLAN側の両方からリクエストを処理できるようにすると、
> セキュリティやその他の面で何か不都合が出てきますでしょうか。
> (現在は動的IPですので、まだ先の話で恐縮です。)
> > WAN側からのリクエストに答える設定にして、
> 自分のドメインを解決するDNSサーバを構築するとします。
> そのDNSサーバにLAN側から他のドメインを解決できるような設定を追加すると、
> 具体的に何か不都合が起こりますでしょうか。
> イメージとしてはプロバイダのDNSのように他の名前を解決できる設定を追加する、
> または再帰を有効にする設定の追加です。
> > 第三者が私のドメインの解決だけでなく、
> 私のDNSサーバを使って他のドメインについても、
> 自由に解決できるようになってしまうと思いますが、
> 自由に使えるならば使おう、という事になるのでしょうか。
> メールサーバが第三者も自由に使えてしまう場合の不都合は、
> 容易に想像できるのですが。
> > LAN内の他のホスト名を解決する設定はしませんので、
> LAN内の構成が漏れてしまう事はないと思いますが、
> 他のドメインを解決する設定にした場合も、
> 何かそのような不都合がありますでしょうか。

linuxのbind9しか使ったことが無いので、bind9にできること

local LAN と external LAN を分けることができる
local LAN用の設定でキャッシュサーバとlocalの名前解決及び
各種サーバの名前解決をし、localからのみアクセスを受けつける
2ndサーバにlocal LAN用のゾーンファイルの転送をしない

external LAN用の設定でサーバのみの名前解決をする
アクセス制限をしない
2ndサーバのみにexternal LAN用のゾーンファイルの転送をする

設定を間違わなければ、外部からの名前解決をサーバの名前解決のみに
制限できます

詳しいことはすでに多くのサイトで情報が公開されていますので
検索してみてください


リクエストを処理する部分を分ける事ができるのですね。

No.17229 投稿時間:2004年09月12日(Sun) 21:51 投稿者名:kenta URL:

ありがとうございます。

> linuxのbind9しか使ったことが無いので、bind9にできること
> local LAN と external LAN を分けることができる
分ける事ができるのですね。
この方法ならば不都合が起こる事は無いですね。
分かりやすい説明をして頂きまして、ありがとうございます。
はい。早速検索してみます。


|目次|掲示板|過去ログ目次|▲頁先頭|