キャッシュDNSサーバーには lo を
-
- いいね!1
一つのDNSサーバーで「権威DNSサーバー」と「キャッシュDNSサーバー」を兼用させる運用が見られますが、これは危険です。なぜ危険かについて。
しかし、マシンが一台しか用意できない場合は分離して運用できないのでは?という疑問がたびたび上がります。その解決策についての会話が以下。最初は分離、とは違う話題から始まります。
Shigeya
@shigeyas
.@OrangeMorishita 先生質問。BIND9の設定を調整しようとおもったら、bogon filter が古すぎることに気づいた。さて、最近のBIND9のbest practice的設定は、どこをみるのが正解ですか(前回いじったときはFreeBSDのデフォルトを使った)
2012-04-06 10:19:15
Yasuhiro Morishita
@OrangeMorishita
@shigeyas 実践DNS、と言いたいところですが、best practiceかどうかは微妙ですね。権威DNSサーバーかキャッシュDNSサーバーかでも違いますし。で、(続)
2012-04-06 10:29:17
Shigeya
@shigeyas
@OrangeMorishita 実践DNS:D そりゃそういうよね。今回の場合は権威サーバだけど、キャッシュもする感じなので。。
2012-04-06 10:33:12
Yasuhiro Morishita
@OrangeMorishita
@shigeyas (続)で、権威DNSサーバーに入れるBogonフィルターについてはこちらを。あとは最近入った100.64.0.0/10を足すぐらいでしょうか。// 権威DNSサーバーにおける不適切なBogonフィルターの設定について http://t.co/QI0C6N2v
2012-04-06 10:34:16
Yasuhiro Morishita
@OrangeMorishita
@shigeyas やる時は権威/キャッシュは絶対分けてくださいです。同じサーバーでやるにしても、インスタンスを分けるべきで。そのへんはこちら。// DNSの安全性・安定性向上のためのキホン~お使いのDNSサーバーは大丈夫ですか?http://t.co/OEBwYcDb
2012-04-06 10:35:58
Yasuhiro Morishita
@OrangeMorishita
@shigeyas ここ数年の私は「技術広報担当」なので、こうしたドキュメントやらppt資料やらを書き、公開し、広めるのが仕事だったりします。そんなわけで、そのへんの文書はかなり揃ってきました(まだ全く十分ではありませんけど)。
2012-04-06 10:38:25
Shigeya
@shigeyas
@OrangeMorishita んー。自分しかつかってない、殆どmail forwardingしかしてないサーバーでも分けないとかなぁ(cacheは、そのサーバ自分にしかサーブしてないんだけど。別にISPのキャッシュに頼ってもいいわけだけど)
2012-04-06 10:38:53
Yasuhiro Morishita
@OrangeMorishita
@shigeyas 分けた方が管理簡単だしいろんな対応も楽だし、いいことばかりなんですが、、、。私なら自分しか使わないならなおさら分けます。自分でやるんだからできるだけ楽したいw
2012-04-06 10:45:28
Shigeya
@shigeyas
@OrangeMorishita わかるんだけど、そのためにホスト分けるのがナンセンスなのでした。。(VPSなので。。お財布に痛い:D)
2012-04-06 10:47:15
Yasuhiro Morishita
@OrangeMorishita
@shigeyas IPアドレス2個付けるのってだめなのかしら。。。(というかいい例を聞かせてもらえそう)
2012-04-06 10:49:02
Shigeya
@shigeyas
@OrangeMorishita 安価なVPSについてるIPアドレスは一つなのですよ。二つ目はオプション。。。なので財布直撃するです
2012-04-06 10:50:30
Shigeya
@shigeyas
@mikiT_T @orangemorishita そんな手間かけるのと、リスクを考えると、単にACL書く方が楽だと思うわけです。一方人のキャッシュサーバにどうも頼りたくない。所詮プロダクションサーバじゃないので、いざDoS的なバグあって落とされても困らんので。という感じ
2012-04-06 10:51:57
Yasuhiro Morishita
@OrangeMorishita
.@snowy_morning それでOKですよ。でも、おすすめしたくないなぁと。実践DNSにもviewの解説は書きました。まさにこういう例の時を想定してます。「どうしても」な場合。
2012-04-06 10:53:59
Yasuhiro Morishita
@OrangeMorishita
「実践DNS」p.267「しかし、さまざまな事情によりIPアドレスの確保が難しい場合、BINDの「VIEW機能(以下、単にVIEWとする)」を用いることで、1つのnamedプロセス内に、より安全な形で権威DNSサーバーとキャッシュDNSサーバーの機能を共存させることができる。」
2012-04-06 10:57:19
Shigeya
@shigeyas
@sqm @mikit_t @orangemorishita あー。::1 は使える。v6 まだ無いから。。(笑)でもいいっす。。(めんどうくさがり)
2012-04-06 11:06:22
Yasuhiro Morishita
@OrangeMorishita
@mikit_t @shigeyas @sqm ああ、そのキャッシュDNSサーバーはそのサーバー以外にはサービスしないんですかね。だったら、そのVPS上に 127.0.0.2 127.0.0.3 ... などという具合に自分で増やせばいいのではないかと。
2012-04-06 11:07:50
むりどん🐶 🍋
@sqm
うちは BIND は IPv4/IPv6 で権威サーバのみ。Unbound は IPv6 のみでキャッシュサーバとして使ってる(外部へ問い合わせには IPv4 併用)
2012-04-06 11:09:57
Yasuhiro Morishita
@OrangeMorishita
@mikit_t @shigeyas @sqm もし私なら最初に絶対分けておきたいので(あとあと面倒になることは明らか)、キャッシュDNSサーバーでは127.0.0.1などを使って、権威DNSサーバーには普通にグローバルアドレスつけますね。その方が設定なども圧倒的に楽。
2012-04-06 11:11:34