内部向けDNS構築・解説 CentOS7.1

More than 3 years have passed since last update.


概要

CentOS7.1を使用して、内部向けDNSを構築します。

DNSサーバーとして、BIND 9.9.4を使用します。

各種サイトや構築を通じて、自分なりの理解した内容などを記載していきます。

以下URLを参考にしました。

http://centossrv.com/bind.shtml

http://www.itmedia.co.jp/keywords/bind_tsukuru_dns_server.html

http://www.atmarkit.co.jp/ait/articles/0309/09/news001.html

http://www.atmarkit.co.jp/ait/articles/0310/15/news001.html

http://qiita.com/shrkw/items/8410e9cb65eb789a40e1


DNS構築


DNSインストールディレクトリ構成

CentOS7.1でyumコマンドを使用した、BINDのディレクトリ構成を下に書きます。

DNSインストールディレクトリ構成.png

chrootとは

BINDのサービス「named-chroot」によって、DNSのプロセスがアクセス可能な範囲を制限します。

内部的にchrootコマンドを使用しているはずです(名前的に)

DNSでなぜ必要かというと、DNSサーバーは基本的に世界中に公開するので、悪い人から攻撃を受ける恐れがあります。

そこで、DNS関係のプロセスの参照出来る範囲を制限することにより、

万が一ユーザー権限を奪われてしまっても、大事なファイルは参照出来なくさせます。

今回のDNS設定では /var/named/chroot/ が DNSプロセスにとってのルートディレクトリになります。

詳しくはhttp://www.atmarkit.co.jp/ait/articles/0309/09/news001.html


インストール

bind(DNSサーバープログラム)と、bind-chroot(BIND用にカスタマイズされたchrootプログラム?)をインストールします。

[root@mng-server ~]# yum -y install bind bind-chroot

bind-chrootのインストールで生成された、chroot化スクリプトを実行します。

[root@mng-server ~]# /usr/libexec/setup-named-chroot.sh /var/named/chroot on

これを実行することにより、以下のようにディレクトリやファイルがマウントされます。

スクリプトをoffにすると、mount先のファイルが綺麗になくなって、mount元にのみ存在します。

また、BIND設定完了後に起動するサービス「named-chroot」によっても、マウントされます。

今まで触っていたファイルが急に消えてなくなるように見えるため、注意が必要です。

mount元
mount先

/etc/named
/var/named/chroot/etc/named

/etc/named.root.key
/var/named/chroot/etc/named.root.key

/etc/named.conf
/var/named/chroot/etc/named.conf

/etc/named.rfc1912.zone
/var/named/chroot/etc/named.rfc1912.zones

/etc/rndc.key
/var/named/chroot/etc/rndc.key

/etc/named.iscdlv.key
/var/named/chroot/etc/named.iscdlv.key

/run/named
/var/named/chroot/run/named

/var/named
/var/named/chroot/var/named

/usr/lib64/bind
/var/named/chroot/usr/lib64/bind


named.confの作成

各種サイトを調べて、自分なりの理解した内容を書きます。

間違っている可能性も十分あるので注意してください。

BINDを構築する上での、大元の設定ファイルが named.conf です。

今回の構成では、/var/named/chroot/etc/named.conf が格納先になります。

chrootでマウントされているので、実体は/etc/named.confに有ります。

まずはファイル全体の中身を以下のように変更します。

環境に依存する内容もあるので、適宜修正してください。


/var/named/chroot/etc/named.conf

/* 内部セグメントを定義 */

acl "mylabo-network" {
192.168.11.0/24;
192.168.12.0/24;
192.168.13.0/24;
192.168.14.0/24;
192.168.15.0/24;
};

options {
#listen-on port 53 { 127.0.0.1; };
listen-on-v6 port 53 { ::1; } ; //IPv6は使用しません
version "unknown";
directory "/var/named";
dump-file "/var/named/data/cache_dump.db";
statistics-file "/var/named/data/named_stats.txt";
memstatistics-file "/var/named/data/named_mem_stats.txt";
allow-query { localhost; mylabo-network; }; //内部セグメントからの問い合わせのみ許可します

/*
- If you are building an AUTHORITATIVE DNS server, do NOT enable recursion.
- If you are building a RECURSIVE (caching) DNS server, you need to enable
recursion.
- If your recursive DNS server has a public IP address, you MUST enable access
control to limit queries to your legitimate users. Failing to do so will
cause your server to become part of large scale DNS amplification
attacks. Implementing BCP38 within your network would greatly
reduce such attack surface
*/
recursion yes; // インターネットに接続するので、フルサービスリゾルバ(キャッシュサーバ)としても動作させます

/* DNSSECは無効にします */
dnssec-enable no;
dnssec-validation no;
//dnssec-lookaside auto;
managed-keys-directory "/var/named/dynamic";

/* Path to ISC DLV key */
bindkeys-file "/etc/named.iscdlv.key";

/* 自分自身で名前解決出来ない場合は、上位のDNSサーバー(自宅ルーター)にフォワードします */
forwarders {
192.168.11.1;
};
forward only;

pid-file "/run/named/named.pid";
session-keyfile "/run/named/session.key";
};

logging {
channel default_debug {
file "data/named.run";
severity dynamic;
};
category lame-servers { null; }; //追加(error (connection refused) resolvingというエラーログの出力抑止)
};

view "internal" {
/* 最上部で定義したローカルネットワークを、内部問い合わせとして定義します */
match-clients { localhost; mylabo-network; };
match-destinations { localhost; mylabo-network; };

zone "." IN {
type hint;
file "named.ca";
};

/* 正引きゾーン */
zone "mylabo.local" IN {
type master;
file "mylabo.local.lan";
};

/* 逆引きゾーン */
zone "11.168.192.in-addr.arpa" {
type master;
file "11.168.192.in-addr.arpa.rev";
};

zone "14.168.192.in-addr.arpa" {
type master;
file "14.168.192.in-addr.arpa.rev";
};

zone "15.168.192.in-addr.arpa" {
type master;
file "15.168.192.in-addr.arpa.rev";
};

include "/etc/named.rfc1912.zones"; //localhostなどの定義
include "/etc/named.root.key";
};

/* 内部むけDNSなので、外部向けのViewはコメントアウト
view "external" {
match-clients { any; };
match-destinations { any; };
recursion no;
};
*/



named.confの構成について

named.confは大きく分けて、↓の4種類のカテゴリに分かれます。

acl "任意のacl名称" {

省略
};

options {
省略
};

logging {
省略
};

view "任意のview名称" {
省略
};

一つずつ簡単に解説します。


1カテゴリ目:acl(access control list)

named.confを編集していく上で、ネットワークアドレスなどを指定して、

アクセス可否などを設定する箇所があります。

例えば5セグメントを指定したい時は、5セグメント分書いても動作しますが、

いちいち書くのがめんどくさいので、名前を付ける事が出来ます。

今回のサンプルではmylabo-networkを定義しました。


named.confのacl抜粋

/* 内部セグメントを定義 */

acl "mylabo-network" {
192.168.11.0/24;
192.168.12.0/24;
192.168.13.0/24;
192.168.14.0/24;
192.168.15.0/24;
};

↑の定義をすると、↓のように、他の設定項目で使用できる名前となります。

allow-query     { localhost; mylabo-network; }; //内部セグメントからの問い合わせのみ許可します

 


2カテゴリ目:options

BINDの色々な動作を指定します。

大事なポイントやデフォルトから変更したところを説明していきます。

 


named.confのoption抜粋

#listen-on port 53 { 127.0.0.1; };

listen-on-v6 port 53 { ::1; } ; //IPv6は使用しません

BINDが名前解決を受け付けるNICインターフェースのIPアドレスを指定します。

例えば「listen-on port 53 { 127.0.0.1; };」の設定値なら、「127.0.0.1」のインターフェースへの

アクセスのみ受け付ける形になるので、自分自身しか名前解決をすることが出来ない構成になります。

それでは困るので、コメントアウトします。

「listen-on-v6 port 53 { ::1; } ;」はIPv6なので、今回は使用しません。

このまま自分自身のみ受け付ける設定にします。

 

 


named.confのoption抜粋

version         "unknown";


BINDのバージョンを記載している箇所になりますが、ここに正しいバージョン書くと

外部からのBINDのバージョンを確認出来てしまうので、

脆弱性を攻撃されやすくなってしまいます。

なので、unknownにして隠します。

 

 


named.confのoption抜粋

directory       "/var/named";


named.confが4カテゴリに分けられるうちの、3カテゴリ目(logging)、4カテゴリ目(view)で

各種ファイルへの参照を指定するのですが、それらのカレントディレクトリをここで指定します。

今回の構成ではchroot構成なので、絶対パスは「/var/named/chroot/var/named」です。

混乱しやすいところなので注意しましょう。

 

 


named.confのoption抜粋

allow-query     { localhost; mylabo-network; }; //内部セグメントからの問い合わせのみ許可します


名前解決を受け付ける、DNSクライアントのIPアドレスを指定します。

mylabo-network は1カテゴリ目(acl)で定義しました。

 

 


named.confのoption抜粋

recursion yes; // インターネットに接続するので、フルサービスリゾルバ(キャッシュサーバ)としても動作させます


yesにすると、自分自身で解決出来ない問い合わせに対して、ほかのDNSサーバたちを使用して再帰問い合わせをします。

noではしません。

 

 


named.confのoption抜粋

/* DNSSECは無効にします */

dnssec-enable no;
dnssec-validation no;
//dnssec-lookaside auto;
managed-keys-directory "/var/named/dynamic";

DNSSECというセキュリティ機能の仕様有無を指定します。

公開鍵暗号方式を使用してセキュィティ向上を図るようです。

今回は使用しません。

 

 


named.confのoption抜粋

/* 自分自身で名前解決出来ない場合は、上位のDNSサーバー(自宅ルーター)にフォワードします */

forwarders {
192.168.11.1;
};
forward only;

コメントにも書いてますが、他のDNSへフォワードする際のIPアドレスを指定します。

「forward only;」の箇所がよくわかってないので、詳しい方、是非教えてください。

forward には二種類の指定があり、 only か first です。

以下説明引用

このオプションは、forwarders オプションが記述されているときのみ有効になる。

first を指定すると、最初に(キャッシュの中に答えが見つからなければ) forwarders で指定した

ネームサーバに問い合わせ、もし答えが得られなければ次に自分自身で答えを見つけようとする。

only を指定すると、単純に forwarders で指定したネームサーバに問い合わせる。

デフォルトは first。

LAN 内のネームサーバのような、インターネットに直接問い合わせをさせたくないサーバで使用される。

引用終了

onlyにするとインターネット上にあるサーバーの名前解決(google.co.jp)が出来たのですが、

firstではできませんでした。

上記の説明では、firstでも外部へ名前解決してくれそうな内容ですが、してくれませんでした。謎です。


3カテゴリ目:logging

DNSの各種ログファイルの出力を設定します。


named.confのlogging抜粋

channel default_debug {

file "data/named.run";
severity dynamic;
};
category lame-servers { null; }; //追加(error (connection refused) resolvingというエラーログの出力抑止)

上記はデフォルトのログ出力に、「category lame-servers { null; };」を加えました。

また、BINDの名前解決をする際のデバッグ出力の例を以下に書きます。

logging {

channel "default_debug" {
file "data/named.run";
severity debug;
print-time yes;
print-severity yes;
print-category yes;
};

category queries { "default_debug"; };
category resolver { "default_debug"; };

category lame-servers { null; }; //追加(error (connection refused) resolvingというエラーログの出力抑止)

channel "default_debug"のseverity をdebugにすることにより、ログ出力のレベルを指定します。

下記3種類のyesの指定は、ログ内に時間やログの内容・ログレベル(debugとかinfoとか)を出力します。

これら出力されないとわかりにくいので、yesが良いと思います。

print-time yes;

print-severity yes;

print-category yes;

ログ出力の例

18-Dec-2015 23:49:38.702 queries: info: client 127.0.0.1#54599 (torapc.mylabo.local): view internal: query: torapc.mylabo.local IN A + (127.0.0.1)

18-Dec-2015 23:49:38.703 queries: info: client 127.0.0.1#57318 (3.11.168.192.in-addr.arpa): view internal: query: 3.11.168.192.in-addr.arpa IN PTR + (127.0.0.1)
18-Dec-2015 23:49:39.705 queries: info: client 127.0.0.1#34290 (3.11.168.192.in-addr.arpa): view internal: query: 3.11.168.192.in-addr.arpa IN PTR + (127.0.0.1)
18-Dec-2015 23:49:45.654 queries: info: client 127.0.0.1#38613 (google.co.jp): view internal: query: google.co.jp IN A + (127.0.0.1)
18-Dec-2015 23:49:45.654 resolver: debug 1: createfetch: google.co.jp A
18-Dec-2015 23:49:45.669 queries: info: client 127.0.0.1#33558 (207.126.194.173.in-addr.arpa): view internal: query: 207.126.194.173.in-addr.arpa IN PTR + (127.0.0.1)
18-Dec-2015 23:49:45.669 resolver: debug 1: createfetch: 207.126.194.173.in-addr.arpa PTR
18-Dec-2015 23:49:46.669 queries: info: client 127.0.0.1#51301 (207.126.194.173.in-addr.arpa): view internal: query: 207.126.194.173.in-addr.arpa IN PTR + (127.0.0.1)

↓のページにloggingの詳細が書かれています。

http://www.atmarkit.co.jp/ait/articles/0310/15/news001.html


4カテゴリ目:view

viewの基本的な使い方は、内部向けの名前解決の処理方法と、外部向けの処理方法を分けて設定することが出来ます。

view "internal" で内部向けの設定、view "external"で外部向けの設定を加えるのが一般的です。

viewの名前は任意の名前を設定することが出来ます。


named.confのview抜粋

/* 最上部で定義したローカルネットワークを、内部問い合わせとして定義します */

match-clients { localhost; mylabo-network; };
match-destinations { localhost; mylabo-network; };

viewで処理するための条件をここで指定します。

match-clientsでは、名前解決の要求元のIPアドレスを指定します。

自分自身と、内部ネットワークをview "internal"として定義します。

match-destinationsの指定は、BINDサーバーのインターフェースのIPアドレスを指定します。

例えば、192.168.15.1のインターフェース用のviewを定義、

192.168.16.1用のviewを定義、といったようにインターフェースごとに処理方法を分けることが可能です。

今回は特に分割する必要がないので、「localhost; mylabo-network;」としてますが、

これはネットワークアドレスでの指定ですので、正確な指定ではありませんね(´-`)

 


named.confのview抜粋

zone "." IN {

type hint;
file "named.ca";
};

DNSのルートドメインの指定です。

この指定は他のサーバーでも同一のものになります。

type でhintと指定しているので、ルートドメイン用の定義になります。

file で指定しているのが、他のファイルへの参照を表しています。

optionカテゴリのdirectoryでカレントディレクトリを指定していますので、

「/var/named/chroot/var/named/named.ca」のファイルを参照してください、という意味になります。

chroot環境なので、注意が必要です。

named.caファイルは、インストール時にデフォルトで生成されます。

 


named.confのview抜粋

/* 正引きゾーン */

zone "mylabo.local" IN {
type master;
file "mylabo.local.lan";
};

正引き用のゾーンの指定です。

zone でDNSのサフィックスを定義できます。

type でmasterと指定しているので、DNSプライマリサーバーであることを表しています。

slave と指定すると、セカンダリサーバーとなります。

fileで正引き用のゾーンファイルを指定しています。

「/var/named/chroot/var/named/mylabo.local.lan」を参照します。

 


named.confのview抜粋

/* 逆引きゾーン */

zone "11.168.192.in-addr.arpa" {
type master;
file "11.168.192.in-addr.arpa.rev";
};

zone "14.168.192.in-addr.arpa" {
type master;
file "14.168.192.in-addr.arpa.rev";
};

zone "15.168.192.in-addr.arpa" {
type master;
file "15.168.192.in-addr.arpa.rev";
};


逆引き用のゾーンの指定です。

zoneの指定方法が特殊ですが、それ以外は正引き用と変わりません。

今回逆引きしたいのは3セグメントあるので、3つの定義があります。

192.168.11.0/24のセグメント用の定義が一番上のものになります。

ネットワークセグメントを逆順に記載するのと、末尾に「.in-addr.arpa」を追加する必要があります。

「.in-addr.arpa」を付与することで、正引きと同じ機能を使って、逆引きを出来るようにします。

例)

torapc.mylabo.local→正引き→192.168.11.3

3.11.168.192.in-addr.arpa→正引き→torapc.mylabo.local

「3.11.168.192.in-addr.arpa」というホスト名として、正引きをする処理となります。

 

 


named.confのview抜粋

include "/etc/named.rfc1912.zones"; //localhostなどの定義

include "/etc/named.root.key";

named.confファイルは、includeを使用して、外部にあるファイルから定義を引用することが出来ます。

ローカルホストの定義や、ルートドメイン用のファイルは、それぞれのBINDで定義するよりも

一個のファイルを流用したほうが整理しやすくなります。

「named.rfc1912.zones」の中身を下に書きます。


named.rfc1912.zones

// named.rfc1912.zones:

//
// Provided by Red Hat caching-nameserver package
//
// ISC BIND named zone configuration for zones recommended by
// RFC 1912 section 4.1 : localhost TLDs and address zones
// and http://www.ietf.org/internet-drafts/draft-ietf-dnsop-default-local-zones-02.txt
// (c)2007 R W Franks
//
// See /usr/share/doc/bind*/sample/ for example named configuration files.
//

zone "localhost.localdomain" IN {
type master;
file "named.localhost";
allow-update { none; };
};

zone "localhost" IN {
type master;
file "named.localhost";
allow-update { none; };
};

zone "1.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.ip6.arpa" IN {
type master;
file "named.loopback";
allow-update { none; };
};

zone "1.0.0.127.in-addr.arpa" IN {
type master;
file "named.loopback";
allow-update { none; };
};

zone "0.in-addr.arpa" IN {
type master;
file "named.empty";
allow-update { none; };
};


IPv4, IPv6のローカルホスト用の正引き、逆引きが定義されていることがわかります。


ゾーンファイルの作成

ゾーンファイル(名前解決のための情報)を作成します。

今回の例では正引き1種類。

逆引き3種類のファイルを作成します。


正引き用ファイルについて

/var/named/chroot/var/named/の直下に

mylabo.local.lanファイルを作成します。


/var/named/chroot/var/named/mylabo.local.lan

$TTL 3600

@ IN SOA mng-server.mylabo.local. root.mylabo.local. (
2015121701 ; serial
3600 ; refresh 1hr
900 ; retry 15min
604800 ; expire 1w
86400 ; min 24hr
)

IN NS mng-server.mylabo.local.
torapc IN A 192.168.11.3
storage IN A 192.168.14.253
ESXi-Primary IN A 192.168.15.50
ESXi-Secondary IN A 192.168.15.51
vCenter IN A 192.168.15.252
mng-server IN A 192.168.15.253


各種要素を下で説明していきます。


mylabo.local.lan抜粋

$TTL 3600


3600秒間(1時間)このゾーンの内容が、他のDNSサーバーにキャッシュされることを表しています。

これを長くしすぎると、ゾーンファイルを更新しても、なかなか他のサーバーへ情報が浸透しないことになります。

即反映させるには、ほかのDNSサーバーのキャッシュを全てクリアする必要があるのですが、

現実的ではありません。というかムリです。なのでそこそこの時間にするのが良いのかなと思います。

 


mylabo.local.lan抜粋

@                IN      SOA mng-server.mylabo.local. root.mylabo.local. (

2015121701 ; serial
3600 ; refresh 1hr
900 ; retry 15min
604800 ; expire 1w
86400 ; min 24hr
)

SOA(Start Of Authority)レコードの定義です。

SOAレコードについて簡単に説明すると、「私はこのドメインの情報を管理します」という宣言です。

上記の例では、「mylabo.local」ドメインを管理しているDNSサーバーは、

「mng-server.mylabo.local.」ということを表しています。

(ドメインの正確な定義については無視します)

それでは1つずつ解説していきます。

@

自分自身のゾーン名を表しています。直接 mng-server.mylabo.local.と書いても問題ありません。

IN

決まり文句です。InterNetから取られているとか、INternet から取られているとか言われています。(どっちでもいい)

SOA

レコードの種類を表しています。IN SOAとか、IN NSとか、INT A とか指定が可能です。

mng-server.mylabo.local.

MNAMEです。

ゾーンファイルの基となるデータを持つネームサーバの名前を表しています。

基本的に自分自身になります。

root.mylabo.local.

RNAMEです。このゾーンを管理する管理者のメールアドレスを表しています。

メールアドレスの@を.に変換するらしいので、

root@mylabo.local. というメールアドレスになります。

( )でくくられた各種設定値

DNSセカンダリサーバーと連携する際の各種設定値を指定することが出来ます。

serial

ゾーンファイルのバージョンを表す数字です。

年月日2桁の昇順の数字 を書く場合が多いです。

ゾーンファイルが大きいと新しいバージョンと認識されるので、

セカンダリサーバーはプライマリサーバーのバージョンを見に行き、

バージョンが大きければゾーン転送をすることになります。

年月日で書くと、管理しやすいことがわかります。

refresh

ゾーンの情報をリフレッシュするまでの時間です。

DNSセカンダリサーバはゾーン転送をした後、この時間経過後、

ゾーンの更新がされたかを問い合わせ、必要に応じて再度データを手に入れようとします

この時に、上のserialを使用してバージョンを比較します。

retry

refreshでゾーン情報の更新ができなかった場合に、

retryで指定された時間後に再度リフレッシュを試みます。

expire

何らかの理由でゾーン情報のリフレッシュができない状態が続いた場合、

セカンダリネームサーバが持っているデータをどれだけの時間利用してもよいかを示します。

min(Negative cache TTL)

ネガティブキャッシュとは、存在しないドメイン名であるという情報のキャッシュを意味します

(ネガティブキャッシュの維持する時間)

存在しないことを問い合わせの都度確認すると時間がかかりますし、上位DNSサーバーへの負荷もかかるので、

キャッシュとして保持します。

 

 


mylabo.local.lan抜粋

                 IN      NS     mng-server.mylabo.local.


NSレコードです。決まり文句なので、自分自身の情報を書きましょう

 


mylabo.local.lan抜粋

torapc           IN      A      192.168.11.3

share-storage IN A 192.168.14.253
ESXi-Primary IN A 192.168.15.50
ESXi-Secondary IN A 192.168.15.51
vCenter IN A 192.168.15.252
mng-server IN A 192.168.15.253

Aレコードです。各種ホスト名のIPアドレスを定義していきます。


逆引き用ファイルについて

3セグメント分の逆引き用ファイルを作成します。

基本的には正引き用ファイルと構成は同じです。

Aレコードの代わりにPTRレコードで、逆引き用の情報を定義します。


/var/named/chroot/var/named/11.168.192.in-addr.arpa.rev

$TTL 3600

@ IN SOA mng-server.mylabo.local. root.mylabo.local. (
2015121701 ; serial
3600 ; refresh 1hr
900 ; retry 15min
604800 ; expire 1w
86400 ; min 24hr
)

IN NS mng-server.mylabo.local.
3 IN PTR torapc.mylabo.local.



/var/named/chroot/var/named/14.168.192.in-addr.arpa.rev

$TTL 3600

@ IN SOA mng-server.mylabo.local. root.mylabo.local. (
2015121701 ; serial
3600 ; refresh 1hr
900 ; retry 15min
604800 ; expire 1w
86400 ; min 24hr
)

IN NS mng-server.mylabo.local.
253 IN PTR share-storage.mylabo.local.



/var/named/chroot/var/named/15.168.192.in-addr.arpa.rev

$TTL 3600

@ IN SOA mng-server.mylabo.local. root.mylabo.local. (
2015121701 ; serial
3600 ; refresh 1hr
900 ; retry 15min
604800 ; expire 1w
86400 ; min 24hr
)

IN NS mng-server.mylabo.local.
50 IN PTR ESXi-Primary.mylabo.local.
51 IN PTR ESXi-Secondary.mylabo.local.
252 IN PTR vCenter.mylabo.local.
253 IN PTR mng-server.mylabo.local.



ファイアウォールのDNSポート解放

firewalldを使用してDNSポート(TCP:53 UDP:53)を解放します。

参考にしました

http://qiita.com/shrkw/items/8410e9cb65eb789a40e1

firewalldを止めていたので、有効にします。

[root@mng-server ~]# systemctl start firewalld

[root@mng-server ~]#
[root@mng-server ~]# systemctl enable firewalld
ln -s '/usr/lib/systemd/system/firewalld.service' '/etc/systemd/system/dbus-org.fedoraproject.FirewallD1.service'
ln -s '/usr/lib/systemd/system/firewalld.service' '/etc/systemd/system/basic.target.wants/firewalld.service'
[root@mng-server ~]# systemctl status firewalld
firewalld.service - firewalld - dynamic firewall daemon
Loaded: loaded (/usr/lib/systemd/system/firewalld.service; enabled)
Active: active (running) since 日 2015-12-20 13:47:27 JST; 12s ago
Main PID: 2201 (firewalld)
CGroup: /system.slice/firewalld.service
└─2201 /usr/bin/python -Es /usr/sbin/firewalld --nofork --nopid

12月 20 13:47:27 mng-server.mylabo.local systemd[1]: Started firewalld - dynamic firewall daemon.

 

 

firewalldで現在使用しているゾーンを表示します。

[root@mng-server ~]# firewall-cmd --list-all

public (default, active)
interfaces: eno16777984
sources:
services: dhcpv6-client ssh
ports:
masquerade: no
forward-ports:
icmp-blocks:
rich rules:

 

eno16777984のインターフェースが、ゾーンpublicで稼働しています。

servicesの項目が、ポート解放しているサービスです。

dnsが無いので追加しますが、その前にdnsサービスの定義内容を念のため確認します。

[root@mng-server ~]# cat /usr/lib/firewalld/services/dns.xml

<?xml version="1.0" encoding="utf-8"?>
<service>
<short>DNS</short>
<description>The Domain Name System (DNS) is used to provide and request host and domain names. Enable this option, if you plan to provide a domain name service (e.g. with bind).</description>
<port protocol="tcp" port="53"/>
<port protocol="udp" port="53"/>
</service>

tcp 53, udp 53が定義されています。

ではpublicゾーンにdnsを追加します。

[root@mng-server ~]# firewall-cmd --list-services --zone=public  --permanent

dhcpv6-client ssh
[root@mng-server ~]# firewall-cmd --add-service=dns --zone=public --permanent
success
[root@mng-server ~]# firewall-cmd --list-services --zone=public --permanent
dhcpv6-client dns ssh

リロードして有効化します。

[root@mng-server ~]# firewall-cmd --reload

success


BIND起動

ここまで構築したら、あとはサービス起動できます。

[root@mng-server named]# systemctl start named-chroot

[root@mng-server named]# systemctl enable named-chroot ← 自動起動設定
ln -s '/usr/lib/systemd/system/named-chroot.service' '/etc/systemd/system/multi-user.target.wants/named-chroot.service'


名前解決確認


正引き

digコマンドで正引きを確認します。


digコマンド

[root@mng-server ~]# dig torapc.mylabo.local.

; <<>> DiG 9.9.4-RedHat-9.9.4-18.el7_1.5 <<>> torapc.mylabo.local.
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 45901
;; flags: qr aa rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 1, ADDITIONAL: 2

;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 4096
;; QUESTION SECTION:
;torapc.mylabo.local. IN A

;; ANSWER SECTION:
torapc.mylabo.local. 3600 IN A 192.168.11.3

;; AUTHORITY SECTION:
mylabo.local. 3600 IN NS mng-server.mylabo.local.

;; ADDITIONAL SECTION:
mng-server.mylabo.local. 3600 IN A 192.168.15.253

;; Query time: 0 msec
;; SERVER: 192.168.15.253#53(192.168.15.253)
;; WHEN: 木 12月 17 23:03:49 JST 2015
;; MSG SIZE rcvd: 105


;; ANSWER SECTION:の1行下に名前解決のレコードが表示されました。


逆引き

こちらもdigコマンド -x で逆引きを確認します。


digコマンド

[root@mng-server named]# dig -x 192.168.11.3

; <<>> DiG 9.9.4-RedHat-9.9.4-18.el7_1.5 <<>> -x 192.168.11.3
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 54774
;; flags: qr aa rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 1, ADDITIONAL: 2

;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 4096
;; QUESTION SECTION:
;3.11.168.192.in-addr.arpa. IN PTR

;; ANSWER SECTION:
3.11.168.192.in-addr.arpa. 3600 IN PTR torapc.mylabo.local.

;; AUTHORITY SECTION:
11.168.192.in-addr.arpa. 3600 IN NS mng-server.mylabo.local.

;; ADDITIONAL SECTION:
mng-server.mylabo.local. 3600 IN A 192.168.15.253

;; Query time: 0 msec
;; SERVER: 192.168.15.253#53(192.168.15.253)
;; WHEN: 木 12月 17 23:18:13 JST 2015
;; MSG SIZE rcvd: 128