サーバ - BIND(RHEL)
概要
DNSサーバ(BIND)は、rhel.comというドメイン名からIPアドレスを返したり、IPアドレスからドメイン名を返すサーバである。
内部でサーバにアクセスするときに、IPアドレスではなく、rhel.comでアクセスできるようにするのが、内部向けDNSサーバであり、
外部からサーバにアクセスするときに、自ドメイン名からIPアドレスへの変換(名前解決)を行なうようにするのが、外部向けDNSサーバである。
例えば、外部向けDNSサーバの設定により、自宅サーバが稼動中にも係わらず、
ダイナミックDNSサービス側が保守やトラブル等でサービスが停止したことにより、ドメイン名でサーバにアクセスできなくなるということがなくなる。
※注意
固定IPアドレスの場合は独自ドメイン取得済であること。
外部向けDNSサーバは固定IPアドレス環境の場合のみ。
BINDのインストール
DNSサーバを構築するため、BINDをインストールする。
sudo dnf install bind bind-chroot bind-utils
BINDの設定
BINDの設定ファイルを編集する。
sudo vi /etc/named.conf
options {
# 全てListenする
#listen-on port 53 { 127.0.0.1; };
listen-on port 53 { any; };
# IPv6を使用しない
#listen-on-v6 port 53 { ::1; };
listen-on-v6 { none; };
version "unknown"; ← BINDのバージョン情報の非表示化
directory "/var/named";
dump-file "/var/named/data/cache_dump.db";
statistics-file "/var/named/data/named_stats.txt";
memstatistics-file "/var/named/data/named_mem_stats.txt";
allow-transfer { none; }; ← 追加(ゾーン情報の転送を禁止)
...省略
recursion yes; ← 再帰問合せ機能を有効化(内部DNSサーバとして動作)
# 問い合わせを許可する範囲(内部ネットワークからのみ問い合わせを許可)
# allow-query { localhost; };
allow-query { localhost; 192.168.1.0/24; };
# 内部からのみ再帰問合せを許可
# allow-recursion { localhost; };
allow-recursion { localhost; localnets; };
# ゾーン情報の転送を許可する範囲(セカンダリDNSがいればその場所/範囲)
# allow-query-cache { localhost; };
allow-query-cache { localhost; 192.168.1.0/24; };
# 本DNSサーバ管理外の問合せ先
forwarders{ 192.168.1.1; 8.8.8.8; };
...省略
};
logging {
channel default_debug {
file "data/named.run";
severity dynamic;
};
category lame-servers { null; }; ← 追加(error (connection refused) resolvingというエラーログの出力抑止)
};
# 内部向けDNSの設定
view "internal" {
match-clients {
localhost;
192.168.1.0/24;
};
match-destinations {
192.168.1.0/24;
};
zone "." IN {
type hint;
file "named.ca";
};
include "/etc/named.rfc1912.zones";
include "/etc/named.root.key";
include "/etc/named/named.rhel.com.zone";
};
# 外部向けDNSの設定(固定IPアドレスの場合のみ)
view "external" {
match-clients {
any;
};
match-destinations {
any;
};
include "/etc/named/named.rhel.com.zone.wan";
};
rhel.comの内部向けゾーン定義ファイルを作成する。
sudo vi /etc/named/named.rhel.com.zone
zone "rhel.com" {
type master;
file "rhel.com.db";
};
zone "1.168.192.in-addr.arpa" {
type master;
file "1.168.192.in-addr.arpa.db";
};
rhel.comの外部向けゾーン定義ファイルを作成する。(固定IPアドレスの場合のみ)
sudo vi /etc/named/named.rhel.com.zone.wan
# 正引き設定
zone "rhel.com" {
type master;
file "rhel.com.db.wan";
allow-query {
any;
};
};
# 逆引き設定(プロバイダから逆引き権限を委譲されている場合のみ)
zone "SUBxxx.xxx.xxx.xxx.in-addr.arpa" {
type master;
file "SUBxxx.xxx.xxx.xxx.in-addr.arpa.db.wan";
allow-query { any; };
};
IPv4のみ有効にする。(error (network unreachable) resolvingというエラーログの出力を抑止する)
sudo echo OPTIONS="-4" >> /etc/sysconfig/named
ルートゾーンの更新と自動更新設定
ルートゾーンは、世界に13台しかないトップレベルドメインを管理するDNSサーバのIPアドレスを管理しているファイルである。
ルートゾーン(named.ca)を更新する。
dig . ns @198.41.0.4 +bufsize=1024 > /var/named/chroot/var/named/named.ca
また、各月で、ルートゾーンが最新かどうか確認し、更新されていればルートゾーンの更新およびBINDの再起動を自動的に行うようにするため、
ルートゾーンの自動更新スクリプトを作成する。
※ルートゾーンが更新されていた場合のみ、新旧ルートゾーン情報及び、新旧ルートゾーンの差分情報をroot宛にメールする。
sudo vi named.root_update
#!/bin/bash
new=`mktemp`
errors=`mktemp`
dig . ns @198.41.0.4 +bufsize=1024 > $new 2> $errors
if [ $? -eq 0 ]; then
sort_new=`mktemp`
sort_old=`mktemp`
diff_out=`mktemp`
sort $new > $sort_new
sort /var/named/chroot/var/named/named.ca > $sort_old
diff --ignore-matching-lines=^\; $sort_new $sort_old > $diff_out
if [ $? -ne 0 ]; then
(
echo '-------------------- old named.root --------------------'
cat /var/named/chroot/var/named/named.ca
echo
echo '-------------------- new named.root --------------------'
cat $new
echo '---------------------- difference ----------------------'
cat $diff_out
) | mail -s 'named.root updated' root
cp -f $new /var/named/chroot/var/named/named.ca
chown named. /var/named/chroot/var/named/named.ca
chmod 644 /var/named/chroot/var/named/named.ca
which systemctl > /dev/null 2>&1
if [ $? -eq 0 ]; then
systemctl restart named-chroot > /dev/null
else
/etc/rc.d/init.d/named restart > /dev/null
fi
fi
rm -f $sort_new $sort_old $diff_out
else
cat $errors | mail -s 'named.root update check error' root
fi
rm -f $new $errors
ルートゾーンの更新スクリプトに実行権限を付加する。
sudo chmod 700 named.root_update
ルートゾーンの更新スクリプトを毎月自動実行されるディレクトリに移動する。
sudo mv named.root_update /etc/cron.monthly/
内部向け正引きゾーンデータベースの作成(ドメイン名からIPアドレス)
正引きゾーンデータベースを作成する。
sudo vi /var/named/rhel.com.db
$TTL 86400
@ IN SOA rhel.com. root.rhel.com.(
2020010101 ; Serial
28800 ; Refresh
14400 ; Retry
3600000 ; Expire
86400 ) ; Minimum
IN NS rhel.com.
IN MX 10 rhel.com.
@ IN A 192.168.1.30 ;サーバのプライベートIPアドレスを指定(rhel.com用)
* IN A 192.168.1.30 ;サーバのプライベートIPアドレスを指定(*.rhel.com用)
内部向け逆引きゾーンデータベースの作成(IPアドレスからドメイン名)
逆引きゾーンデータベースを作成する。
sudo vi /var/named/1.168.192.in-addr.arpa.db
$TTL 86400
@ IN SOA rhel.com. root.rhel.com.(
2020010101 ; Serial
28800 ; Refresh
14400 ; Retry
3600000 ; Expire
86400 ) ; Minimum
IN NS rhel.com. ; ネームサーバ名
30 IN PTR rhel.com. ; サーバIPアドレス最下位部(192.168.1.30)とドメイン名を指定
外部向け正引きゾーンデータベースの作成(ドメイン名からIPアドレス)
(固定IPアドレスの場合のみ)
外部向け正引きゾーンデータベースを作成する。
sudo vi /var/named/rhel.com.db.wan
$TTL 86400
@ IN SOA ns1.rhel.com. root.rhel.com.(
2020010101 ; Serial
7200 ; Refresh
7200 ; Retry
2419200 ; Expire
86400 ) ; Minimum
IN NS ns1.rhel.com. ; ネームサーバ名
IN MX 10 rhel.com. ; MXホスト名(メールサーバを構築する場合のみ)
ns1 IN A XXX.XXX.XXX.XXX ; サーバのグローバルIPアドレスを指定(ns1.rhel.com用)
@ IN A XXX.XXX.XXX.XXX ; サーバのグローバルIPアドレスを指定(rhel.com用)
www IN A XXX.XXX.XXX.XXX ; サーバのグローバルIPアドレスを指定(www.rhel.com用)
ftp IN A XXX.XXX.XXX.XXX ; サーバのグローバルIPアドレスを指定(ftp.rhel.com用)
mail IN A XXX.XXX.XXX.XXX ; サーバのグローバルIPアドレスを指定(mail.rhel.com用)
rhel.com. IN TXT "v=spf1 ip4:XXX.XXX.XXX.XXX ~all" ;サーバのグローバルIPアドレスを指定(メールサーバを構築する場合のみ)
外部向け逆引きゾーンデータベースの作成(IPアドレスからドメイン名)
(固定IPアドレスでプロバイダから逆引き権限を委譲されている場合のみ)
外部向け逆引きゾーンデータベースを作成する。
sudo vi /var/named/SUBxxx.xxx.xxx.xxx.in-addr.arpa.db.wan
$TTL 86400
@ IN SOA ns1.rhel.com. root.rhel.com.(
2020010101 ; Serial
7200 ; Refresh
7200 ; Retry
2419200 ; Expire
86400 ) ; Minimum
IN NS ns1.rhel.com.
xxx IN PTR rhel.com. ;サーバIPアドレス最下位部(xxx.xxx.xxx.xxx)とドメイン名を指定
※注意
ゾーン情報の変更時は、Serial行を年月日と通番2桁(yyyymmddxx)のようにして、必ず、変更前よりも大きな値に変更すること。
例えば、変更前のSerialが2020010101なら、変更後のSerialは2020010102にする。
これにより、後述するセカンダリ側へのゾーン情報の変更が正しく行われるようになる。
BINDの起動
sudo systemctl start named-chroot sudo systemctl enable named-chroot
ファイヤーウォールのポート開放
ファイヤーウォールのポートを開放する。(TCP53番ポートとUDP53番ポート)
sudo firewall-cmd --add-service=dns --parmanent sudo firewall-cmd --reload
ルータのポート開放
ルータ側の設定で、TCP53番ポートとUDP53番ポートへのアクセスをDNSサーバ (RHEL) に転送するように設定する。
※注意
ルータのポート開放の設定は、各ルータのマニュアルを参照すること。