 Re: クライアントから、内部DNSが参照できない-? ( No.1 ) |
 |
- ????????? 2007/07/01 05:51
- ????????? よしひと
-
●内部DNSのそれぞれの設定内容は、以下のとおりとなります。
≪named.conf≫
---------------------------------------------------------------
options {
directory "/var/named";
allow-query { localnets; };
version "";
dump-file "/var/named/data/cache_dump.db";
statistics-file "/var/named/data/named_stats.txt";
// query-source address * port 53;
};
view "internal" {
match-clients { localnets; };
recursion yes;
zone "." IN {
type hint;
file "named.root";
};
zone "0.0.127.in-addr.arpa" IN {
type master;
file "0.0.127.rev";
allow-update { none; };
};
zone "sample.net" {
type master;
file "sample.net-lan.zone";
allow-update { none; };
};
zone "1.168.192.in-addr.arpa" {
type master;
file "1.168.192.rev";
allow-update { none; };
};
};
---------------------------------------------------------------
≪sample.net-lan.zone≫
---------------------------------------------------------------
$TTL 86400
@ IN SOA ns1.sample.net. root.ns1.sample.net.(
2007063001 ; serial
3600 ; refresh
900 ; retry
604800 ; expire
600 ; negative
)
IN NS ns1.sample.net.
IN A 192.168.1.31
ns IN A 192.168.1.31
pc1 IN A 192.168.1.13
www IN CNAME sample.net.
≪1.168.192.rev≫
---------------------------------------------------------------
$TTL 86400
@ IN SOA ns1.sample.net. root.ns1.sample.net.(
2007063001 ; serial
3600 ; refres
900 ; retry
604800 ; expire
600 ; negative
)
IN NS ns1.sample.net.
IN PTR sample.net.
31 IN PTR ns1.sample.net.
13 IN PTR pc1.sample.net.
≪# vi /etc/hostsの結果≫
---------------------------------------------------------------
# Do not remove the following line, or various programs
# that require network functionality will fail.
127.0.0.1 localhost.localdomain localhost
≪vi /etc/resolv.confの結果≫
---------------------------------------------------------------
domain sample.net
search sample.net
nameserver 192.168.1.31
≪# vi /etc/nsswitch.confの結果≫
---------------------------------------------------------------
#hosts: db files nisplus nis dns
hosts: files dns
≪vi /etc/host.confの結果≫
---------------------------------------------------------------
order hosts,bind
≪iptables -L(内部DNS)の実行結果≫
---------------------------------------------------------------
[root@ns1 /]# iptables -L
Chain INPUT (policy ACCEPT)
target prot opt source destination
RH-Firewall-1-INPUT all -- anywhere anywhere
Chain FORWARD (policy ACCEPT)
target prot opt source destination
RH-Firewall-1-INPUT all -- anywhere anywhere
Chain OUTPUT (policy ACCEPT)
target prot opt source destination
Chain RH-Firewall-1-INPUT (2 references)
target prot opt source destination
ACCEPT all -- anywhere anywhere
ACCEPT icmp -- anywhere anywhere icmp any
ACCEPT ipv6-crypt-- anywhere anywhere
ACCEPT ipv6-auth-- anywhere anywhere
ACCEPT udp -- anywhere 224.0.0.251 udp dpt:mdns
ACCEPT udp -- anywhere anywhere udp dpt:ipp
ACCEPT tcp -- anywhere anywhere tcp dpt:ipp
ACCEPT all -- anywhere anywhere state RELATED,ESTABLISHED
ACCEPT tcp -- anywhere anywhere state NEW tcp dpt:ftp
ACCEPT tcp -- anywhere anywhere state NEW tcp dpt:smtp
ACCEPT tcp -- anywhere anywhere state NEW tcp dpt:ssh
ACCEPT udp -- anywhere anywhere state NEW udp dpt:netbios-ns
ACCEPT udp -- anywhere anywhere state NEW udp dpt:netbios-dgm
ACCEPT tcp -- anywhere anywhere state NEW tcp dpt:netbios-ssn
ACCEPT tcp -- anywhere anywhere state NEW tcp dpt:microsoft-ds
ACCEPT tcp -- anywhere anywhere state NEW tcp dpt:telnet
ACCEPT tcp -- anywhere anywhere state NEW tcp dpt:http
REJECT all -- anywhere anywhere reject-with icmp-host-prohibited
以上です。
情報として足りているかどうかはわかりませんが、以上が現時点で必要と思われる設定情報となります。
お手数をお掛けいたしますが、どなたか原因についてお分かりの方いらっしゃいましたら、
どうかアドバイスをいただけますようお願いいたします。
|
| Re: 内部DNSが参照できない ( No.2 ) |
|
- ????????? 2007/07/01 10:09
- ????????? 管理者
-
多忙にて簡略的な確認しかできません事をご了承ください。
以下を変更して、サービス再起動後に確認願います。
> ≪named.conf≫
> ---------------------------------------------------------------
> options {
> directory "/var/named";
> allow-query { localnets; };
↓ ↓
allow-query { any; };
もしくは
allow-query { 127.0.0.1; 192.168.1.0/24; };
|
| Re: 内部DNSが参照できない ( No.3 ) |
|
- ????????? 2007/07/01 10:27
- ????????? よしひと
-
管理人様
早々にご回答いただきありがとうございます。
ご指摘いただきました二つの方法にて再設定をさせていただきましたが、nslookupの実行結果も含め
今までと同様で変化はございませんでした。
あれから、いろいろな部分を見直したりもしているのですが、
今のところ有効な手がかりは見つかっておりません。
私の方でもいろいろと頑張ってやってみますので、もし他にお気づきの点などございましたら、
教えていただけると助かります。
よろしくお願いいたします。
|
| Re: 内部DNSが参照できない ( No.4 ) |
|
- ????????? 2007/07/01 18:54
- ????????? 管理者
-
> ◇nslookup(クライアント)
> ---------------------------------------------------------------
> c:\>nslookup
> DNS request timed out.
> timeout was 2 seconds.
> *** Can't find server name for address 192.168.1.31: Timed out
> *** Default servers are not available
> Default Server: UnKnown ←(内部DNSを認識出来ていない)
> Address: 192.168.1.31
ちょっと確認です。
上記の状態で、「ドメイン」の正引き、クライアントの「正・逆引き」はできませんか?
> Default Server: UnKnown ←(内部DNSを認識出来ていない)
上記は、DHCPサーバを構築したときにサーバー名を継承してくると記憶にあった気がします。
bind(DNS)だけの構築では、上記はUnKnowとなり、且つクライアントのネットワークプロパティに
DNSサーバの指定を手動で設定しなければなりません。
(DHCPとの連携であれば、この項目は自動的に設定されます。)
|
| Re: 内部DNSが参照できない ( No.5 ) |
|
- ????????? 2007/07/01 16:57
- ????????? よしひと
-
管理人様
遅くなって申し訳ございません。
夜通しでDNSの設定していたので、いつの間にかダウンしてしまいました。誠に申し訳ございません。
ご質問の件について確認させていただきましたところ、以下のような結果になりました。
→結論としては、いずれも解決はいたしませんでした。
c:\>nslookup
DNS request timed out.
timeout was 2 seconds.
*** Can't find server name for address 192.168.1.31: Timed out
*** Default servers are not available
Default Server: UnKnown
Address: 192.168.1.31
> sample.net
Server: UnKnown
Address: 192.168.1.31
DNS request timed out.
timeout was 2 seconds.
DNS request timed out.
timeout was 2 seconds.
*** Request to UnKnown timed-out
> pc1
Server: UnKnown
Address: 192.168.1.31
DNS request timed out.
timeout was 2 seconds.
*** Request to UnKnown timed-out
> pc1.sample.net
Server: UnKnown
Address: 192.168.1.31
DNS request timed out.
timeout was 2 seconds.
DNS request timed out.
timeout was 2 seconds.
*** Request to UnKnown timed-out
> 192.168.1.13
Server: UnKnown
Address: 192.168.1.31
DNS request timed out.
timeout was 2 seconds.
*** Request to UnKnown timed-out
>
また、二つ目のご指摘についてですが、最初に経由しているルータにてDHCPを提供している為、
サーバー側ではDHCPは構築しておりません。
ルータ側のDHCPを停止して、サーバー側でDHCPを構築するべきなのでしょうか?
度々お手数ですが、どうかよろしくお願いいたします。
|
| Re: 内部DNSが参照できない ( No.6 ) |
|
- ????????? 2007/07/01 17:36
- ????????? よしひと
-
管理人様
必要かどうかわかりませんが、クライアントPCを一台ネットワークに追加して以下のようなネットワーク構成にしました。
それに伴い、内部DNS側の設定ファイルも修正し、追加したPCにおいても同様の現象が起きるかどうか検証してみたところ、
同じ結果となってしまいました。
・ドメイン名・NWアドレス ・・・ sample.net(192.168.1.0/24)
・マスターサーバ ・・・ ns1.sample.net(192.168.1.31)
・クライアント? ・・・ pc1.sample.net(192.168.1.13)/Windows2000(SP4)
・クライアント? ・・・ pc2.sample.net(192.168.1.15)/Windows2000(SP4) →(追加)
ただ、ちょっと気になった点がございましたので、掲載させていただきます。
(1).pc1〜pc2間では、”ホスト名”でのping疎通は問題なく行なわれる。
(2).但し、両者とも「pc1」もしくは「pc2」という”ホスト名”でのping疎通は可能だが、
「.sample.net」というサフィックスをつけた状態では「Unknown host pc2.sample.net.」と出てしまい、
pingが通らない。
→内部DNSが参照できていないので当然かも知れませんが・・・。
(3).内部DNS上では、サフィックスをつけた状態でもつけない状態でも、pingでの疎通は可能。
ちなみに、クライアント?・?のホスト名の設定手順は、[マイコンピュータ]→[プロパティ]→[ネットワークIDタブ」→
「プロパティ」画面にて、以下の方法で入力しています。
→コンピュータ名の欄に、「pc1」もしくは「pc2」を入力。
→[詳細タブ]を開き、[このコンピュータのプライマリDNSサフィックスの欄に「sample.net」を入力。
参考になるかどうかはわかりませんが、念のため掲載させていただきます。
よろしくお願いいたします。
|
| Re: 内部DNSが参照できない ( No.7 ) |
|
- ????????? 2007/07/01 19:09
- ????????? 管理者
-
> ルータ側のDHCPを停止して、サーバー側でDHCPを構築するべきなのでしょうか?
使い勝手だけの問題なので、「構築すべき」と言う部分には当てはまりません。
【前提】
サーバにDNSサーバを構築している
【以下条件の場合】
・サーバ側でDHCPを構築する
『メリット』
・クライアント側は、ネットワークプロパティは意識しなくてすむ。
『デメリット』
・DNSとDHCPとの連携した構築をしなければならない。構築難易レベルは高。
・ルータ側でDHCPを構築する
『メリット』
・DHCPサーバ構築をしないので、サーバ設計を気にしなくてすむ。
『デメリット』
・ネットワークプロパティのDNSサーバIPの欄にサーバのIPを設定しないと名前ベースでアクセスできない。
> →[詳細タブ]を開き、[このコンピュータのプライマリDNSサフィックスの欄に「sample.net」を入力。
ネットワークプロパティの部分は以下だけにしてみてください。
?IPアドレスを自動的に取得する ← オン
?DNSサーバを指定する ← 192.168.1.31(自サーバのIP)
|
| Re: 内部DNSが参照できない ( No.8 ) |
|
- ????????? 2007/07/01 20:12
- ????????? よしひと
-
管理者様
DHCPメリット、デメリットのご説明ありがとうございました。
いつも思うのですが、管理者様の説明は、いつも端的にまとめられていて本当に分かりやすいですね(勉強になります)。
後、ネットワークプロパティーの設定ですが、一応ご指示どおりの設定にはなっております。
?のDNSサーバを指定すると、外部との疎通が取れなくなってしまうのです。
私の説明が悪かったのかも知れませんので念のためですが、下記の[詳細タブ]といいいますのは、
”システムのプロパティ”における、「コンピュータ名」を入力する画面の[詳細タブ]のことでございます。
> →[詳細タブ]を開き、[このコンピュータのプライマリDNSサフィックスの欄に「sample.net」を入力。
もしかすると、クライアント側のホスト名の設定方法に問題があるのかも知れないと思いまして、
情報を掲示させていただきました。
もし何か他に確認すべき点などございましたら、ご指摘いただければ助かります。
よろしくお願いいたします。
|
| Re: 内部DNSが参照できない ( No.9 ) |
|
- ????????? 2007/07/01 20:27
- ????????? 管理者
-
> ?のDNSサーバを指定すると、外部との疎通が取れなくなってしまうのです。
> 私の説明が悪かったのかも知れませんので念のためですが、下記の[詳細タブ]といいいますのは、
> ”システムのプロパティ”における、「コンピュータ名」を入力する画面の[詳細タブ]のことでございます。
上記の件、了解いたしました。
親レスも詳しく見ていなかったのも当方のミスです。
クライアントの名前解決は問題なく「外部に繋がらなくなってしまう」と言うことですね。
「named.conf」ファイルのルートゾーン(以下)ですが、「named.root」は存在していますか?
「named.ca」の間違いではありませんか?
> view "internal" {
> match-clients { localnets; };
> recursion yes;
>
> zone "." IN {
> type hint;
> file "named.root"; ← この部分
> };
DNSサービスを再起動した時のログ「/var/log/messages」も教えてください。
|
| Re: 内部DNSが参照できない ( No.10 ) |
|
- ????????? 2007/07/01 21:02
- ????????? よしひと
-
管理者様
>「named.conf」ファイルのルートゾーン(以下)ですが、「named.root」は存在していますか?
>「named.ca」の間違いではありませんか?
「named.root」は存在しております。今回、特に意味はなかったのですが「ca」→「root」へ
あえて変更する形で作業を進めました。
一応、内部DNSサーバ側からは、nslookupにて「www.yahoo.co.jp」の名前解決などは出来ております。
> DNSサービスを再起動した時のログ「/var/log/messages」も教えてください。
以下、「service named restart」を実行した際のログ結果です。
------------------------------------------------------------------------------------------
Jul 1 20:42:05 ns1 named[4274]: starting BIND 9.3.2 -u named -t /var/named/chroot
Jul 1 20:42:05 ns1 named[4274]: found 1 CPU, using 1 worker thread
Jul 1 20:42:05 ns1 named[4274]: loading configuration from '/etc/named.conf'
Jul 1 20:42:05 ns1 named[4274]: listening on IPv4 interface lo, 127.0.0.1#53
Jul 1 20:42:05 ns1 named[4274]: listening on IPv4 interface eth0, 192.168.1.31#53
Jul 1 20:42:05 ns1 named[4274]: command channel listening on 127.0.0.1#953
Jul 1 20:42:05 ns1 named[4274]: command channel listening on ::1#953
Jul 1 20:42:05 ns1 named[4274]: zone 0.0.127.in-addr.arpa/IN/internal: loaded serial 2007063001
Jul 1 20:42:05 ns1 named[4274]: zone 1.168.192.in-addr.arpa/IN/internal: loaded serial 2007063001
Jul 1 20:42:05 ns1 named[4274]: zone sample.net/IN/internal: loaded serial 2007031400
Jul 1 20:42:05 ns1 named[4274]: running
------------------------------------------------------------------------------------------
サービスのrestart後、再度クライアントからの接続を試みましたが、やはりダメでした。
後、「スレッドNO.6」で書かせていただいております、2台のクライアント間におけるping疎通確認で、
「サフィックス抜きのホスト名」の場合のみ疎通が成功してしまうのは、
ルータ側のDHCP機能により名前解決をしているだけということなのでしょうか?
話が脱線してしまうようでしたら、申し訳ございません。
以上です。
よろしくお願いいたします。
|
| Re: 内部DNSが参照できない ( No.11 ) |
|
- ????????? 2007/07/01 21:22
- ????????? 管理者
-
> 後、「スレッドNO.6」で書かせていただいております、2台のクライアント間におけるping疎通確認で、
> 「サフィックス抜きのホスト名」の場合のみ疎通が成功してしまうのは、
> ルータ側のDHCP機能により名前解決をしているだけということなのでしょうか?
申し訳ないですが、現段階ではなんとも答えられません。
「スレッドNO.6」の(2)は書かれている通りだと思いますが、(3)がいまいち理解できません。
内部解決だけの構築であったら以下の様に変更してみて頂けますか?
(当掲示板のコピー注意:スペースが全角となっています。)
≪named.conf≫
---------------------------------------------------------------
options {
directory "/var/named";
dump-file "/var/named/data/cache_dump.db";
statistics-file "/var/named/data/named_stats.txt";
// query-source address * port 53;
};
controls {
inet 127.0.0.1 allow { localhost; } keys { rndckey; };
};
zone "." IN {
type hint;
file "named.root";
};
zone "0.0.127.in-addr.arpa" IN {
type master;
file "0.0.127.rev";
allow-update { none; };
};
include "/etc/rndc.key";
zone "sample.net" {
type master;
file "sample.net-lan.zone";
allow-update { none; };
};
zone "1.168.192.in-addr.arpa" {
type master;
file "1.168.192.rev";
allow-update { none; };
};
|
| Re: 内部DNSが参照できない ( No.12 ) |
|
- ????????? 2007/07/01 21:47
- ????????? よしひと
-
管理者様
ご指定の内容で、named.confを書き換えた後、サービスの再起動をして検証いたしましたが、
サーバー側では問題なく、クライアント側からはDNS自体が認識出来ないという同じ結果になりました。
念のため、クライアントからサーバーへのアクセスが正常に出来ていないのではないかと思って
nmapコマンドでポートスキャンをしてみたのですが、サーバ側の53番は開放されている状態です。
|
| Re: 内部DNSが参照できない ( No.13 ) |
|
- ????????? 2007/07/01 21:54
- ????????? 管理者
-
すみません「allow-query」が抜けていました。
以下に再度明記します。
≪named.conf≫
---------------------------------------------------------------
options {
directory "/var/named";
dump-file "/var/named/data/cache_dump.db";
statistics-file "/var/named/data/named_stats.txt";
// query-source address * port 53;
allow-query{ any; };
};
controls {
inet 127.0.0.1 allow { localhost; } keys { rndckey; };
};
zone "." IN {
type hint;
file "named.root";
};
zone "0.0.127.in-addr.arpa" IN {
type master;
file "0.0.127.rev";
allow-update { none; };
};
include "/etc/rndc.key";
zone "sample.net" {
type master;
file "sample.net-lan.zone";
allow-update { none; };
};
zone "1.168.192.in-addr.arpa" {
type master;
file "1.168.192.rev";
allow-update { none; };
};
|
| Re: 内部DNSが参照できない ( No.14 ) |
|
- ????????? 2007/07/01 22:09
- ????????? よしひと
-
管理者様
allow-queryを追記してみましたが、結果は同じでした。
いろいろとアドバイスをいただきながら、申し訳ございません。
|
| Re: 内部DNSが参照できない ( No.15 ) |
|
- ????????? 2007/07/01 22:23
- ????????? 管理者
-
少し、時間をください。
親レスからよく確認し、頭を整理てみますね。
|
| Re: 内部DNSが参照できない ( No.16 ) |
|
- ????????? 2007/07/01 22:27
- ????????? よしひと
-
管理者様
かしこまりました。
お手数をお掛けして申し訳ありません。
私の方でも出来るところまで頑張ってやってみます。
よろしくお願いいたします。
|
| Re: 内部DNSが参照できない ( No.17 ) |
|
- ????????? 2007/07/02 14:35
- ????????? 管理者
-
設定内容を見直して見ました。
親スレッドでクライアントからの確認「nslookup」(以下部分)の実施結果がありますよね。
> ◇nslookup(クライアント)
> ---------------------------------------------------------------
> c:\>nslookup
> DNS request timed out.
> timeout was 2 seconds.
> *** Can't find server name for address 192.168.1.31: Timed out
> *** Default servers are not available
> Default Server: UnKnown ←(内部DNSを認識出来ていない)
> Address: 192.168.1.31
>
また、スレッドの ( No.5 ) も同様
> c:\>nslookup
> DNS request timed out.
> timeout was 2 seconds.
> *** Can't find server name for address 192.168.1.31: Timed out
> *** Default servers are not available
> Default Server: UnKnown
> Address: 192.168.1.31
>
> > sample.net
> Server: UnKnown
> Address: 192.168.1.31
> :
> :
当方の認識間違いで、『サーバでの内向き名前解決はできる』しかし『クライアントが外部に対して名前解決できない』ではなくて、
『サーバでの内向き名前解決はできる』しかし『クライアントは全く解決できない』が今回の問題なのですよね?
> c:\>nslookup
> DNS request timed out.
> timeout was 2 seconds.
上記の部分で『DNSサーバに接続できない』と言う部分がまさにこの部分だと存じます。
大変失礼しました。
さて本題ですが、親スレッドで「iptables」のリストを開示頂いていますよね?(以下)
> [root@ns1 /]# iptables -L
> Chain INPUT (policy ACCEPT)
> target prot opt source destination
> RH-Firewall-1-INPUT all -- anywhere anywhere
>
> Chain FORWARD (policy ACCEPT)
> target prot opt source destination
> RH-Firewall-1-INPUT all -- anywhere anywhere
>
> Chain OUTPUT (policy ACCEPT)
> target prot opt source destination
>
> Chain RH-Firewall-1-INPUT (2 references)
> target prot opt source destination
> ACCEPT all -- anywhere anywhere
> ACCEPT icmp -- anywhere anywhere icmp any
> ACCEPT ipv6-crypt-- anywhere anywhere
> ACCEPT ipv6-auth-- anywhere anywhere
> ACCEPT udp -- anywhere 224.0.0.251 udp dpt:mdns
> ACCEPT udp -- anywhere anywhere udp dpt:ipp
> ACCEPT tcp -- anywhere anywhere tcp dpt:ipp
> ACCEPT all -- anywhere anywhere state RELATED,ESTABLISHED
> ACCEPT tcp -- anywhere anywhere state NEW tcp dpt:ftp
> ACCEPT tcp -- anywhere anywhere state NEW tcp dpt:smtp
> ACCEPT tcp -- anywhere anywhere state NEW tcp dpt:ssh
> ACCEPT udp -- anywhere anywhere state NEW udp dpt:netbios-ns
> ACCEPT udp -- anywhere anywhere state NEW udp dpt:netbios-dgm
> ACCEPT tcp -- anywhere anywhere state NEW tcp dpt:netbios-ssn
> ACCEPT tcp -- anywhere anywhere state NEW tcp dpt:microsoft-ds
> ACCEPT tcp -- anywhere anywhere state NEW tcp dpt:telnet
> ACCEPT tcp -- anywhere anywhere state NEW tcp dpt:http
> REJECT all -- anywhere anywhere reject-with icmp-host-prohibited
ここの設定で、Port53(domain)が開いていません。恐らくF/Wで遮断されているものと思われます。
ファイアウォールで、Port53を開けるように設定してください。
参照:http://kajuhome.com/security_trouble.shtml#n01-02
あと、現在は直っているのかも知れませんが、設定ミスがありましたので下記に記します。
> ≪sample.net-lan.zone≫
> ---------------------------------------------------------------
> $TTL 86400
> @ IN SOA ns1.sample.net. root.ns1.sample.net.(
> 2007063001 ; serial
> 3600 ; refresh
> 900 ; retry
> 604800 ; expire
> 600 ; negative
> )
> IN NS ns1.sample.net.
> IN A 192.168.1.31
> ns IN A 192.168.1.31 ← ここ
「ns」ではなくて「ns1」ですね。
誤)
ns IN A 192.168.1.31
正)
ns1 IN A 192.168.1.31
|
| Re: 内部DNSが参照できない ( No.18 ) |
|
- ????????? 2007/07/02 19:25
- ????????? よしひと
-
管理者様
お世話になります。
> 当方の認識間違いで、『サーバでの内向き名前解決はできる』しかし『クライアントが外部に対して名前解決できない』ではなくて、
>『サーバでの内向き名前解決はできる』しかし『クライアントは全く解決できない』が今回の問題なのですよね?
はい。その通りでございます。
私の説明不足で、こちらこそ大変失礼いたしました。
後、ファイアウォールの穴開けの件、試してみましたところ、
以下のようなちょっと不思議な現象が発生してしました。
・53番ポートを開けただけでは、事象は全く変わらない。
・ファイアウォールを「disable」にしたところ、問題は解決した。
「disable」にすることで内部DNSに対するクライアントからの名前解決は可能になりますが、
セキュリティー上、このまますべて開放した状態にしておくのは不安です。
なぜ、このような現象になるのかお分かりになりますでしょうか?
もしかして、53番ポート以外を使用しているなんていうことが考えられるのでしょうか?
一応、53番ポートを開けた時の「iptables」の情報を掲示させていただきます。
-----------------------------------------------------------------------
[root@ns1 ~]# iptables -L
Chain INPUT (policy ACCEPT)
target prot opt source destination
RH-Firewall-1-INPUT all -- anywhere anywhere
Chain FORWARD (policy ACCEPT)
target prot opt source destination
RH-Firewall-1-INPUT all -- anywhere anywhere
Chain OUTPUT (policy ACCEPT)
target prot opt source destination
Chain RH-Firewall-1-INPUT (2 references)
target prot opt source destination
ACCEPT all -- anywhere anywhere
ACCEPT icmp -- anywhere anywhere icmp any
ACCEPT ipv6-crypt-- anywhere anywhere
ACCEPT ipv6-auth-- anywhere anywhere
ACCEPT udp -- anywhere 224.0.0.251 udp dpt:mdns
ACCEPT udp -- anywhere anywhere udp dpt:ipp
ACCEPT tcp -- anywhere anywhere tcp dpt:ipp
ACCEPT all -- anywhere anywhere state RELATED,ESTABLISHED
ACCEPT tcp -- anywhere anywhere state NEW tcp dpt:domain
ACCEPT tcp -- anywhere anywhere state NEW tcp dpt:ssh
ACCEPT tcp -- anywhere anywhere state NEW tcp dpt:telnet
ACCEPT tcp -- anywhere anywhere state NEW tcp dpt:smtp
ACCEPT tcp -- anywhere anywhere state NEW tcp dpt:http
ACCEPT tcp -- anywhere anywhere state NEW tcp dpt:ftp
ACCEPT udp -- anywhere anywhere state NEW udp dpt:netbios-ns
ACCEPT udp -- anywhere anywhere state NEW udp dpt:netbios-dgm
ACCEPT tcp -- anywhere anywhere state NEW tcp dpt:netbios-ssn
ACCEPT tcp -- anywhere anywhere state NEW tcp dpt:microsoft-ds
REJECT all -- anywhere anywhere reject-with icmp-host-prohibited
-----------------------------------------------------------------------
-----------------------------------------------------------------------
[root@ns1 ~]# cat /etc/sysconfig/iptables
# Firewall configuration written by system-config-securitylevel
# Manual customization of this file is not recommended.
*filter
:INPUT ACCEPT [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
:RH-Firewall-1-INPUT - [0:0]
-A INPUT -j RH-Firewall-1-INPUT
-A FORWARD -j RH-Firewall-1-INPUT
-A RH-Firewall-1-INPUT -i lo -j ACCEPT
-A RH-Firewall-1-INPUT -p icmp --icmp-type any -j ACCEPT
-A RH-Firewall-1-INPUT -p 50 -j ACCEPT
-A RH-Firewall-1-INPUT -p 51 -j ACCEPT
-A RH-Firewall-1-INPUT -p udp --dport 5353 -d 224.0.0.251 -j ACCEPT
-A RH-Firewall-1-INPUT -p udp -m udp --dport 631 -j ACCEPT
-A RH-Firewall-1-INPUT -p tcp -m tcp --dport 631 -j ACCEPT
-A RH-Firewall-1-INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
-A RH-Firewall-1-INPUT -m state --state NEW -m tcp -p tcp --dport 53 -j ACCEPT
-A RH-Firewall-1-INPUT -m state --state NEW -m tcp -p tcp --dport 22 -j ACCEPT
-A RH-Firewall-1-INPUT -m state --state NEW -m tcp -p tcp --dport 23 -j ACCEPT
-A RH-Firewall-1-INPUT -m state --state NEW -m tcp -p tcp --dport 25 -j ACCEPT
-A RH-Firewall-1-INPUT -m state --state NEW -m tcp -p tcp --dport 80 -j ACCEPT
-A RH-Firewall-1-INPUT -m state --state NEW -m tcp -p tcp --dport 21 -j ACCEPT
-A RH-Firewall-1-INPUT -m state --state NEW -m udp -p udp --dport 137 -j ACCEPT
-A RH-Firewall-1-INPUT -m state --state NEW -m udp -p udp --dport 138 -j ACCEPT
-A RH-Firewall-1-INPUT -m state --state NEW -m tcp -p tcp --dport 139 -j ACCEPT
-A RH-Firewall-1-INPUT -m state --state NEW -m tcp -p tcp --dport 445 -j ACCEPT
-A RH-Firewall-1-INPUT -j REJECT --reject-with icmp-host-prohibited
COMMIT
-----------------------------------------------------------------------
以上、よろしくお願いいたします。
|
| Re: 内部DNSが参照できない ( No.19 ) |
|
- ????????? 2007/07/02 20:01
- ????????? 管理者
-
はっきりと「こっち」と書けないことが恥ずかしいのですが、domain(port53)のプロトコルは「TCP」ではなく「UDP」だったと思います。
|
| Re: 内部DNSが参照できない ( No.20 ) |
|
- ????????? 2007/07/02 20:04
- ????????? よしひと
-
管理人様
度々失礼いたします。
参考になるかどうかはわかりませんが、切り分けの為、53番を開けた状態で
「SELINUX」の設定を”disabled”にして再起動をしてみたのですが、結果は同じでした。
また、何かありましたら掲示させていただきます。
|
| Re: 内部DNSが参照できない ( No.21 ) |
|
- ????????? 2007/07/02 20:13
- ????????? よしひと
-
管理人様
「domain:tcp」→「domain:udp」に変更したところ、すべて解決いたしました。
初歩的なところでしたが、いろいろと苦戦しただけに感動いたしました。
お手数をお掛けいたしました。
これからもこちらのサイトを参考にしながらいろいろと勉強させていただきます。
この度は、本当にありがとうございました。
|
このスレッドはクローズされています。記事の閲覧のみとなります。
内部DNSが参照できない