BLOGTIMES
2007/09/28

BINDにプライベートアドレスの応答をさせる方法

  bind 
このエントリーをはてなブックマークに追加

先日、VPNが構築できたので仕上げにBINDを設定して、名前を使って末端同士が通信できるようにしてみました。zoneファイル自体は難なく作成できて、namd.confも書き換えたのですがなぜか名前が解決できないのでログを見てみると以下のようなログが残っていました。

named[22322]: client 192.168.30.2#4763: view vpn: RFC 1918 response from Internet for 254.30.168.192.in-addr.arpa

で、早速BINDのFAQを調べてみると、ぴったりのものがありました。

Internet Systems Consortium, Inc.

Q:What does "RFC 1918 response from Internet for 0.0.0.10.IN-ADDR.ARPA" mean?

A:If the IN-ADDR.ARPA name covered refers to a internal address space you are using then you have failed to follow RFC 1918 usage rules and are leaking queries to the Internet. You should establish your own zones for these addresses to prevent you querying the Internet's name servers for these addresses. Please see http://as112.net/ for details of the problems you are causing and the counter measures that have had to be deployed.

どうやらこれはプライベートアドレスが外に漏れてるよということのようです。確かにインターネットからのDNSのクエリに対して、プライベートアドレスを返すのはRFC1918的によくないわけなのですが、ログを見て分かるとおりこのゾーンはvpnというviewのみからしか参照できないように制御してあるのでなんとかこの制限を外したいところです。

このFAQにはさらに続きがあり、制限の回避方法が書かれていました。

If you are not using these private addresses then a client has queried for them. You can just ignore the messages, get the offending client to stop sending you these messages as they are most probably leaking them or setup your own zones empty zones to serve answers to these queries.

/etc/named.conf

zone "168.192.IN-ADDR.ARPA" { type master; file "empty"; };

/var/named/empty

@ 10800 IN SOA <name-of-server>. <contact-email>. ( 1 3600 1200 604800 10800 ) @ 10800 IN NS <name-of-server>.

とりあえずこのFAQに従って/var/named/emptyを作成し、該当のローカルアドレスの逆引きをemptyゾーンにしてみるとエラーが出なくなり、端末からもDNS応答が取れるようになりました。意外なところでちょっと時間がかかりました。


    トラックバックについて
    Trackback URL:
    お気軽にどうぞ。トラックバック前にポリシーをお読みください。[policy]
    このエントリへのTrackbackにはこのURLが必要です→https://blog.cles.jp/item/2208
    Trackbacks
    このエントリにトラックバックはありません
    Comments
    愛のあるツッコミをお気軽にどうぞ。[policy]
    古いエントリについてはコメント制御しているため、即時に反映されないことがあります。
    コメントはありません
    Comments Form

    コメントは承認後の表示となります。
    OpenIDでログインすると、即時に公開されます。

    OpenID を使ってログインすることができます。

    Identity URL: Yahoo! JAPAN IDでログイン