[plamo:18418] Re: TCPWrapperでnamedの制御

[早間義博]

おはようございます、早間です。

> こんにちは。竺原です。
> 
> 今日、プライマリーとセカンダリーのDNSを立ち上げました。
> まだ内部LANにだけなのですけれども。
> 公開するときは、外部とはルーターを経由して、NATなどである程度
> セキュリティーを考えています。
>

特定の相手（セカンダリ DNS）以外は UDP 53 のみアクセスを許可すれば
良いのではありませんか。
 
> DNSサーバーの、アクセス制限で、TCP Wrapperでnamedの
> 制限はかけられるのでしょうか？
> 無茶な考え方でしょうか？こういう例が見つからないので、
> 質問を出した次第です。
>

DNS サーバは named のことだと思います。named はアクセス制限などの
機能を内在しているので期待されている使用方法は inetd 経由では無い
と思います。
    allow-query
    allow-transfer
    allow-update
などでは目的を達成出来ないのでしょうか

named.8 に
  -f     Run the server in the foreground (i.e. do not daemonize).
と言う option があるのでこのフラグを付けると inetd.conf に指定して
使用できるかも知れません。

> 当然、telnet,ftp,portmapなどのデフォルトで立ち上がっている
> デーモンは停止させています。
> portmap＝止めて良いかうまく把握していない。
> 

portmap を止めると /etc/hosts.allow /etc/hosts.deny での制御が出来
なくなるのではありませんか （PORTMAP(8)）

> 一応、Linuxセキュリティの本などでは、
> named.confやzoneファイルに細工を施す例が載っています。
> 

言葉尻を捉えるつもりではありませんが「に細工を施す」と言う表現より、
「で機能を発現する」と言う感じで把握しています。

> やりたいのは、
> hosts.allow の
> ALL : ALL (IPアドレス）
> をどうにかしたいのです。
> 

この表現を理解していません。特定の ＩＰアドレス のみにアクセスを許
可するのが目的ですか。
DNS にアクセス出来ないとドメイン名が使えないので、DNS は無制限にア
クセスを許可する必要があるように思うのですが、NTT の www.flets の
様に特定の世界だけで使用するのが目的なのでしょうか。

> Linux Networkで、かなり初歩的な質問と思いますが、
> どなたか宜しくお願いします。
> 

５０歩１００歩です。

-- 早間  yossi@yedo.src.co.jp