[plamo:18521] Re: TCP Wrapperでnamedの制御networ構成です。

[KATOH Yasufumi]

加藤泰文です．

# 個人無料で使えるウィルスチェックソフトのテスト中．:-)

>>> On Tue, 22 Apr 2003 21:59:53 +0900
    in message   "[plamo:18501] Re: TCP Wrapperでnamedの制御networ構成です。"
                  -san wrote:

> でも私の場合、DNSで何が出来るかを良く把握していません。
> （IPアドレスを名前に換えて、人間に解りやすくしている程度の解釈）

その通りで正解だと思いますよ．

> なるほど。確かに、これにクライアントが入ると違ってくると思います。
> クライアントを付ける場合、更にルーターでサブネット化して、
> このサブネットの中へクライアントを接続するとかになるのでしょうか？

そうであれば，添付の図よりもセキュアになるでしょうね．サーバ群とクライ
アントが同じセグメントにいると，サーバがやられたらクライアントも攻撃を
受ける可能性がありますが，サーバとクライアントのセグメントを分けておい
て，境界のルータでサーバ->クライアント方向の接続を遮断するとか，目的に
応じて開閉したりできますよね．いわゆる DMZというやつですね．

> 今、色々と本を読んだりして解ってきたのですが、
> これが俗に言うステルスサーバーですね。

?? ステルスサーバーと言うと，一般的に「存在が見えないサーバ」で，例え
ば IDS を運用するサーバで IP アドレスを割り振らないサーバとかだと思っ
てました．

> ルータ側でポートフォワードするとか，静的 NATするとか
> が有った方がよいと思います。

ルータは unnumbered なルータということになるのでしょうけど，実は私はこ
のようなルータ使ったことないので，よく機能を知りません．

静的 NAT にさらにフィルタかかるんですよね? ポートフォワードも複数割り
当たった (?) アドレスそれぞれに対して割り当てられるのでしょうか?

> nslookupで、IPアドレスがばれるのは仕方ないでしょうか？
> （逆に、これが出来ないとDNSの意味がない？）

意味がないです．ただ NAT するのであれば内部のアドレスが外にでてはまず
いですね．

>    ??.??.??.01<->**.**.**.01    ??.??.??.02<->**.**.**.02 host1
> WAN     ┏━━━━┓  LAN         ┏━━━━┓
> ━━━━┫ルーター┣━━┳━━━━┫www   　┃
>         ┗━━━━┛    ┃        ┗━━━━┛
>                         ┃      ??.??.??.03<->**.**.**.03 host2
>                         ┃        ┏━━━━┓
>                         ┣━━━━┫mail    ┃
>                         ┃        ┗━━━━┛
>                         ┃      ??.??.??.04<->**.**.**.04 host3
>                         ┃        ┏━━━━┓
>                         ┣━━━━┫dns-pm  ┃
>                         ┃        ┗━━━━┛
>                         ┃      ??.??.??.05<->**.**.**.05 host4
>                         ┃        ┏━━━━┓
>                         ┣━━━━┫dns-sc  ┃
>                         ┃        ┗━━━━┛
>                         ┃                    **.**.**.06 host5
>                         ┃        ┏━━━━━┓
>                         ┣━━━━┫dns-local ┃
>                         ┃        ┗━━━━━┛
>                         ┃                    **.**.**.07 host6
>                         ┃        ┏━━━━━━┓
>                         ┗━━━━┫クライアント┃
>                                   ┗━━━━━━┛
> host6は、??.??.??.06にてWANへ
>     ・    ??.??.??.06にてWANへ
>     ・    ??.??.??.06にてWANへ
>     ・    ??.??.??.06にてWANへ
>     将来的に増えた時

このようだと dns-pm, dns-sc は例えば hint 情報不要 (zone "." が要らな
い) で，自身のドメインの zone 情報だけを持つようにして，"recursion no
fetch-glue no" とか設定すれば良いですね．

# dns-pm, dns-sc 自身が名前解決必要な場合ちょっと工夫がいるかも? (よく
# わからん)

で，dns-local は自身のドメインの情報 + キャッシュサーバ (もしくは
forwarders 設定で問い合わせは全部プロバイダの DNS サーバにするか)とし
て構築して，ローカルからしか query を受け付けないようにして，自身のド
メインの情報としてはプライベートアドレスを返すようにすれば良いですね．

> 問い合わせ順
> クライアント→dns-local→dns-pm→ルーターを抜けて→WAN
> でしょうか？

普通は
クライアント -> dns-local -> ルータ -> ... (名前解決に必要な DNS サーバ)
です．

forwarders 設定した場合は
クライアント -> dns-local -> ルータ -> プロバイダのDNSサーバ -> ...
です．

> こんな感じで考えています。ぼけていたらすみません。
> 設定ファイルは、当然IPアドレス等をこのままにはしません。
> 宜しくお願いします。

よろしくと言われても... f(^_^;)

# 私のアドバイスが合っているという保証はどこにもありません．攻撃目的で
# わざと穴を作ってアドバイスしている場合も... :-p

-- 
==============================================
((((    加藤泰文
○-○                karma @ prog.club.ne.jp
==============================================
(Web Page) http://www.ae.wakwak.com/%7Ekarma/
==============================================
    中南米の音楽のページを更新 (April 20)