named configuration file

DAY3 : ラウンドロビンなど

簡単なセキュリティとラウンドロビン

ラウンドロビン設定

正引きゾーンファイル抜粋 (/var/named/s33.zone)

; 同じホスト名でIPが違うパターン
www.t033030.la.net.	IN A	10.20.33.30
www.t033030.la.net.	IN A	10.20.33.130

; 同じIPで、ホスト名が違うパターン
www1.t033030.la.net.	IN A	10.20.33.30
www2.t033030.la.net.	IN A	10.20.33.30

[root@cent580 named]# nslookup www.t033030.la.net localhost
Server:		localhost
Address:	127.0.0.1#53

Name:	www.t033030.la.net
Address: 10.20.33.30	←問い合わせるたびに順序が異なる
Name:	www.t033030.la.net
Address: 10.20.33.130

[root@cent580 named]# nslookup www.t033030.la.net localhost
Server:		localhost
Address:	127.0.0.1#53

Name:	www.t033030.la.net
Address: 10.20.33.130	←問い合わせるたびに順序が異なる
Name:	www.t033030.la.net
Address: 10.20.33.30

セキュリティ強化例

DNS設定ファイル抜粋 (/etc/named.conf) また rndc コマンド用に良く使うパラメータを設定。

// Sample named.conf for LinuxAcademy
//	2010/12/25 yakoshi
//
options
{
	directory "/var/named"; 	// the default
	// rndc 関連
	dump-file 		"data/cache_dump.db";
        statistics-file 	"data/named_stats.txt";
        memstatistics-file 	"data/named_mem_stats.txt";

	// 本来の LA サーバへの問い合わせ転送
	forwarders { 10.20.250.1; };

	// $ dig chaos txt version.bind  対策
	version			"bind";

	// 簡単な DoS 対策(問合せ無視)
	blackhole {
		192.168.0.0/16;
	};
};