研究室のリゾルバ(BIND9)は普段、親玉のサーバを見るようにforwarders設定しているのだけれど、ちょっとした実験のためにforwarders設定を止めることにした。
ところが、ルータのファイアウォール設定を(53番ポートについて)開けても、応答が帰ってこない。学生と一緒に変だ変だと悩んでいたのだけど、いろいろ調べてquery-sourceっつー設定があることに気づいた。
古いBINDだと問い合わせは53番ポートを介すため、INBOUNDの53番を開けておけばOKだった。ところが新しいBINDでは問い合わせにランダムな非特権ポートを使う標準設定になったので、開ける場所が特定できない。ということで、query-sourceを使ってポートを固定し、そこをファイアウォールで開けた。うまくいくじゃん、良かった良かった。
【Feb.04, 2010追記】
これはあくまでファイアウォールがBINDのport randomizationに対応していない場合、かつ実験用ということで。常時運用の場合、キャッシュポイズニング対策のためにもポートを固定すべきではありません。
0 件のコメント:
コメントを投稿