関連サーバーに関する技術情報:

関連サーバーに関する技術情報:

私の設定に関するいくつかの情報は次のとおりです。私のLANサブネットにUbuntu 16.04システムで実行されているプラ​​イマリDNSサーバーがあります。さらに、さまざまなサブネット(DMZサブネット、サービスサブネットなど)にいくつかのスレーブDNSサーバーがあります。すべてのDNSスレーブサーバーはさまざまなタイプのLinuxを実行します。

私のプライマリDNSサーバーはさまざまなサブネットを知る必要があるため、分割DNS /分割スカイラインに設定されます。

私のファイアウォールには、LAN、WAN、DMZの3つの領域が定義されています。セキュリティ上の理由から、DMZからLANへの接続を開始できません。接続はLANサブネットから開始する必要があります。これはポリシーによるものなので、変更したくありません。

関連サーバーに関する技術情報:

Master DNS on my LAN subnet:
OS: Ubuntu 16.04
Hostname: master.lan.mydomain.dk
IP: 192.168.1.4 255.255.255.0

Slave DNS on DMZ subnet:
OS: Debian 9
Hostname: tools.dmz.mydomain.dk
IP: 172.16.1.4 255.255.255.0

すぐにメインサーバーでスプリットスカイライン設定が正しく機能しました。しかし、マスターとスレーブ間の複製は不可能です。ゾーンファイルは転送されません。

関連設定ファイルは次のとおりです。

プライマリDNSサーバーのname.conf:

key "rndc-key" {
    algorithm hmac-md5;
    secret "w26wwSa7rJB04IsuW99kGQ==";
};

controls {
    inet 127.0.0.1 port 953
    allow { 127.0.0.1; } keys { "rndc-key"; };
};

include "/etc/bind/named.conf.logging";
include "/etc/bind/named.conf.keys";
include "/etc/bind/named.conf.options";
include "/etc/bind/named.conf.local";

プライマリ DNS サーバーの name.conf.keys:

キー定義は別々のファイルに配置されるため、rsyncを介して簡単に更新できます。

key lan-key {
    algorithm HMAC-MD5;
    secret AaEjmxhg3WT2; 
};

key dmz-key {
    algorithm HMAC-MD5;
    secret BEhp4DeLnX4u;
};

key service-key {
    algorithm HMAC-MD5;
    secret 7rP4CN3Km2QT;
};

key management-key {
    algorithm HMAC-MD5;
    secret gNsRz2H7AxLH;
};

key update-key {
    algorithm HMAC-MD5;
    secret B88bqW33Fuap;
};

プライマリ DNS サーバーの names.conf.local:

//
// Do any local configuration here
//
// Keys are defined in /etc/bind/named.conf.keys
//

acl lan-subnet {
    !key dmz-key;
    !key service-key;
    !key management-key;
    key lan-key;
    127.0.0.0/8;
    192.168.1.0/24;
};

acl dmz-subnet {
    !key lan-key;
    !key service-key;
    !key management-key;
    key dmz-key;
    172.16.1.0/24;
};

acl service-subnet {
    !key lan-key;
    !key dmz-key;
    !key management-key;
    key service-key;
    192.168.128.0/24;
};

acl management-subnet {
    !key lan-key;
    !key dmz-key;
    !key service-key;
    key management-key;
    10.21.12.0/24;
};

view "internal" {
    match-clients { lan-subnet; };
    allow-recursion { any; };
    allow-transfer { key lan-key; };
    allow-update { key update-key; };

    // prime the server with knowledge of the root servers
    zone "." {
        type hint;
        file "/etc/bind/db.root";
    };

// be authoritative for the localhost forward and reverse zones, and for
    // broadcast zones as per RFC 1912
    zone "localhost" {
        type master;
        file "/etc/bind/db.local";
    };
    zone "127.in-addr.arpa" {
        type master;
        file "/etc/bind/db.127";
    };
    zone "0.in-addr.arpa" {
        type master;
        file "/etc/bind/db.0";
    };
    zone "255.in-addr.arpa" {
        type master;
        file "/etc/bind/db.255";
    };

    zone "lan.mydomain.dk" {
        type master;
        file "/etc/bind/internals/db.lan.mydomain.dk"; # zone file path
        also-notify { 192.168.1.5 key lan-key; };
        notify yes;
    };
    zone "1.168.192.in-addr.arpa" {
        type master;
        file "/etc/bind/internals/db.192.168.1-rev";
        also-notify { 192.168.1.5 key lan-key; };
        notify yes;
    };

    zone "dmz.mydomain.dk" {
        type master;
        file "/etc/bind/internals/db.dmz.mydomain.dk"; # zone file path
        also-notify {
            192.168.1.5 key lan-key;
            172.16.1.4 key dmz-key;
            172.16.1.5 key dmz-key;
            127.0.0.1 key dmz-key;
        };
        notify yes;
    };
    zone "1.16.172.in-addr.arpa" {
        type master;
        file "/etc/bind/internals/db.172.16.1-rev";
        also-notify {
            192.168.1.5 key lan-key;
            172.16.1.4 key dmz-key;
            172.16.1.5 key dmz-key;
            127.0.0.1 key dmz-key;
        };
        notify yes;
    };

zone "service.mydomain.dk" {
        type master;
        file "/etc/bind/internals/db.service.mydomain.dk"; # zone file path
        also-notify {
            192.168.1.5 key lan-key;
            192.168.1.10 key service-key;
            192.168.1.11 key service-key;
            127.0.0.1 key service-key;
        };
        notify yes;
    };
    zone "128.168.192.in-addr.arpa" {
        type master;
        file "/etc/bind/internals/db.192.168.128-rev";
        also-notify {
            192.168.1.5 key lan-key;
            192.168.1.10 key service-key;
            192.168.1.11 key service-key;
            127.0.0.1 key service-key;
        };
        notify yes;
    };

    zone "management.mydomain.dk" {
        type master;
        file "/etc/bind/internals/db.management.mydomain.dk"; # zone file path
        also-notify {
            192.168.1.5 key lan-key;
            10.21.12.4 key management-key;
            127.0.0.1 key management-key;
        };
        notify yes;
    };
    zone "12.21.10.in-addr.arpa" {
        type master;
        file "/etc/bind/internals/db.10.21.12-rev";
        also-notify {
            192.168.1.5 key lan-key;
            10.21.12.4 key management-key;
            127.0.0.1 key management-key;
        };
        notify yes;
    };

};

view "externals" {
    match-clients { any; };
    allow-recursion { none; };
    allow-transfer { key dmz-key; };

    zone "dmz.mydomain.dk" {
        type slave;
        masters { 127.0.0.1 key lan-key; };
        file "/etc/bind/externals/db.dmz.mydomain.dk"; # zone file path
        also-notify { 192.168.1.5 key dmz-key; };
    };
    zone "1.16.172.in-addr.arpa" {
        type slave;
        masters { 127.0.0.1 key lan-key; };
        file "/etc/bind/externals/db.172.16.1-rev";
        also-notify { 192.168.1.5 key dmz-key; };
    };
};

view "services" {
    match-clients { service-subnet; };
    allow-recursion { none; };
    allow-transfer { key service-key; };

    zone "service.mydomain.dk" {
        type slave;
        masters { 127.0.0.1 key lan-key; };
        file "/etc/bind/services/db.service.mydomain.dk"; # zone file path
        also-notify { 192.168.1.5 key service-key; };
    };
    zone "128.168.192.in-addr.arpa" {
        type slave;
        masters { 127.0.0.1 key lan-key; };
        file "/etc/bind/services/db.192.168.128-rev";
        also-notify { 192.168.1.5 key service-key; };
    };
};

view "management" {
    match-clients { management-subnet; };
    allow-recursion { none; };
    allow-transfer { key management-key; };

    zone "management.mydomain.dk" {
        type slave;
        masters { 127.0.0.1 key lan-key; };
        file "/etc/bind/management/db.management.mydomain.dk"; # zone file path
        also-notify { 192.168.1.5 key management-key; };
    };
    zone "12.21.10.in-addr.arpa" {
        type slave;
        masters { 127.0.0.1 key lan-key; };
        file "/etc/bind/management/db.10.21.12-rev";
        also-notify { 192.168.1.5 key management-key; };
    };
};

プライマリ DNS サーバーの db.dmz.mydomain.dk:

$TTL    604800
@       IN      SOA     ns1.dmz.mydomain.dk. root.lan.mydomain.dk. (
                     2018102001         ; Serial
                         604800         ; Refresh
                          86400         ; Retry
                        2419200         ; Expire
                         604800 )       ; Negative Cache TTL

; name and mail servers - NS records
@   IN      NS      ns1.dmz.mydomain.dk.
    IN      NS      ns2.dmz.mydomain.dk.
    IN      MX      10 proxymail.dmz.mydomain.dk.
    IN      A       172.16.1.4

; name servers - A records
ns1.dmz.mydomain.dk.               IN      A       172.16.1.4
ns2.dmz.mydomain.dk.               IN      A       172.16.1.5

; 172.16.1.0/24 - A records
fwdmz.dmz.mydomain.dk.             IN      A       172.16.1.2
tools.dmz.mydomain.dk.             IN      A       172.16.1.4
x3690.vmhost.dmz.mydomain.dk.      IN      A       172.16.1.20
x3650.vmhost.dmz.mydomain.dk.      IN      A       172.16.1.21
wwwgate.dmz.mydomain.dk.           IN      A       172.16.1.30
proxymail.dmz.mydomain.dk.         IN      A       172.16.1.40

スレーブDNSサーバーのnamed.conf.local:

zone "dmz.mydomain.dk" {
    type slave;
    file "/etc/bind/slaves/db.dmz.mydomain.dk";
    masters { 172.16.1.1 key dmz-key; };
};

zone "1.16.172.in-addr.arpa" {
    type slave;
    file "/etc/bind/slaves/db.172.16.1-rev";
    masters { 172.16.1.1 key dmz-key; };
};

上記のように、デフォルトのIPアドレスをDMZサブネットのゲートウェイアドレス172.16.1.1に設定しました。ファイアウォールはすべてのLANアドレスをDMZゲートウェイアドレスに変換し、その後にホストポート番号を付けます。したがって、ファイアウォールを通過できないメインサーバーのLAN IPアドレスに入力することは意味がありません。

On the slave server there is the following error message:
"zone dmz.mydomain.dk/IN: refused notify from non-master: 172.16.1.1#47161".

これにより、メインサーバー名が172.16.1.1#47161ではなく172.16.1.1としてのみ指定されたため、エラーメッセージが表示される理由がわかります。それでは、スレーブサーバーでBind9をIPアドレスだけでなく、IPアドレスと任意のポート番号として受け入れるようにするにはどうすればよいですか?

よろしくお願いします。

答え1

DNS BINDトランスポートはより大きなパケット/ TCPパケットを使用します。

問題は、DNSプロトコル/ DNSパケットサイズおよび/または長年にわたってEDNS0をサポートするASAチェッカーの変更によって発生する可能性があります。

デフォルトでは、ASA は DNS チェッカー ルールに失敗した大きなパケットを破棄します。 DNSSECが好きなら、これらの変更も行う必要があります。

ASA 8.2.2 以降の場合は、次の手順を実行します。

policy-map type inspect dns preset_dns_map
    parameters
        message-length maximum client auto
        message-length maximum 4096

ASA のバージョンによっては、次の作業が必要になる場合があります。

fixup protocol dns maximum-length 4096
fixup protocol dns 4096

バラよりDNSSECの準備:成功した実装のためのベストプラクティス、推奨事項、およびヒント

関連情報