【ネットワーク】インターネット側より直接nslookupをかけると、対象ホストのグローバルIPを正しく返すDNSがあるとします。

このDNSにはviewやaclなどを使い、セグメントごとに返す値を変える設定は行っていません。

その前提で、nslookupをかけるとプライベートIPが返されるセグメントがある場合、
どういった原因が考えられるでしょうか?

セグメント間にはFireWallがあると聞いていますが、機種など詳細はわかりません。

ヒントになりそうなものは無いかと色々調べ、下記情報を見つけましたが
ciscoは門外漢なので理解に躓きました。(そもそも関係ないかもしれません)

※41,44です
http://pc11.2ch.net/test/read.cgi/network/1005205639/41-44

DNSのゾーンファイルへ静的に書かれている値がなぜ変わるのか。

その辺りを理解できそうな情報が有りましたら、よろしくお願い致します。

回答の条件
  • 1人10回まで
  • 登録:2007/11/24 03:56:52
  • 終了:2007/11/25 07:56:28

ベストアンサー

id:hachi2ee No.3

hachi2ee回答回数14ベストアンサー獲得回数42007/11/24 20:02:33

ポイント100pt

私もCiscoには詳しくはないのですが、CiscoのファイヤーウォールはDNSレコードもNAT変換する事もできて、ポート毎にNAT変換するしないを設定できるような話を聞いた覚えがあります(うる覚えですみません)。そのプライベートアドレスを返すというセグメントがL3スイッチ上ではなく、ファイヤーウォール上で作成されたものであれば、セグメント(ポート)によって、アドレスがグローバルだったりプライベートだったりする可能性があるかもしれませんね。

http://www.cisco.com/japanese/warp/public/3/jp/service/tac/556/n...

id:extrea

ありがとうございます!!

Cisco IOS NATですか~。知らなかった。

これかもしれません。

いやこれだと願いたい。。。。

みなさんにヒントをいただいたので、

調べるポイントも絞れました。

ありがとうございます。

いったん終了します。

2007/11/25 07:54:52

その他の回答(2件)

id:studioes No.1

studioes回答回数522ベストアンサー獲得回数612007/11/24 04:38:41

ポイント20pt

 DNSサーバは何(BIND? IIS?)なのかとか、どういうコマンドで問い合わせているのかとか、いろいろと疑問はあるけど・・・

1,DHCPを使っていて自動更新されたローカルIPを返答する機材が存在する。

2,アドレスの自動補完により、hoge.co.ukがhoge.co.uk.localdomain.comの様にされている。

 とりあえず、nslookupのデバッグモードで、どういう問い合わせが動いているか確認してみたらどうでしょ?

id:extrea

ご回答ありがとうございます。

DNSサーバはBIND8系で、投入コマンドは、

> nslookup -type=mx hoge.com. slave-ns.foo.com.

Server: slave-ns.foo.com

Address: xxx.xxx.xxx.123

hoge.com MX preference = 20, mail exchanger = mailsvr01.hoge.com

hoge.com nameserver = master-ns.hoge.com

hoge.com nameserver = slave-ns.foo.com

mailsvr01.hoge.com internet address = 111.xxx.xxx.101

master-ns.hoge.com internet address = 111.xxx.xxx.102

slave-ns.foo.com internet address = 222.xxx.xxx.222

となります。

なお回答1のケースですが、どういう機材がありますでしょうか?

2007/11/24 05:08:05
id:j_wort No.2

j_wort回答回数35ベストアンサー獲得回数12007/11/24 18:38:44

ポイント50pt

質問者様自身第三者的立場におられるようで、なんとなく要領を得ない質問ですが

エスパーで頑張ってみます。

内容を整理すると

  DMZ上に存在するDNSに対して、MXレコードを引く要求をかけたところ

  セグメントによって、得られるMailサーバのIPアドレスが違う。

  つまり、例で述べられている

  mailsvr01.hoge.com internet address = 111.xxx.xxx.101

  の値が

  mailsvr01.hoge.com internet address = 192.168.xxx.101

  などというプライベートIPとして返答が返ってくる。

ということなのでしょうか?

ついでに問題を整理するための大前提として

・ Firewall や CISCO の NAT変換がパケットの書き換え対象とするのは、

 Src(送信元)とDst(宛先)のIPアドレスである。

 (nslookup の返答内容を書き換えることは出来ない)

・DNSとは、ホスト名:IPアドレス の関係を応える DataBase に過ぎない。

 (登録されていない内容は返すことができない)

・nslookup は hosts ファイルを参照しない。

・viewやaclによってセグメントの切り替えを定義できるのは bind9 から。

考えうる原因としては

1.別のDNSを見に行っている。

# nslookup -q=MX -d -d2 -norecurse -all example.com master-ns.example.com

# nslookup -q=MX -d -d2 -norecurse -all example.com slave-ns.example.com

2.実際には bind に acl local が設定されている

# cat /etc/named.conf の内容を貼り付ける。

3.bind が chroot化されている。

# ps -ef |grep bind で確認する。

4.レジストラのデータベースに誤ったIPアドレスがホスト登録されている。

5.クライアントのhostsファイルに定義してある。(nslookup では確認していない)

6.IPv6が有効になっていて


※例として使用するドメインは example.com /co.jp/.jp 等を使用しましょう。

id:extrea

説明不足で申し訳ありません。

整理いただいたとおりです。

1かもしれないですね。

nslookupのデバックモードで(以前は「-norecurse」つけてませんでした)

もう一度見てみます。

※なるほど、RFC2606ですね。以後、example.com/net...etcを使います。

2007/11/25 07:50:36
id:hachi2ee No.3

hachi2ee回答回数14ベストアンサー獲得回数42007/11/24 20:02:33ここでベストアンサー

ポイント100pt

私もCiscoには詳しくはないのですが、CiscoのファイヤーウォールはDNSレコードもNAT変換する事もできて、ポート毎にNAT変換するしないを設定できるような話を聞いた覚えがあります(うる覚えですみません)。そのプライベートアドレスを返すというセグメントがL3スイッチ上ではなく、ファイヤーウォール上で作成されたものであれば、セグメント(ポート)によって、アドレスがグローバルだったりプライベートだったりする可能性があるかもしれませんね。

http://www.cisco.com/japanese/warp/public/3/jp/service/tac/556/n...

id:extrea

ありがとうございます!!

Cisco IOS NATですか~。知らなかった。

これかもしれません。

いやこれだと願いたい。。。。

みなさんにヒントをいただいたので、

調べるポイントも絞れました。

ありがとうございます。

いったん終了します。

2007/11/25 07:54:52

コメントはまだありません

この質問への反応(ブックマークコメント)

「あの人に答えてほしい」「この質問はあの人が答えられそう」というときに、回答リクエストを送ってみてましょう。

これ以上回答リクエストを送信することはできません。制限について

絞り込み :
はてなココの「ともだち」を表示します。
回答リクエストを送信したユーザーはいません