このDNSにはviewやaclなどを使い、セグメントごとに返す値を変える設定は行っていません。
その前提で、nslookupをかけるとプライベートIPが返されるセグメントがある場合、
どういった原因が考えられるでしょうか?
セグメント間にはFireWallがあると聞いていますが、機種など詳細はわかりません。
ヒントになりそうなものは無いかと色々調べ、下記情報を見つけましたが
ciscoは門外漢なので理解に躓きました。(そもそも関係ないかもしれません)
※41,44です
http://pc11.2ch.net/test/read.cgi/network/1005205639/41-44
DNSのゾーンファイルへ静的に書かれている値がなぜ変わるのか。
その辺りを理解できそうな情報が有りましたら、よろしくお願い致します。
私もCiscoには詳しくはないのですが、CiscoのファイヤーウォールはDNSレコードもNAT変換する事もできて、ポート毎にNAT変換するしないを設定できるような話を聞いた覚えがあります(うる覚えですみません)。そのプライベートアドレスを返すというセグメントがL3スイッチ上ではなく、ファイヤーウォール上で作成されたものであれば、セグメント(ポート)によって、アドレスがグローバルだったりプライベートだったりする可能性があるかもしれませんね。
http://www.cisco.com/japanese/warp/public/3/jp/service/tac/556/n...
DNSサーバは何(BIND? IIS?)なのかとか、どういうコマンドで問い合わせているのかとか、いろいろと疑問はあるけど・・・
1,DHCPを使っていて自動更新されたローカルIPを返答する機材が存在する。
2,アドレスの自動補完により、hoge.co.ukがhoge.co.uk.localdomain.comの様にされている。
とりあえず、nslookupのデバッグモードで、どういう問い合わせが動いているか確認してみたらどうでしょ?
ご回答ありがとうございます。
DNSサーバはBIND8系で、投入コマンドは、
> nslookup -type=mx hoge.com. slave-ns.foo.com.
Server: slave-ns.foo.com
Address: xxx.xxx.xxx.123
hoge.com MX preference = 20, mail exchanger = mailsvr01.hoge.com
hoge.com nameserver = master-ns.hoge.com
hoge.com nameserver = slave-ns.foo.com
mailsvr01.hoge.com internet address = 111.xxx.xxx.101
master-ns.hoge.com internet address = 111.xxx.xxx.102
slave-ns.foo.com internet address = 222.xxx.xxx.222
となります。
なお回答1のケースですが、どういう機材がありますでしょうか?
質問者様自身第三者的立場におられるようで、なんとなく要領を得ない質問ですが
エスパーで頑張ってみます。
内容を整理すると
DMZ上に存在するDNSに対して、MXレコードを引く要求をかけたところ
セグメントによって、得られるMailサーバのIPアドレスが違う。
つまり、例で述べられている
mailsvr01.hoge.com internet address = 111.xxx.xxx.101
の値が
mailsvr01.hoge.com internet address = 192.168.xxx.101
などというプライベートIPとして返答が返ってくる。
ということなのでしょうか?
ついでに問題を整理するための大前提として
・ Firewall や CISCO の NAT変換がパケットの書き換え対象とするのは、
Src(送信元)とDst(宛先)のIPアドレスである。
(nslookup の返答内容を書き換えることは出来ない)
・DNSとは、ホスト名:IPアドレス の関係を応える DataBase に過ぎない。
(登録されていない内容は返すことができない)
・nslookup は hosts ファイルを参照しない。
・viewやaclによってセグメントの切り替えを定義できるのは bind9 から。
考えうる原因としては
1.別のDNSを見に行っている。
# nslookup -q=MX -d -d2 -norecurse -all example.com master-ns.example.com
# nslookup -q=MX -d -d2 -norecurse -all example.com slave-ns.example.com
2.実際には bind に acl local が設定されている
# cat /etc/named.conf の内容を貼り付ける。
3.bind が chroot化されている。
# ps -ef |grep bind で確認する。
4.レジストラのデータベースに誤ったIPアドレスがホスト登録されている。
5.クライアントのhostsファイルに定義してある。(nslookup では確認していない)
6.IPv6が有効になっていて
※例として使用するドメインは example.com /co.jp/.jp 等を使用しましょう。
説明不足で申し訳ありません。
整理いただいたとおりです。
1かもしれないですね。
nslookupのデバックモードで(以前は「-norecurse」つけてませんでした)
もう一度見てみます。
※なるほど、RFC2606ですね。以後、example.com/net...etcを使います。
私もCiscoには詳しくはないのですが、CiscoのファイヤーウォールはDNSレコードもNAT変換する事もできて、ポート毎にNAT変換するしないを設定できるような話を聞いた覚えがあります(うる覚えですみません)。そのプライベートアドレスを返すというセグメントがL3スイッチ上ではなく、ファイヤーウォール上で作成されたものであれば、セグメント(ポート)によって、アドレスがグローバルだったりプライベートだったりする可能性があるかもしれませんね。
http://www.cisco.com/japanese/warp/public/3/jp/service/tac/556/n...
ありがとうございます!!
Cisco IOS NATですか~。知らなかった。
これかもしれません。
いやこれだと願いたい。。。。
みなさんにヒントをいただいたので、
調べるポイントも絞れました。
ありがとうございます。
いったん終了します。
ありがとうございます!!
Cisco IOS NATですか~。知らなかった。
これかもしれません。
いやこれだと願いたい。。。。
みなさんにヒントをいただいたので、
調べるポイントも絞れました。
ありがとうございます。
いったん終了します。