人力検索はてな
モバイル版を表示しています。PC版はこちら
i-mobile

【ネットワーク】インターネット側より直接nslookupをかけると、対象ホストのグローバルIPを正しく返すDNSがあるとします。
このDNSにはviewやaclなどを使い、セグメントごとに返す値を変える設定は行っていません。

その前提で、nslookupをかけるとプライベートIPが返されるセグメントがある場合、
どういった原因が考えられるでしょうか?

セグメント間にはFireWallがあると聞いていますが、機種など詳細はわかりません。

ヒントになりそうなものは無いかと色々調べ、下記情報を見つけましたが
ciscoは門外漢なので理解に躓きました。(そもそも関係ないかもしれません)

※41,44です
http://pc11.2ch.net/test/read.cgi/network/1005205639/41-44

DNSのゾーンファイルへ静的に書かれている値がなぜ変わるのか。

その辺りを理解できそうな情報が有りましたら、よろしくお願い致します。

●質問者: extrea
●カテゴリ:インターネット ウェブ制作
✍キーワード:ACL CISCO DNS IP view
○ 状態 :終了
└ 回答数 : 3/3件

▽最新の回答へ

1 ● studioes
●20ポイント

DNSサーバは何(BIND? IIS?)なのかとか、どういうコマンドで問い合わせているのかとか、いろいろと疑問はあるけど・・・

1,DHCPを使っていて自動更新されたローカルIPを返答する機材が存在する。

2,アドレスの自動補完により、hoge.co.ukがhoge.co.uk.localdomain.comの様にされている。

とりあえず、nslookupのデバッグモードで、どういう問い合わせが動いているか確認してみたらどうでしょ?

◎質問者からの返答

ご回答ありがとうございます。

DNSサーバはBIND8系で、投入コマンドは、

> nslookup -type=mx hoge.com. slave-ns.foo.com.

Server: slave-ns.foo.com

Address: xxx.xxx.xxx.123

hoge.com MX preference = 20, mail exchanger = mailsvr01.hoge.com

hoge.com nameserver = master-ns.hoge.com

hoge.com nameserver = slave-ns.foo.com

mailsvr01.hoge.com internet address = 111.xxx.xxx.101

master-ns.hoge.com internet address = 111.xxx.xxx.102

slave-ns.foo.com internet address = 222.xxx.xxx.222

となります。

なお回答1のケースですが、どういう機材がありますでしょうか?


2 ● j_wort
●50ポイント

質問者様自身第三者的立場におられるようで、なんとなく要領を得ない質問ですが

エスパーで頑張ってみます。

内容を整理すると

DMZ上に存在するDNSに対して、MXレコードを引く要求をかけたところ

セグメントによって、得られるMailサーバのIPアドレスが違う。

つまり、例で述べられている

mailsvr01.hoge.com internet address = 111.xxx.xxx.101

の値が

mailsvr01.hoge.com internet address = 192.168.xxx.101

などというプライベートIPとして返答が返ってくる。

ということなのでしょうか?

ついでに問題を整理するための大前提として

・ Firewall や CISCO の NAT変換がパケットの書き換え対象とするのは、

Src(送信元)とDst(宛先)のIPアドレスである。

(nslookup の返答内容を書き換えることは出来ない)

・DNSとは、ホスト名:IPアドレス の関係を応える DataBase に過ぎない。

(登録されていない内容は返すことができない)

・nslookup は hosts ファイルを参照しない。

・viewやaclによってセグメントの切り替えを定義できるのは bind9 から。

考えうる原因としては

1.別のDNSを見に行っている。

# nslookup -q=MX -d -d2 -norecurse -all example.com master-ns.example.com

# nslookup -q=MX -d -d2 -norecurse -all example.com slave-ns.example.com

2.実際には bind に acl local が設定されている

# cat /etc/named.conf の内容を貼り付ける。

3.bind が chroot化されている。

# ps -ef |grep bind で確認する。

4.レジストラのデータベースに誤ったIPアドレスがホスト登録されている。

5.クライアントのhostsファイルに定義してある。(nslookup では確認していない)

6.IPv6が有効になっていて


※例として使用するドメインは example.com /co.jp/.jp 等を使用しましょう。

◎質問者からの返答

説明不足で申し訳ありません。

整理いただいたとおりです。

1かもしれないですね。

nslookupのデバックモードで(以前は「-norecurse」つけてませんでした)

もう一度見てみます。

※なるほど、RFC2606ですね。以後、example.com/net...etcを使います。


3 ● hachi2ee
●100ポイント ベストアンサー

私もCiscoには詳しくはないのですが、CiscoのファイヤーウォールはDNSレコードもNAT変換する事もできて、ポート毎にNAT変換するしないを設定できるような話を聞いた覚えがあります(うる覚えですみません)。そのプライベートアドレスを返すというセグメントがL3スイッチ上ではなく、ファイヤーウォール上で作成されたものであれば、セグメント(ポート)によって、アドレスがグローバルだったりプライベートだったりする可能性があるかもしれませんね。

http://www.cisco.com/japanese/warp/public/3/jp/service/tac/556/n...

◎質問者からの返答

ありがとうございます!!

Cisco IOS NATですか?。知らなかった。

これかもしれません。

いやこれだと願いたい。。。。

みなさんにヒントをいただいたので、

調べるポイントも絞れました。

ありがとうございます。

いったん終了します。

関連質問


●質問をもっと探す●



0.人力検索はてなトップ
8.このページを友達に紹介
9.このページの先頭へ
対応機種一覧
お問い合わせ
ヘルプ/お知らせ
ログイン
無料ユーザー登録
はてなトップ