ＴＯＤＯＳ・何でも情報交換ＴＯＰから是非ご覧ください。

一番下の投稿フォームへ > スレッド一覧 > 記事閲覧

オープンリゾルバの対策注意 日時： 2013/11/22 22:07 名前： 漫画喫茶のくりくり レンタルサーバーからDNSサーバーの対策をしてくれと対策したのはいいんですが ssh,ftp,wp-loginにアクセスできない事象が発生してしまいした。 今日えらい苦労させられたのでここにも書いておきます。 オープンリゾルバの対策はnamed.confのoptionsでrecursion no; とallow-query-cache { none; };にしておけばいいわけです。 こうすることによりDNSは再帰的な問い合わせをしない。 つまり、自分が管理するドメイン以外は名前解決をしなくなります。 そうなるとホスト名でアクセス規制してる場合アクセスできなくなる場合もありますので注意。 うちの環境はwp-login.phpにはallow from .example.com /etc/hosts.allowにはssh : .ocn.ne.jpとかすべてホスト名になってます。 規制をかける場合はipアドレスを記述するほうがよろしいでしょう。 はぁ疲れた。

Re: オープンリゾルバの対策注意 ( No.1 ) 日時： 2013/11/22 22:45 名前： o6asan こんばんは。お疲れ様です。 @漫画喫茶って，まさかまだアクセスできない状態ということではないですよね。 名前解決できないのは，サーバの話だから，一般クライアントとしては，関係ないですか。 BINDのオープンリゾルバ問題は，昨今，よく話題に上がりますね。 JPRSも今年の４月に下記の記事を出しましたよね。 http://jprs.jp/tech/notice/2013-04-18-fixing-bind-openresolver.html しかし，わかっててBINDを使ってるのはまだいいですよ。もちろん，そのつもりがないのに，オープン リゾルバ状態だというのは，はなはだまずいですが。 例のホームルータのオープンリゾルバ騒ぎは，いまだに全解決には至っていないようですが， 実態はどうなってるんでしょう??? 下記に情報が上がっているのは，良心的なところだけらしく，氷山の一角に過ぎないらしいですネ。 http://jvn.jp/jp/JVN62507275/index.html Re: オープンリゾルバの対策注意 ( No.2 ) 日時： 2013/11/22 23:30 名前： くりくり o6asanさんこんばんは ＞@漫画喫茶って，まさかまだアクセスできない状態ということではないですよね。 マッサージ機があるのでマッサージしてきました。 ＞名前解決できないのは，サーバの話だから，一般クライアントとしては，関係ないですか。 会社のサーバーにsshログインができませんでした。 ネット経由のコンソール接続ができるので試してみたらFWのログがすさまじくログインできる状態ではありません。エンターをおしてログイン画面にするとすぐログが出力されてしまう。 ログが出力されないように変更しないといけません。 結局、こういうときのために用意してあったwebminからの接続でDNSを修正して直しました。 サーバーにつながらなくなる恐怖を味わってきました・・・。 自分が使う回線を固定ipにしてもらうように社長に頼んで見ます。 暫定処置として自分のVPS経由でアクセスできるようにサーバーを変更しましたね。 >例のホームルータのオープンリゾルバ騒ぎは，いまだに全解決には至っていないようですが， 実態はどうなってるんでしょう??? これで確認するといいかもしれません。 オープンリゾルバ確認サイト http://www.jpcert.or.jp/pr/2013/pr130002.html 長文すいません。 Re: オープンリゾルバの対策注意 ( No.3 ) 日時： 2013/11/22 23:58 名前： o6asan > マッサージ機があるのでマッサージしてきました。 リラックスできたようでよかったです。 > 会社のサーバーにsshログインができませんでした。 > webminからの接続でDNSを修正して直しました。 > サーバーにつながらなくなる恐怖を味わってきました・・・。 それは，本当に，お疲れ様でした。 > オープンリゾルバ確認サイト > http://www.openresolver.jp/ あっ，日本語での確認サイトができてるんですね。 うちの記事（ http://o6asan.com/blog-j/?p=6517 ）には，下記へのリンクを貼ってましたが， 追記で，上記の日本語サイトの情報も追加させていただきます。 http://www.thinkbroadband.com/tools/dnscheck.html Re: オープンリゾルバの対策注意 ( No.4 ) 日時： 2013/11/23 09:29 名前： くりくり おはようございます。 今回のことで遠隔ログインできない状態を味わったので課題がふえました。 bindが動かないとさまざまな不具合がでることもわかりましたので サービス監視をどうするか？この辺もいろいろ調整しないといけません。 o6asanさんのオープンリゾルバの記事読ませていただきましたけど、 bindを動かしてないということはローカルからアクセスする場合は hostsファイルを編集して名前解決ですか？ しかし、今日は勤労感謝の日なのに仕事もしないといけませんね（笑） Re: オープンリゾルバの対策注意 ( No.5 ) 日時： 2013/11/23 20:45 名前： o6asan こんばんは。 > hostsファイルを編集して名前解決ですか？ はい，そうです。なにしろ，純然たる自宅LANで，わずかに有線４台ですから，大した手間ではありません。 プロトコルとしては，TCP/IPv4だけですね。WorkGroupも使っていませんので。Microsoft ネットワーク用 クライアントは削除はしていませんが，チェックは外しています。「NetBIOS over TCP/IP」も無効になって います。ということで，NetBEUIも使っていないことになるのでしょうか。 TCP/IPv6は外部的には試したいのですが，いまだにルータが，BHR-4RVなもんで 。

楽しい交流と情報交換のＴＯＤＯＳ・アップローダーも用意。ぜひＴＯＰからもご覧ください。
ご参考になりましたら、お気軽に一筆お書き込みくださいませ。

題名 スレッドをトップへソート 名前 画像添付 JPEG GIF PNG 参照ボタンを押して、PCの画像を指定ください。3枚まで指定できます。縮小画像はクリックで拡大されます。 パスワード （好きなパスワードを。投稿後、右下のスパナマークをクリックし、そのパスワードを入れて修正できます。） コメント    クッキー保存

スレッドTOPへ＊＊＊スレッド一覧