knot DNS

anonymous@undisclosed.example.com (Anonymous) — Fri, 28 Feb 2014 08:09:51 +0000

knot DNS

LastUpdate : 2014/02/27

NetBSDへのInstall

例によって、pkgsrcからで良い。

特にmk.confに記載する内容は無い。

設定等

とりあえず動いた。

https://www.knot-dns.cz/static/documentation/knot.html/

基本: RRを記載したZoneファイルは、原則BINDの物と同じ。

まだ良くわかってないが、もしかすると$ORIGINが必須かもしれない。もしかしたら$ORIGINが無い場合、zone-idを使うのかもしれない

設定ファイルは比較的簡単。

もう少し色々試してから、設定等を含めて、まとめる。

起動はknotcで行うのではなく、knotdで。
Daemonにするには、-dで。–daemonize=[Directory]すると、chrootするのか？
制御は、原則としてknotcで行う模様。

とりあえず、Zone masterにはなったので、次はとにかく今定義している各Zoneをこっちに入れる事だな。

あと、Contents Serverなので、localhost/localdomain/0.0.127.in-addr.arpa.等に代表されるZoneはもつ必要が無い(そもそも問い合わせなんて来ないし、来たら攻撃)

(Obsolate)DNS Serverを建てる

anonymous@undisclosed.example.com (Anonymous) — Fri, 09 Jan 2015 11:48:31 +0000

(Obsolate)DNS Serverを建てる

Obsolate

NetBSDでDNS Serverを建てる。DNSはInternetを利用する上で非常に重要なので、設置する際に十分な注意が必要。

DNS Serverを建てる前に、以下を準備する。

ネットワーク構成図
- DNSに限らず、Network構成図は出来るだけ作る習慣を付けておく方がいいでしょう。
- 出来れば、cvs等で構成図を管理しておくとなお良いでしょう。
IP Address, IPv6 Address、ドメイン名の割り当て表
DNS Serverの構成
- Master ServerとSecondary Serverの構成

なお、本稿では、DNS ServerとしてBIND(BIND9)を仮定する。これは、NetBSDが標準で取り入れている実装である。

ネットワーク構成図

今回管理するNetwork構成図は以下の通り。
DNSの設定において重要なのは、

IP Address
IPv6 Address
hostname

である。

なお、Omni Graffleでファイルを作ったので、これも上げておく。example_org.graffle.gz

DNS用DB

次にDNS用のDBファイルを作成する。

正引き、逆引きを共に設定する必要がある。

言葉がわからない人や、意味が判らない人は、Googleにお伺いを立てれば調べられると思うので、そちらを参照のこと。

今回の設定においては、

example.orgは既にレジストラによって登録されている
1. example.orgは、NSレコードを２つ持っている。
2. 登録されているNSレコードは、10.1.1.2と10.1.1.4である
IPv4アドレスの逆引きは、上流のISPによって既に委任されている。
1. 0exam.1.1.10.in-addr.arpa. として登録されている
2. NSとして、10.1.1.2と10.1.1.4が登録されている
IPv6 アドレスの逆引きは提供されていない

ものとする。

このような状況の場合、DNSサーバーに準備しなければならないデータベースは

example.org用の正引きData
0exam.1.1.10.in-addr.arpa用の逆引きData
Root DNSサーバーの一覧
named用の設定ファイル

となる。

正引き用Data file

正引きDBファイルを作成する。ファイル名は M.example とする。

今回の例では、TXTレコード、HINFOレコードを利用している。
近年では、情報漏洩やリスクを考慮してかこの種のレコードを利用しないという風潮がある。しかし、この程度の情報でクラックされてしまうのであれば、この種の情報が無くても結局簡単に攻撃されてしまう。
特に最近では通信時の特性などからOSをほぼ完全に推測してしまうような技術もあるので、わざわざ情報を隠す意味は無いと考える。

あと、一応SPFエントリーを付け加えてある。詳しいことはgoogle様に聞くこと。

;; M.example : Database of example.org
;;
$TTL 3600;

@       IN SOA  dns.example.org. root.example.org. (
    1        ; Serial
    10800    ; Refresh (3h)
    3600     ; Retry   (1h)
    1296000  ; Expire  (15d)
    10800    ; Minimum (3h)
)
    IN NS    dns.example.org.
    IN NS    mail.example.org.
    IN MX 20 mail.example.org.
    IN TXT   "v=spf1 +mx -all"

localhost       IN A            127.0.0.1
                IN AAAA         ::1

router          IN HINFO        "CISCO"           "IOS"
                IN TXT          "Gateway to Internet"
                IN AAAA         2000:ffff:ffff:0::1
                IN A            10.1.1.1

dns             IN HINFO        "PC/AT"           "NetBSD"
                IN TXT          "MasterNS"
                IN AAAA         2000:ffff:ffff:0::2
                IN A            10.1.1.2

www             IN HINFO        "PC/AT"           "NetBSD"
                IN TXT          "Web Server"
                IN AAAA         2000:ffff:ffff:0::3
                IN A            10.1.1.3

mail            IN HINFO        "PC/AT"           "NetBSD"
                IN TXT          "Mail,pop,smtp,DNS Server"
                IN AAAA         2000:ffff:ffff:0::4
                IN A            10.1.1.4

pop             IN CNAME mail
smtp            IN CNAME mail

ns              IN CNAME dns
                IN CNAME mail

逆引き用Data file

正引きと同じように逆引きも設定する。

逆引きファイルは R.10.1.1.0examとする。

;; R.10.1.1.0exam : Database of 0exam.1.1.10.in-addr.arpa.
;;
$TTL 3600;

@       IN SOA  dns.example.org. root.example.org. (
    1        ; Serial
    10800    ; Refresh (3h)
    3600     ; Retry   (1h)
    1296000  ; Expire  (15d)
    10800    ; Minimum (3h)
)
    IN NS    dns.example.org.
    IN NS    mail.example.org.

1   IN PTR   router.example.org.
2   IN PTR   dns.example.org.
3   IN PTR   www.example.org.
4   IN PTR   mail.example.org.

Root DNSサーバー一覧

NetBSDを利用している場合は、/etc/namedb/root.cacheがそれ。

わざわざ作る物ではない。

named用の設定ファイル

rndc keyの作成

rndc.keyは、DNS Serverを制御するためのrndcを利用するために作成される。

鍵を作る

# cd /tmp
# mkdir t
# cd t
# dnssec-keygen -r keyboard  -a HMAC-MD5 -b 256 -n USER root
start typing:
...............................
...........................
...........................
...........................
...........................
...........................
...........................
...........................
...........................
...........................
...........................
...........................
...........................
stop typing.
Kroot.+xxx+xxxxx
#

これで、種となる鍵ファイルが出来上がる。

rndc.keyを作成

# cat Kroot.+xxx+xxxxx
root. IN KEY 0 3 157 ABCDEFGHIJKLMNOPQRSTUVWXYZ0123456789acbdef==
# cat rndc.key								← named.confに記載したrndc.keyファイルを作成する
key RNDC {
        algorithm "HMAC-MD5";
        secret "ABCDEFGHIJKLMNOPQRSTUVWXYZ0123456789acbdef==";
};

rndc.confを作成

# cat /etc/rndc.conf
include "/etc/namedb/rndc.key";

options {
        default-server localhost;
        default-key RNDC;
};
#

これでrndcが利用できるようになる。

DNSSEC

サブドメイン設定に関して

DNS Serverの起動とデバッグ

以上の設定が済んだら、/etc/rc.confを修正する

named=YES               named_flags="-c /etc/namedb/named-m.conf"

なお、namedをchroot環境で動作させるならば、named_chrootdirを設定する。
NetBSDの場合、これを設定すれば問題なくchroot環境に移行してnamedが動作する。

ここまで設定が終わったら、/etc/rc.d/named start をrootから実行する。

これでnamedが起動するが、設定ミスなどがあるとエラーになるので、/var/log/messageを確認して、DNSサーバーがエラーを出していないことを確認しよう。

DNS ServerのDebug

NSD

anonymous@undisclosed.example.com (Anonymous) — Thu, 27 Feb 2014 11:58:51 +0000

NSD

Last Update : 2014/02/27

NSD(Name Server Daemon)はオランダのNLnet Labが開発しているDNS Contents Server実装の一つ。

Install

NetBSD

NetBSDにnsdを入れる場合、以下の手順で。

NetBSDのServerを作る。
pkgsrc/net/nsd を利用してPackageを導入
- 特にOption等は無いので、そのまま入れれば良い
  - user:nsd/group:nsd が作られるので、File permissionを考えれば、先に設定しておく方が良いだろう。
  - mk.confに
```
NSD_USER=	nsd
NSD_GROUP=	nsd
```
    等と追記して、事前にアカウントを作成するのが楽。
- 実行ファイルや設定ファイル等はmk.confに記載されているところ(標準では/usr/pkg)に置かれる。

設定等

入れたはいいが、Dynamic DNS機能が無い(一部、DDNSを使いたい要望がある)ため、とりあえず、「今は」Pend

(N/A) Unbound

anonymous@undisclosed.example.com (Anonymous) — Thu, 27 Feb 2014 08:03:56 +0000

(N/A) Unbound

LastUpdate : 2014/02/27

To be written.

ほほほのほ - serverapp:dns

knot DNS

knot DNS

NetBSDへのInstall

設定等

(Obsolate)DNS Serverを建てる

(Obsolate)DNS Serverを建てる

ネットワーク構成図

DNS用DB

正引き用Data file

逆引き用Data file

Root DNSサーバー一覧

named用の設定ファイル

rndc keyの作成

DNSSEC

サブドメイン設定に関して

DNS Serverの起動とデバッグ

DNS ServerのDebug

NSD

NSD

Install

NetBSD

設定等

(N/A) Unbound

(N/A) Unbound