- 2010-08-01 (日) 19:23
- 記事
DNSSECをみすえてと、いい加減にBINDの肥大化と手順のややこしさにめげてきたので、DNSのResolverをunbound、Contantsをnsdに移行してみる。Jailでさくさくと複数環境を用意して、それぞれportsでinstall。
まずはunboundからざっと設定。localなzoneは、local-dataとして完全に記載する形にした。本当は外ファイルに出すべきなのかな。IPv6対応は外回線が確保できてからということで、あえてOFF。DNSSEC対応はこれから様子見つつテスト予定。portsなので起動も/usr/local/etc/rc.d/unbound
からできるし、rc.confでunbound_enable=”YES”
で起動も設定。
server:
verbosity: 0
interface: 192.168.xxx.xxx
do-ip4: yes
do-ip6: no
do-udp: yes
do-tcp: yes
do-daemonize: yes
access-control: 0.0.0.0/0 refuse
access-control: 127.0.0.0/8 allow
access-control: ::0/0 refuse
access-control: ::1 allow
access-control: ::ffff:127.0.0.1 allow
access-control: 192.168.xxx.xxx/24 allow
use-syslog: yes
private-address: 192.168.0.0/16
private-domain: "localnet"
local-zone: "localnet." static
local-data: "ns.localnet. A 192.168.xxx.xxx"
local-data-ptr: "192.168.xxx.xxx ns.localnet"
nsdも同様に別Jailに設定。ZONEは独自形式もできるようだが、そのままBINDのものを利用。逆引きの登録ができないのが若干不安。同じように登録してやればいいのかな。
と思ったら、ISPの業務移譲に伴い、逆引き移譲が消えているらしい。むー。
server:
ip-address: 192.168.xxx.xxx
hide-version: yes
ip4-only: yes
database: "/var/db/nsd/nsd.db"
username: nsd
zonesdir: "/usr/local/etc/nsd"
zone:
name: "fortunerinn.org"
zonefile: "fortunerinn.org.zone"
ついでに、RT105eでサーバへの静的NATもしているため、そちらも設定も変更しておく。
# nat descriptor masquerade static 1 1 192.168.xxx.xxx udp domain
# nat descriptor masquerade static 1 2 192.168.xxx.xxx tcp domain
今迄のサーバのBINDを止めて、一通り問題ないことをチェックしてから、移行完了。
unboundのlocal-dataをファイル分割。ついでに、nsdでSPFをIPアドレス制限で表明してみる(←まだやってなかった)。
関連記事:
- Newer: [物欲] 初音ミク Project DIVA 2nd
- Older: はやぶさカプセル公開 〜JAXA 相模原キャンパス 特別公開