Debian 11 (bullseye) - DNS サーバ BIND9 構築!
Updated:
Debian GNU/Linux 11 (bullseye) に DNS サーバを構築する方法についての記録です。
以前古いバージョンでの作業時に残していた記録を参考に作業を行い、今回更新した作業記録を貼付する形式の内容となっています。
(当然ながら、興味がなければスルーしてください)
0. 前提条件
- Debian GNU/Linux 11.0.0 (bullseye; 64bit) での作業を想定。
- サーバのローカル IP アドレスは
192.168.11.101、グローバル IP アドレスはxxx.yyy.zzz.aaaを想定。 - ドメイン名は
xxxxxxxx.com、マシンのホスト名はfoo、ネームサーバホスト名はnsを想定。 - セカンダリ DNS は用意しない。
- root ユーザでの作業を想定。
1. BIND のインストール
(dnsutils は dig コマンド用)
# apt -y install bind9 dnsutils
2. BIND 設定ファイルの編集
File: /etc/bind/named.conf
include "/etc/bind/named.conf.options";
include "/etc/bind/named.conf.local";
#include "/etc/bind/named.conf.default-zones"; # <= コメント化(内部向け・外部向けゾーンファイルで定義するので)
include "/etc/bind/named.conf.internal-zones"; # < = 追加
include "/etc/bind/named.conf.external-zones"; # < = 追加3. 内部向けゾーンファイルの作成
BIND 設定ファイルで指定している内部向けゾーンファイルを以下のように作成する。
File: /etc/bind/named.conf.internal-zones
view "internal" {
# 内部向け設定の対象範囲定義
match-clients {
localhost;
192.168.11.0/24;
};
# 内部向け正引きゾーン定義
zone "xxxxxxxx.com" {
type master;
file "/etc/bind/xxxxxxxx.com.lan";
allow-update { none; };
};
# 内部向け逆引きゾーン定義
zone "11.168.192.in-addr.arpa" {
type master;
file "/etc/bind/11.168.192.db";
allow-update { none; };
};
include "/etc/bind/named.conf.default-zones";
empty-zones-enable no;
};最後の empty-zones-enable no; は、ログに以下のようなメッセージが出力されないための対処。
Warning: view internal: 'empty-zones-enable/disable-empty-zone' not set: disabling RFC 1918 empty zones
4. 外部向けゾーンファイルの作成
BIND 設定ファイルで指定している外部向けゾーンファイルを以下のように作成する。
File: /etc/bind/named.conf.external-zones
view "external" {
match-clients { any; }; # 全て対象(内部向け範囲以外のホスト)
allow-query { any; }; # 問い合わせは全て許可
#recursion no; # 再帰検索禁止
# 外部向け正引きゾーン定義
zone "xxxxxxxx.com" {
type master;
file "/etc/bind/xxxxxxxx.com.wan";
allow-update { none; };
};
# 外部向け正引き情報を定義 *注
zone "zzz.yyy.xxx.in-addr.arpa" {
type master;
file "/etc/bind/zzz.yyy.xxx.db";
allow-update { none; };
};
};5. オプション設定ファイルの編集
その他の設定用ファイルを以下のように編集する。
File: /etc/bind/named.conf.options
options {
directory "/var/cache/bind";
// 問合わせを許可する範囲
// (サーバー、ローカルネットワーク内のホストからの問合せのみ許可)
allow-query { localhost; localnets; }; # <= 追加
// ゾーン情報の転送を許可する範囲
// (サーバー、ローカルネットワーク内のホストへのみ転送を許可)
allow-transfer { localhost; localnets; }; # <= 追加
// 再帰検索を許可する範囲
// (サーバー、ローカルネットワーク内のホストのみ再検索を許可)
allow-recursion { localhost; localnets; }; # <= 追加
dnssec-validation auto;
auth-nxdomain no; # conform to RFC1035
// IPv6 は使用しないので無効化
//listen-on-v6 { any; };
listen-on-v6 { none; };
};
# EDNS0 の無効化
# "error (unexpected RCODE REFUSED) ..." 出力の抑止
server 0.0.0.0 {
edns no;
};
# "DNS format error ... invalid response" 出力の抑止
logging {
category resolver { null; };
};6. 内部向け正引きゾーン定義ファイルの作成
File: /etc/bind/xxxxxxxx.com.lan
$TTL 86400
@ IN SOA ns.xxxxxxxx.com. root.xxxxxxxx.com. (
2021083101 ;Serial
3600 ;Refresh
1800 ;Retry
604800 ;Expire
86400 ;Minimum TTL
)
IN NS ns.xxxxxxxx.com.
IN A 192.168.11.101
IN MX 10 ns.xxxxxxxx.com.
ns IN A 192.168.11.101
foo IN A 192.168.11.101
hoge IN A 192.168.11.2
fuga IN A 192.168.11.3
www IN CNAME ns.xxxxxxxx.com.
ftp IN CNAME ns.xxxxxxxx.com.
mail IN CNAME ns.xxxxxxxx.com.hoge, fuga はローカルネットワーク内の別のマシン。
www, ftp, mail は別名定義。
7. 外部向け正引きゾーン定義ファイルの作成
File: /etc/bind/xxxxxxxx.com.wan
$TTL 86400
@ IN SOA ns.xxxxxxxx.com. root.xxxxxxxx.com. (
2021083101 ;Serial
3600 ;Refresh
1800 ;Retry
604800 ;Expire
86400 ;Minimum TTL
)
IN NS ns.xxxxxxxx.com.
IN A xxx.yyy.zzz.aaa
IN MX 10 ns.xxxxxxxx.com.
ns IN A xxx.yyy.zzz.aaa8. 内部向け逆引きゾーン定義ファイルの作成
File: /etc/bind/11.168.192.db
$TTL 86400
@ IN SOA ns.xxxxxxxx.com. root.xxxxxxxx.com. (
2021083101 ;Serial
3600 ;Refresh
1800 ;Retry
604800 ;Expire
86400 ;Minimum TTL
)
IN NS ns.xxxxxxxx.com.
IN PTR xxxxxxxx.com.
IN A 255.255.255.0
101 IN PTR ns.xxxxxxxx.com.
101 IN PTR foo.xxxxxxxx.com.
2 IN PTR hoge.xxxxxxxx.com.
3 IN PTR fuga.xxxxxxxx.com.9. 外部向け逆引きゾーン定義ファイルの作成
File: /etc/bind/zzz.yyy.xxx.db
$TTL 86400
@ IN SOA ns.xxxxxxxx.com. root.xxxxxxxx.com. (
2021083101 ;Serial
3600 ;Refresh
1800 ;Retry
604800 ;Expire
86400 ;Minimum TTL
)
IN NS ns.xxxxxxxx.com.
IN PTR xxxxxxxx.com.
IN A 255.255.255.254
aaa IN PTR ns.xxxxxxxx.com.(255.255.255.254 はグローバル IP が1個のみの場合の設定値)
10. 問合せ先 DNS サーバの追加
DNS サーバー自身も問合せ先に追加する。
最初から記載のあるルータの IP アドレス(インストール・初期設定時のもの)をセカンダリ、今回構築のサーバ自身をプライマリに設定するので、ルータより先に記述する。
File: /etc/resolv.conf
#domain localdomain # <= コメント化
domain xxxxxxxx.com # <= 追加
#search localdomain # <= コメント化
search xxxxxxxx.com # <= 追加
nameserver 192.168.11.101 # <= 追加
nameserver 192.168.11.1 # <= ルータの IP アドレス11. IPv6 の無効化設定
システムとして IPv6 を無効にしている場合は、以下のように /etc/default/named を編集する。
(/var/log/syslog に ... named[9999]: error (network unreachable) resolving ... のようなエラーが出力されないようにするため)
※かつては、 named というファイル名ではなく bind9 というファイル名だった。
File: /etc/default/named
OPTIONS="-u bind -4"12. BIND の再起動
設定を有効化するために BIND を再起動する。(サービス名は bind9 も可)
# systemctl restart named
13. 動作確認
DNS サーバが正常に機能する(正引きで IP アドレス、逆引きでホスト名が返ってくる)か、確認してみる。
【内部向け正引きテスト】
# dig ns.xxxxxxxx.com.
; <<>> DiG 9.16.15-Debian <<>> ns.xxxxxxxx.com.
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 42607
;; flags: qr aa rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 0, ADDITIONAL: 1
;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 1232
; COOKIE: feae014ca532b70b01000000612d88232c502b8a27dff786 (good)
;; QUESTION SECTION:
;ns.xxxxxxxx.com. IN A
;; ANSWER SECTION:
ns.xxxxxxxx.com. 86400 IN A 192.168.11.101
;; Query time: 8 msec
;; SERVER: 192.168.11.101#53(192.168.11.101)
;; WHEN: Tue Aug 31 10:38:43 JST 2021
;; MSG SIZE rcvd: 87
【内部向け逆引きテスト】
# dig -x 192.168.11.101
; <<>> DiG 9.16.15-Debian <<>> -x 192.168.11.101
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 30868
;; flags: qr aa rd ra; QUERY: 1, ANSWER: 2, AUTHORITY: 0, ADDITIONAL: 1
;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 1232
; COOKIE: 1a0f1c91c39ba3aa01000000612d885de1fc62bcd5c5375a (good)
;; QUESTION SECTION:
;101.11.168.192.in-addr.arpa. IN PTR
;; ANSWER SECTION:
101.11.168.192.in-addr.arpa. 86400 IN PTR ns.xxxxxxxx.com.
101.11.168.192.in-addr.arpa. 86400 IN PTR foo.xxxxxxxx.com.
;; Query time: 3 msec
;; SERVER: 192.168.11.101#53(192.168.11.101)
;; WHEN: Tue Aug 31 10:39:41 JST 2021
;; MSG SIZE rcvd: 131
【外部向け正引きテスト】
# dig www.isc.org
; <<>> DiG 9.16.15-Debian <<>> www.isc.org
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 1984
;; flags: qr rd ra; QUERY: 1, ANSWER: 2, AUTHORITY: 0, ADDITIONAL: 1
;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 512
;; QUESTION SECTION:
;www.isc.org. IN A
;; ANSWER SECTION:
www.isc.org. 60 IN CNAME dualstack.osff2.map.fastly.net.
dualstack.osff2.map.fastly.net. 4 IN A 151.101.90.217
;; Query time: 175 msec
;; SERVER: 192.168.11.1#53(192.168.11.1)
;; WHEN: Tue Aug 31 10:40:24 JST 2021
;; MSG SIZE rcvd: 100
【外部向け逆引きテスト】
# dig -x 151.101.90.217
; <<>> DiG 9.16.15-Debian <<>> -x 151.101.90.217
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NXDOMAIN, id: 60481
;; flags: qr rd ra; QUERY: 1, ANSWER: 0, AUTHORITY: 1, ADDITIONAL: 1
;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 512
;; QUESTION SECTION:
;217.90.101.151.in-addr.arpa. IN PTR
;; AUTHORITY SECTION:
151.in-addr.arpa. 749 IN SOA pri.authdns.ripe.net. dns.ripe.net. 1630366598 3600 600 864000 3600
;; Query time: 55 msec
;; SERVER: 192.168.11.1#53(192.168.11.1)
;; WHEN: Tue Aug 31 10:40:49 JST 2021
;; MSG SIZE rcvd: 116
14. ファイアウォール (ufw) の設定
実際に運用する場合は、外部からのTCP/UDP53番ポート(DNS)へのアクセスを許可する必要がある。
# ufw allow 53
Rule added
# ufw status
Status: active
To Action From
-- ------ ----
9999/tcp ALLOW 192.168.11.0/24
53 ALLOW Anywhere
以上。
Comments