状況を説明します。WAN 上の pfsense に設定されているパブリック固定 IP があります。LAN 上にインターネットがあります。LAN にはローカル DNS サーバー (ubuntu 22.04、bind9、IP 10.14.14.10) があり、そこで実際に購入したドメイン (mm-it.ro) でゾーンを設定しています。レジスター (ドメインを購入した場所) で、ドメイン mm-it.ro がパブリック IP (86.125.220.243) を指すように設定しました。pfsense の一般設定で、内部 DNS サーバーの IP を入力し、NAT とルールで、WAN のポート 53 からのすべてがローカル DNS サーバー IP を指すように設定されています。
現在: LAN ではすべて動作しています。LAN のどのクライアントからでもブラウザーで解決できます。当サイトについて、mail.mm-it.ro。しかし、インターネットからはドメインにアクセスできません。登録サイトでそのドメインのパブリック IP を登録した後、伝播するまで約 72 時間待ちます。何も変更していません。mm-it.ro または ns1.mm-it.ro に ping できません。mxtoolbox の DNS ルックアップで「DNS 有効なネームサーバーが応答しませんでした」と表示され、「問題の検索」を選択すると、次のように表示されますUnable to resolve "mm-it.ro" to an IP address。
問題がどこにあるのかわかりません。pfsense か DNS サーバー設定か。ローカル ネットワークではすべて正常に機能しています。以下に、サーバー上の設定を示します。
db.mm-it.ro (fw)
$TTL 604800
@ IN SOA ns1.mm-it.ro. admin.mm-it.ro. (
6 ; Serial
604800 ; Refresh
86400 ; Retry
2419200 ; Expire
604800 ) ; Negative Cache TTL
;
@ IN NS ns1.mm-it.ro.
IN MX 10 mail.mm-it.ro.
ns1 IN A 10.14.14.10
mm-it.ro. IN A 10.14.14.10
www IN A 10.14.14.11
mail IN A 10.14.14.12
db.10(リバース)
$TTL 604800
@ IN SOA ns1.mm-it.ro. admin.mm-it.ro. (
5 ; Serial
604800 ; Refresh
86400 ; Retry
2419200 ; Expire
604800 ) ; Negative Cache TTL
;
@ IN NS ns1.
10 IN PTR ns1.mm-it.ro.
10 IN PTR mm-it.ro.
11 IN PTR www.mm-it.ro.
12 IN PTR mail.mm-it.ro.
名前付き.conf.local
zone "mm-it.ro" {
type master;
file "/etc/bind/db.mm-it.ro";
};
zone "14.14.10.in-addr.arpa" {
type master;
notify no;
file "/etc/bind/db.10";
};
名前付きconfオプション
acl ips {
86.125.220.243;
localhost;
localnets;
10.14.14.0/24;
};
options {
directory "/var/cache/bind";
// If there is a firewall between you and nameservers you want
// to talk to, you may need to fix the firewall to allow multiple
// ports to talk. See http://www.kb.cert.org/vuls/id/800113
// If your ISP provided one or more IP addresses for stable
// nameservers, you probably want to use them as forwarders.
// Uncomment the following block, and insert the addresses replacing
// the all-0's placeholder.
recursion yes;
allow-query { ips; };
allow-query-cache { ips; };
allow-recursion { ips; };
forwarders {
8.8.8.8;
8.8.4.4;
};
//========================================================================
// If BIND logs error messages about the root key being expired,
// you will need to update your keys. See https://www.isc.org/bind-keys
//========================================================================
dnssec-validation auto;
listen-on-v6 port 53 { ::1; };
listen-on port 53 { 127.0.0.1; 10.14.14.10; };
};
また、pfserver には、ポート 53 の WAN から来るすべてのものが、IP 10.14.14.10 の DNS サーバーのポート 53 にリダイレクトされるというルールがあります。また、サービスを無効にしてDns Resolver、DNS Forwarder。
どこに問題があるのかを教えていただければ幸いです。
答え1
他の方が示唆しているように、別のドメインのグルー レコードまたは A レコードが公開されていれば、ドメインの DNS をドメイン内から提供することは可能ですが、これは行わないでください。本当に。
DNS ホスティングは非常に安価です。ほとんどのレジストラは、登録時に無料で提供しています。逆に、インターネット上であらゆる種類のサーバーを運用するには、高度なスキルと、強化と継続的な監視/メンテナンスへの投資が必要です。警察がやって来るまで、DNS サーバーとドメインが、まったく知らないうちに非常に悪質な目的で悪用されるという大きなリスクがあります。
答え2
回答していただきありがとうございました。外部/インターネット (splitview) 用に別のゾーン設定も必要であることは理解しています。しかし、最終的には pfsense に bind をインストールし、そこですべての設定を行ったところ、今のところはうまく機能しています。ありがとうございます。