- PR -

LAN内だけに通用する名前解決を実現するには?

1
投稿者投稿内容
ころ
会議室デビュー日: 2004/05/24
投稿数: 17
投稿日時: 2005-01-21 16:10
A社で勤務しております。B社とは専用線で接続されており、「160.210.2.*」のネットワークで接続されております。
ルーティングで「160.210.2.*」あてのパケットは専用線を通るように設定しております。WANにはISP経由で接続しております。(「210.221.2*」のネットワーク)

外部のホームページを閲覧するには、ISP経由で、B社のホームページは専用線経由とISP経由を使用しておりました。最近B社がwebサーバのアドレスを仮想のものに変更し、(160.210〜ではじまるものと210.221〜ではじまるものふたつつくりました)WANからのアクセスのみ、その仮想アドレスで閲覧できるようにしたのですが、専用線経由だと変換されず閲覧できなくなりました。

「nslookup」で参照されるのは仮想アドレスの方なのでURLにドメイン名でアドレスを記入すると専用線経由でアクセスする端末が閲覧できなくなりました。B社から聞いた本当のIPアドレスでアクセスすると表示されます。

要は、我が社内のLANからアクセスするときだけ、B社の非公開の本当のアドレスに変換したい=B社のwebサーバのホスト名を「本当のB社のwebサーバのアドレスに固定したい」のです。
わが社のDNSでは今までB社のネームサーバのスレブのzoneを設定しておりましたが、B社が公表している仮想アドレスの方にあててしまいます。hostsファイルにいちいち記入するにしてもクライアントは、持ち込み端末が多く把握できません。
わが社のDNSは、ISPにセカンダリを置いております。

わが社の環境のみ、独自の名前解決を反映させること、または上記の環境を実現できる方法、何かよいものをご存知でしたら教えてください。


ニック
ベテラン
会議室デビュー日: 2004/10/20
投稿数: 60
投稿日時: 2005-01-21 16:46
こんにちは。

引用:

最近B社がwebサーバのアドレスを仮想のものに変更し、(160.210〜ではじまるものと210.221〜ではじまるものふたつつくりました)WANからのアクセスのみ、その仮想


正式:160.210〜
仮想:210.221〜

ということですか?
ころ
会議室デビュー日: 2004/05/24
投稿数: 17
投稿日時: 2005-01-21 17:00
nslookupでひくと、わが社のdnsでも他のdnsでも「160.210.2.22」「210.221.2.22」のふたつが表示されます。
本当は、「160.210.5.22」がB社内のwebサーバで、わが社から専用線経由でpingも飛びますし、URLにこのアドレスを打つとB社のwebページを閲覧できます。
ニック
ベテラン
会議室デビュー日: 2004/10/20
投稿数: 60
投稿日時: 2005-01-21 17:16
こんにちは。

引用:

ころさんの書き込み (2005-01-21 17:00) より:
nslookupでひくと、わが社のdnsでも他のdnsでも「160.210.2.22」「210.221.2.22」のふたつが表示されます。
本当は、「160.210.5.22」がB社内のwebサーバで、わが社から専用線経由でpingも飛びますし、URLにこのアドレスを打つとB社のwebページを閲覧できます。


210.221.2.22というアドレスで接続した場合ダメなんですね。
210.221.2.22というアドレスで接続した場合は、
引用:

ルーティングで「160.210.2.*」あてのパケットは専用線を通るように設定しております。WANにはISP経由で接続しております。(「210.221.2*」のネットワーク)

ということなので、専用線は経由しないと思うのですが。

ころ
会議室デビュー日: 2004/05/24
投稿数: 17
投稿日時: 2005-01-21 17:35
ごめんなさい・・書き忘れていました。
「160.210.5.22」も専用線を通る設定をしています。tracertでアドレスを指定すると専用線側のルータを経由してホストに到達します。
非武装エリア
大ベテラン
会議室デビュー日: 2004/03/03
投稿数: 202
お住まい・勤務地: 日本・たこ部屋
投稿日時: 2005-01-21 18:20
少し確認なのですが、

1.「210.221.2.22」をtracerouteした場合、通るのはISP(インターネット)ですか?
  今までの内容からすると専用線のような気がしますが..

2.会社以外からインターネット側から「210.221.2.22」にアクセスしても、そのページは見ることが出来ますか?それとも専用線側からアクセスしないと見ることができないようになっていますか?

3.B社のDNSでA社側からのDNS参照において、「160.210.2.22」だけを返すように設定してもらう事はできませんか?

以上までが質問。

で取りあえず今判っている事だけで回答するなら、

その1.B社のDNSをきちんと構築して貰う。A社DNSはB社の社内DNSと同じ情報だけを貰うようにする。

その2.A社はProxyを導入して、WebアクセスはすべてProxyを経由するようにする。
   (透過モードでも構築できそうかな)
    でもって、ProxyにおいてProxy内のhostsファイルにB社のWebサーバのアドレスとして160.210.2.22を与えるようにしておく。(この場合、Webのみが可能ですね)

その3.インターネット経由で210.221.2.22にアクセスが可能で、現状のルーティングが210.221.2.22の場合においても専用線を通るようになっているなら、ルータを設定してインターネット側のルータを経由するようにする。

取りあえずこんなところですかね。 もう少し条件が判れば別の方法も出せるかも知れませんが。。。

  
kaz
ぬし
会議室デビュー日: 2003/11/06
投稿数: 5403
投稿日時: 2005-01-21 22:51
こんばんわ.
引用:

ころさんの書き込み (2005-01-21 16:10) より:

わが社の環境のみ、独自の名前解決を反映させること、または上記の環境を実現できる方法、何かよいものをご存知でしたら教えてください。

斜め読みですが...
bind なら view option で「この network はこっちを,それ以外はあっちを参照する」ことは出来ます.

view "internal" {
match-clients { 192.168.1/24; };
とやると「ここは 192.168.1/24 が参照する」という意味で,
必要な zone 情報を指定します.

次にそれ以外を
view "external" {
match-clients { any; };
として定義して,ここに外部向けの zone 情報を定義します.

勘違いしていたらゴメンナサイ.
ころ
会議室デビュー日: 2004/05/24
投稿数: 17
投稿日時: 2005-01-24 14:56
ニックさん、非武装エリアさんKAZさんどうも有難うございました。

非武装さんへ

1.「210.221.2.22」へtracertするとISP経由の経路が表示されます。
2.URLに「210.221.2.22」を入力するとLAN内からも外側からも表示されています。
ちなみに二つのアドレスは、実在するものではなく例であります。

結局kazさんのレスを参考にさせていただきました。
view "internal" オプションでわが社のLANネットワークを含ませて
そこのzoneファイルとrevを独自に作成しました。本当に有難うございます。
1

スキルアップ/キャリアアップ(JOB@IT)