読者です 読者をやめる 読者になる 読者になる

せでぃのブログ

ブログ初心者おいどんのどうでもいい愚痴やどうでもいい愚痴やどうでもいいマメ知識などを披露するチラシの裏です。

自宅ルータがフォワーダとして機能しなかったのはdnssec-validationの罠でした

��2330 最新版のnamedに実装されたDNSSECについて - Web Patio - CentOSで自宅サーバー構築
フォワーダの件、forward only;を維持したままで解決できた。解決すると思ってなかったのでビックリだわ。

結論。フォワーダの向け先は自宅ルータの内部アドレス。で、

#named.conf

dnssec-enable yes;
dnssec-validation no; //←をautoからnoに変えた
dnssec-lookaside auto;

そう言われてみると、digする度にこんなメッセージ出てたなーと。

Jul 21 21:07:59 centos named[2975]: validating @0xb57024d8: google.com A: bad cache hit (com/DS)


dnssec自体をnoにすべきかどうか、よくわからんなぁ。yesで動いてるからこのままいってみるけども。まぁ、sshで遊び倒した後シャットダウンするから、クライアントのDNS向けないんだけどねww
いやでも、スッキリしたわ。

[root@centos ~]# dig +rec @127.0.0.1 hatena.ne.jp

; <<>> DiG 9.8.2rc1-RedHat-9.8.2-0.23.rc1.el6_5.1 <<>> +rec @127.0.0.1 hatena.ne.jp
; (1 server found)
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 56351
;; flags: qr rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 0, ADDITIONAL: 0

;; QUESTION SECTION:
;hatena.ne.jp.                  IN      A

;; ANSWER SECTION:
hatena.ne.jp.           600     IN      A       グローバルアドレス

;; Query time: 31 msec
;; SERVER: 127.0.0.1#53(127.0.0.1)
;; WHEN: Mon Jul 21 21:27:33 2014
;; MSG SIZE  rcvd: 46


BIND 9.7におけるDNSSECの設定 - OSSでLinuxサーバ構築
DNSSEC再入門(3):キャッシュDNSサーバのDNSSEC対応 (1/2) - @IT
うちではこの辺を見ながら、更に手動でトラストアンカーを入れてみましたが、ダメでした。どうしてもflagsにadが入らないし、validatingのログが出力されます。
そもそもCentOS6ではデフォルトでDNSSECに対応していると書いてある。確かにインストール時に適当にコピペしたファイルを見ていくと、named.iscdlv.keyにもnamed.root.keyにも最新のトラストアンカーと全く同じ文字列が並んでるんですわ。ISP側が対応してないのかなぁ。

hwclock --systohc

とかやってもダメなので、もうvalidateしない方向で。