Translated message

A translation of this page exists in English.

Warning message

This translation is outdated. For the most up-to-date information, please refer to the English version.

bind サーバーがプライベート IP アドレスを解決することと外部ネットワークへのリークを防ぐ方法

Solution Verified - Updated -

Environment

  • Red Hat Enterprise Linux 4
  • Red Hat Enterprise Linux 5
  • Red Hat Enterprise Linux 6
  • bind

Issue

  • /var/log/messages に以下のようなメッセージがログに記録されます。
named[6181]:11-Feb-2011 09:49:56.024 security: warning: client 127.0.0.1#47583:RFC 1918 response from Internet for xx.xx.xx.xx.in-addr.arpa

Resolution

解決方法 1

  • 使用されるプライベート IP アドレスのすべてのセットに対して空のゾーンを作成する必要があります。

例は以下のようになります。

zone "10.IN-ADDR.ARPA" {  
type master;  
file "empty";  
};

zone "16.172.IN-ADDR.ARPA" {  
type master;  
file "empty";  
};

(..snip..)

zone "31.172.IN-ADDR.ARPA" {  
type master;  
file "empty";  
};

zone "168.192.IN-ADDR.ARPA" {  
type master;  
file "empty";  
};

empty:  
@ 10800 IN SOA ..(  
          1 3600 1200 604800 10800 )  
          @ 10800 IN NS .

解決方法 2

  • 特に IPA が設定されている環境では、上述のようにゾーンを手動で追加することができません。
  • named.confempty-zones-enable yes; を指定して有効にすると、bind が空のゾーンを自動的に作成します。
  • 詳細はupstream のドキュメントを参照してください。
  • この方法は、IPA および bind の通常の設定で有効です。

Root Cause

  • named/bind サーバーの設定が間違っており、内部ネットワーク用に作成された空のゾーンがないためです。内部ネットワークは RFC 1918 に準拠しています。

  • bind9.net-FAQ からの抜粋:

Q:What does "RFC 1918 response from Internet for 0.0.0.10.IN-ADDR.ARPA" mean?

A:If the IN-ADDR.ARPA name covered refers to a internal address space you are
using then you have failed to follow RFC 1918 usage rules and are leaking queries
to the Internet.You should establish your own zones for these addresses to prevent
you querying the Internet's name servers for these addresses.Please see http://as112.net/
for details of the problems you are causing and the counter measures that have had to be deployed.
If you are not using these private addresses then a client has queried for them.
You can just ignore the messages, get the offending client to stop sending you
these messages as they are most probably leaking them or setup your own zones empty zones to serve answers to these queries.

This solution is part of Red Hat’s fast-track publication program, providing a huge library of solutions that Red Hat engineers have created while supporting our customers. To give you the knowledge you need the instant it becomes available, these articles may be presented in a raw and unedited form.

Comments