DNSのキャッシュ・ポイズニング対策にはまる

人様の設定したサーバーほど面倒なものはない。ちょっとした事情で、知人の運用しているサーバーのDNS設定を応援した。先週あたりから話題になっているキャッシュ・ポイズニング対策のために。
私の愛用しているのと同じDebianなので、apt-get update、apt-get upgrade で対策は完了、と思いきや、名前引きがいきなり不安定になってしまった。正引き逆引きともに、成功したり失敗したりと、一番嫌なパターンだ。サーバーを何度か再起動してみたものの現象は変わらず。というか、「不安定」な状況のため、現象が変わったのか変わらなかったのかすら判然としない。いろいろとオプションを変えて dig www.google.com とかやってみるのだが、1分ほど時間がかかった挙句、dig: couldn't get address for 'www.google.com' というエラーが出て、アドレスを引くことができない。
ipv6が邪魔しているのだろうかとか、mtuの問題だろうかとか、思い当たる部分を一つ一つパラメータを変えて試してみるのだが、状況は改善しない。

どこが変更になったのか、もう一度詳しく調べる必要がありそうだということで、Debianのセキュリティ勧告(http://www.debian.org/security/2008/dsa-1603)を読み直したところ、「1024--65535 UDP ポート範囲をリスンしていないことを確認して、その範囲をパケットフィルタで通すようにしてください」との記述発見。
もしかして、パケット・フィルタリング・ルールが...これでやっと解決。

今日一日がこれでつぶれてしまった。

後になってみればつまらない原因だったけれど、トラブルシューティング中の非力感は何物にも例えようのないものだった。

先日の東証のトラブルで、報道では「銘柄数の上限設定を誤るという単純ミス」と表現されていたが、どうしてどうして。それは問題がそこだと分かった後だから言えることだ。
事故が現在進行中の間は、ほんと、問題の所在がどこなのか、それがさっぱり分からないものだ。

ブログ気持玉

クリックして気持ちを伝えよう!

ログインしてクリックすれば、自分のブログへのリンクが付きます。

→ログインへ

なるほど(納得、参考になった、ヘー)
驚いた
面白い
ナイス
ガッツ(がんばれ!)
かわいい

気持玉数 : 0

この記事へのコメント

この記事へのトラックバック