DNSのキャッシュ・ポイズニング対策にはまる
人様の設定したサーバーほど面倒なものはない。ちょっとした事情で、知人の運用しているサーバーのDNS設定を応援した。先週あたりから話題になっているキャッシュ・ポイズニング対策のために。
私の愛用しているのと同じDebianなので、apt-get update、apt-get upgrade で対策は完了、と思いきや、名前引きがいきなり不安定になってしまった。正引き逆引きともに、成功したり失敗したりと、一番嫌なパターンだ。サーバーを何度か再起動してみたものの現象は変わらず。というか、「不安定」な状況のため、現象が変わったのか変わらなかったのかすら判然としない。いろいろとオプションを変えて dig www.google.com とかやってみるのだが、1分ほど時間がかかった挙句、dig: couldn't get address for 'www.google.com' というエラーが出て、アドレスを引くことができない。
ipv6が邪魔しているのだろうかとか、mtuの問題だろうかとか、思い当たる部分を一つ一つパラメータを変えて試してみるのだが、状況は改善しない。
どこが変更になったのか、もう一度詳しく調べる必要がありそうだということで、Debianのセキュリティ勧告(http://www.debian.org/security/2008/dsa-1603)を読み直したところ、「1024--65535 UDP ポート範囲をリスンしていないことを確認して、その範囲をパケットフィルタで通すようにしてください」との記述発見。
もしかして、パケット・フィルタリング・ルールが...これでやっと解決。
今日一日がこれでつぶれてしまった。
後になってみればつまらない原因だったけれど、トラブルシューティング中の非力感は何物にも例えようのないものだった。
先日の東証のトラブルで、報道では「銘柄数の上限設定を誤るという単純ミス」と表現されていたが、どうしてどうして。それは問題がそこだと分かった後だから言えることだ。
事故が現在進行中の間は、ほんと、問題の所在がどこなのか、それがさっぱり分からないものだ。
私の愛用しているのと同じDebianなので、apt-get update、apt-get upgrade で対策は完了、と思いきや、名前引きがいきなり不安定になってしまった。正引き逆引きともに、成功したり失敗したりと、一番嫌なパターンだ。サーバーを何度か再起動してみたものの現象は変わらず。というか、「不安定」な状況のため、現象が変わったのか変わらなかったのかすら判然としない。いろいろとオプションを変えて dig www.google.com とかやってみるのだが、1分ほど時間がかかった挙句、dig: couldn't get address for 'www.google.com' というエラーが出て、アドレスを引くことができない。
ipv6が邪魔しているのだろうかとか、mtuの問題だろうかとか、思い当たる部分を一つ一つパラメータを変えて試してみるのだが、状況は改善しない。
どこが変更になったのか、もう一度詳しく調べる必要がありそうだということで、Debianのセキュリティ勧告(http://www.debian.org/security/2008/dsa-1603)を読み直したところ、「1024--65535 UDP ポート範囲をリスンしていないことを確認して、その範囲をパケットフィルタで通すようにしてください」との記述発見。
もしかして、パケット・フィルタリング・ルールが...これでやっと解決。
今日一日がこれでつぶれてしまった。
後になってみればつまらない原因だったけれど、トラブルシューティング中の非力感は何物にも例えようのないものだった。
先日の東証のトラブルで、報道では「銘柄数の上限設定を誤るという単純ミス」と表現されていたが、どうしてどうして。それは問題がそこだと分かった後だから言えることだ。
事故が現在進行中の間は、ほんと、問題の所在がどこなのか、それがさっぱり分からないものだ。
この記事へのコメント