iptablesとDNS~ドコモゲートウェイの名前解決できない!~
FTPの問題が解決したと思ったら、今度はDNS・・・。
サーバーは携帯向けのサイトも運営しています。
んがしかし、、
ドコモの携帯から確認のためアクセスすると、異様にページ表示が重い!
どのページも重い!
PCから見ると普通。・・・なんで携帯だけだよ。
ちなみにauとsoftbankは持っていないので確認できず。
直接の原因は、アクセス解析ソフトの名前解決がタイムアウトしている感じでした。
ドコモだけ。
ドコモ以外はちゃんとIPアドレスだけではなく、ホスト名に変換されて記録されています。
なぜドコモだけ!?
ちなみにアクセス解析はシンプルで見やすいbbcloneを利用しています。
(最新版はなぜかドコモのゲートウェイがgooのクローラーに勘違いされています。)
スクリーンショットはこちら。
さて単純に名前解決ができないなら、iptablesの設定は、
iptables -A INPUT -p tcp --dport 53 -j ACCEPT
iptables -A INPUT -p udp --dport 53 -j ACCEPT
を追加しとけって話なのですが、今回は特殊なケースです。
ググってもわからないのですが、わからないとiptablesをstopしてサーバーをさらさなければならないので意地でも解決しなければなりません。
色々設定を消したり変えたりしてもダメ。
色々調べるうちに解決の糸口が見えました。
ここです。
http://www.atmarkit.co.jp/flinux/rensai/iptables01/iptables01c.html
一番下に、
DNSサーバ側のサービスポートは53で固定されていますが、DNS問い合わせ要求を出すクライアント側のポートは不特定のポート番号を使用します。そのため、フィルタを適用する際はソースポートでの制限ができないので、DNSサーバ側すなわちディスティネーションのサービスポート番号を利用します。つまり、DNS要求を出す場合(OUTPUTチェイン)では、ディスティネーションポートにUDP 53を指定し、DNS問い合わせ結果を受け取る場合(INPUTチェイン)はソースポートにUDP 53を指定することになります。
と書かれてあり、ピンtときました。
と言うことで、iptablesに下記のDNS関連の設定を加えました。
iptables -A INPUT -p udp --sport 53 -j ACCEPT
iptables -A OUTPUT -p udp -d 0.0.0.0/0 --dport 53 -j ACCEPT
これで無事ドコモゲートウェイのホスト名がbbcloneに表示されるようにんりました。
もちろん携帯からアクセスしても遅くありません。
実はこれ以外にもう1つ問題があるので、iptablesの設定公開はまた今度です・・・。
|
MENS CLUB グレコローマ 販売価格¥2,079 汗でシャツが透けてインナーが見えるそんな季節。ランニングや派手なカラーTシャツなんか着てないだろうな?今回女性を惹きつける、逞しい肉体にぴったりのカラータンクトップが入荷。デザイン、機能性、そしてモテ。3つのポイントをおさえたアイテムだ。■オトコが映えるデザイ… |
|
|
 |
|