403 Forbidden
(テストです)
あなたのIPアドレスは"71.6.145.92", 逆引きしたらホスト名は"fc614592.aspadmin.net" でした。
ちなみに逆引きした結果のホスト名からIPアドレスを引くと、"(引けませんでした)" でした。
このページは、ホスト名の逆引きが出来ないIPアドレスからは
アクセスできません。
あなたが使用しているIPネットワークを管理しているDNSの設定が、
好ましくない状態になっている可能性があります。
ご使用のプロバイダ
(会社・学校などからアクセスされている場合はネットワーク管理者)に
この画面を見せてご相談されることをおすすめいたします。
撲滅運動趣旨
私のページだけがイジワルをしているわけではなく、
他にも、セキュリティ上の観点から、
また、アクセス元のおおまかな判断(アクセス元の国を判別したい、など)の関係上、
逆引きできないホストからの接続を拒否するサーバはたくさんあります。
私は1996年ごろから、所沢のプロバイダを調べていますが、
残念ながら逆引き問題に無関心な(逆引き設定をしていない)
プロバイダが何社もありました。
そのようなプロバイダを使っているユーザは、
「なんだかよくわからないけどつながらないサーバがある」
といった不利益を被るおそれがあります。
こまったことに、そういう場合にプロバイダに相談しても、なにしろ逆引き問題に
無関心なわけですから「相手のサーバが混んでいたのでしょう」とかトンチンカンな
回答が帰ってくるのがオチだったりするわけです。
そのようなプロバイダに姿勢を正していただくべく、
問題点をあきらかにしよう、というのが本運動の趣旨であります。
個人的には、セキュリティというより、「人の家に訪ねてくる以上、せめてどこから来たかくらいは名乗るのが
エチケットでしょう」といったふうに思っております
(訪問販売とかセールス電話とか、大嫌いなんですよわたし)。
2001/02/21 bind経由のクラックが多発しているようです
bind8系の場合、現在の最新はbind-8.2.3です。
これより古いbindにはセキュリティホールがあり、これを突かれて侵入される
ケースが急増しているようです。
古いbindを使っている場合は、いますぐにupdateしてください。
侵入されるということは、
自分のところだけが損害を被るということではありません。
「侵入されて困るようなマシンじゃないからあまり気にしていない」というような
姿勢は、間違っています。
無名サイトへの侵入は、侵入自体が目的ではなく、
他所への不正アクセスの"踏み台"にするのが目的であることが多いのです。
ということは、セキュリティホールを放置することは、
よそへの迷惑につながる、ということです。
たとえてみると、
自分のクルマに鍵を掛けず放置しておいたら盗まれてしまい、
テロリストに迫撃砲を載せられて大量殺戮に使用されてしまった…。
こんな状況になる、ということです。
自分が直接やったことではないにしても、かなり気まずくはないですか?
管理者向けのアドバイス:
ちゃんと逆引き設定をしているつもりなのに、逆引き関係でトラブルが出る場合、
まずは、「その問題のネットワークの外から」名前が引けるかどうか
テストしましょう。
他のネットワークが使えるならそちら(にあるDNS)でテストしてもいいし、
契約しているプロバイダのDNSに問い合わせを出してもいいでしょう。
$ nslookup xxx.xxx.xxx.xxx ns.your-provider.ne.jp
というように。
ちゃんと設定しているつもりでも実はミスっている例:
- 逆引きゾーンファイル内で、ホスト名をタイプミスしている
このため、逆引きしたホスト名で、正引きが行えず、
アクセス制限に引っかかることがあります。
(※現在は、本サーバではそこまでチェックしていません)
「逆引きしたホスト名で正引きを行う」ような場合は、
正引きが出来さえすれば、たいていのサーバは許してくれます。
- (クラスC以上のネットワークの場合)
逆引きネームサーバをJPNICに登録していない
けっこう、よくあります。
正引き(ドメイン)のネームサーバだけ登録して安心してしまうのでしょうか?
JPNICのwhoisを使って確認してください。
- (クラスC未満のネットワークの場合)
プロバイダのDNSから、あなたのDNSへの逆引きゾーンの権限委譲設定がされていない
原因 : {プロバイダが忘れている} | {プロバイダの処理が遅れている}
| {プロバイダに連絡するのをあなたが忘れている} |
{ プロバイダが逆引き問題を理解していない T_T }
これもけっこう、よくあります。この場合は自分のネットワークからも
逆引きに失敗します。
余談ですが、
DIONスタンダード(OCNアクセスラインを使った128kbpsのエコノミーサービス)の
場合、逆引き設定が正しいかを電話で話しつつ確認してくれて、
親切だなと感じました。
- クラスC未満のネットワークの場合で、
自分のネットワーク内では逆引きできるが、外部からはできない
クラスC気分で逆引き設定をしていませんか?
クラスC未満のネットワークの場合は、プロバイダのDNSからあなたのDNSへの
逆引きゾーンの権限委譲設定をしないと逆引きができません。
設定方法(ゾーンの命名のしかた)は、プロバイダによって異なりますので、
注意が必要です。(基本的なやりかたは同じですが)
…恥ずかしながら私も、はじめてOCNエコノミーを引いたときはクラスC気分で
逆引き設定を行い「どうして逆引き出来ないの?」と、
OCNサポートにバカな質問をしてしまいました。
- プロバイダから、IPアドレス1個だけをもらっている場合(レンタルサーバを借りている場合なども含む)
この場合は、プロバイダに逆引き設定を依頼するしかないでしょう。
(本来は設定するべきものなので、設定作業費などは発生しないと思います)
フレッツISDN・各社ADSL・CATVインターネットなどの、
主に個人向けのサービスで固定IPアドレスを1個だけ割り当てられた場合は、
おそらく任意のホスト名が引けるような逆引き設定はしてもらえないと思います。
(普通は、そのプロバイダのドメイン名がついたホスト名がついているでしょう)
レンタルサーバの場合は任意のホスト名を設定してもらえると思います。
余談ですが、本サーバはSRSさくらインターネット上で借りている
レンタルサーバなのですが(後記:現在は、違います)、
SRSさくらインターネットは逆引き問題についてまったくルーズであり、
客が申し出ないかぎり逆引き設定をしないようです。
私の場合は酷くて、契約した当初は、私が借りたサーバのIPアドレスは、
よその会社に割り当てられた状態のままでした T_T
- NSレコードがCNAMEを指している
NSレコード、MXレコードではCNAMEで定義したホストを指してはいけません。
(理由については、親切に説明してくださっているwebページがいくつも
ありますので御自分で検索してみてください)
bind(bind8以降?)起動時、NSレコードがCNAMEを指していると警告を出すはずです
(points to CNAME)。
ログを確認してください。
(あなたのDNSに問い合わせを出した側の)bind8は、
NSレコードがCNAMEを指していると、そのネームサーバは信用できない
ものとして無視するようです。
その場合でもセカンダリのNSを見に行くので結果的に名前は引ける場合が多い
ようですが、
(多くのサイトがセカンダリをプロバイダに引き受けてもらっており、
さすがにプロバイダのDNSがCNAMEなことは少ない)
逆引きゾーンについては、
セカンダリDNSを置いていない場合も多々あるようです。
もちろんこの場合逆引きができません。
はじめてDNSの設定をして、CNAMEというのを知ると、
一個しかホストがないくせについ見栄を張って(?)
www.example.co.jp とか
ftp.example.co.jp とか
ntp.example.co.jp とか
gw.example.co.jp とか
wais.example.co.jp とか
gopher.example.co.jp とかをCNAMEで作りたくなるものですが、イキオイ余って、
mx.example.co.jp とか
ns.example.co.jp とかまでCNAMEにしてはいけない、ということです。
別名にしたいのなら同一IPアドレスのAレコードにしましょう。
…恥ずかしながら私も2年くらい前までは、過ちを犯しておりました。
管理人 - administrator YAMAZAKI Akihiro
mailto: yza@yza.jp
※うちのメールサーバも、逆引き不可能な相手との接続は拒否します。
ご了承ください。