개인도메인만들기/네임서버설정

1. 상황

2. 어느 네임서버를 이용할 것인가

3. 네임서버 설치와 설정

3.1. /etc/named.conf 변경

3.2. /var/named/zone-gypark.pe.kr 추가

3.3. 네임서버 구동

4. 네임서버 동작 확인

[edit]1. 상황

• 도메인 : gypark.pe.kr
• 실제주소 : http://HHHHHH.snu.ac.kr/~gypark
• 실제호스트 : HHHHHH.snu.ac.kr (147.46.15.HHH)
• 네임서버 : NNNNNN.snu.ac.kr (147.46.15.NNN)

[edit]2. 어느 네임서버를 이용할 것인가

문제는 어느 네임서버에서 그 설정을 해 줄 것인가 하는 점. 크게 네 가지 길이 있었다.

• 서울대 네임서버 (147.46.80.1,147.46.80.2) 를 사용
  • 호스트가 서울대 내에 있는 것이기 때문에, 호스트가 위치한 전산망의 공식 네임서버를 사용하는 것이니 개념상 꽤 합당해보였다.
  • 전산원에서 관리하는 학내 공식 서버인만큼, 안정성이 보장된다.
  • but, 전산원에 전화로 문의한 결과, 서울대 전산원에서는 snu.ac.kr 로 끝나는 도메인 이외의 다른 도메인을 사용하는 것은 지원을 해 줄 수 없다는 답변을 받았다. 이 때 처음 알았는데, 학내에 있는 호스트에 다른 도메인을 사용한 경우는 전부 몰래(?) 하는 것이고, 전산원에서는 현재는 이를 묵인하고 있지만, 나중에 정책 변경 여하에 따라 이런 경우를 적발하여 차단할 수 있다고 한다.

• 외부 업체에서 제공하는 도메인 포워딩을 이용
  • (주)아이네임즈에서는 도메인 포워딩 서비스에 별도의 이용료를 받고 있었고, (주)아사달에서는 무료로 서비스를 제공하고 있었다. 그래서 일단 아사달에 회원 가입을 하고, 도메인 포워딩 서비스를 신청하였다.
  • /개인도메인의네임서버지정 과정을 통해서, 내 도메인의 네임서버를 아사달에서 공지한 네임서버로 설정하였다. (p1.asadal.net 211.233.39.186 , p2.asadal.net 211.233.38.28)
  • but, 결과가 상당히 불만족스러웠다. "유동 포워딩"과 "고정 포워딩" 두 가지 방식 중에서 선택할 수 있도록 되어 있었는데, 유동 포워딩 방식에서는, 웹브라우저의 주소창에 gypark.pe.kr 을 입력하면 그 주소를 실제 주소로 변경하여 refresh 하는 방식이다. 따라서 주소창에 실제 주소가 나타나 버린다. 고정 포워딩 방식에서는, gypark.pe.kr 로 접속했을 때 아사달 측의 서버에서 하나의 프레임으로 구성된 프레임셋을 출력하고, 그 프레임 안에 실제 주소의 페이지를 집어넣는 방식이다. 주소창의 도메인은 바뀌지 않지만, 내부에 있는 링크들은 모두 원래의 주소 그대로 나온다. 게다가 두 방식 모두, gypark.pe.kr/DateBK5/index.html 과 같이 하위 디렉토리나 파일을 직접 주소에 적어서 억세스하는 것이 불가능하다.

• 다른 네임서버를 이용
  • 누군가의 컴퓨터에 설치되어 동작하고 있는 네임서버를 이용하는 방법
  • 실제로 특정한 동호회나 동문회 사람들끼리 하나의 네임서버를 운영하여 구성원들의 도메인을 담당하게 하는 경우를 볼 수 있다.
  • but, 네임서버 관리자와 친분이 있지 않으면 부탁하기 힘들다. :-) 게다가, 그 네임서버의 안정성을 신뢰하기 힘들다.

• 홈페이지가 있는 서버 (HHHHHH.snu.ac.kr) 에서 직접 네임서버를 운영
  • 네임서버 관리의 권한이 연구실에 있으므로 설정 변경 등을 맘대로 할 수 있다.
  • 네트웍 안정성이 큰 문제가 되지 않는다. (네임서버가 접속이 안 되는 상황이라면 어차피 홈페이지도 접속이 안 된다는 것이니..)
  • but, 네임서버 설정하는 것에 전혀 문외한이었고, 무엇보다도 네임서버는 외부 공격에 매우 취약하여 보안상 문제점이 많다. 웬만한 해킹 사례를 보면 bind 나 기타 nameserver 의 헛점을 노렸다는 얘기는 빠지지 않고 나온다. 항상 보안 관련 뉴스에 귀기울여야 함.

처음에는 네번째 방법, 즉 HHHHHH에 직접 네임서버를 설치하는 것을 택했는데, HHHHHH가 연구실에서 꽤 중요한 비중을 차지하는 서버이기 때문에 아무래도 맘에 걸려서, 세번째 방법과 결합하였다. 즉 연구실 내 다른 서버(NNNNNN)에 네임서버를 설치하고 운영하기로 하였다.

[edit]3. 네임서버 설치와 설정

NNNNNN 에는 레드햇 리눅스가 설치되어 있었고, bind-9.*.* 이 이미 설치되어 있었다. 따라서 설정만 변경해 주고 구동하면 되었다. (소스를 직접 컴파일하는 경우는 http://www.isc.org 에서 최신 버전을 다운로드 할 수 있다. (이 사이트는 하나로통신을통해접속할수없는웹사이트들 중 하나이다.)

다음의 화일들을 수정 또는 추가하였다. 전혀 모르는 상태에서 여러 웹사이트들을 뒤지면서 끙끙대었음...

[edit]3.1. /etc/named.conf 변경

options {
    directory "/var/named";
    /*
     * If there is a firewall between you and nameservers you want
     * to talk to, you might need to uncomment the query-source
     * directive below.  Previous versions of BIND always asked
     * questions using port 53, but BIND 8.1 uses an unprivileged
     * port by default.
     */
    // query-source address * port 53;
    // 아래 네 줄을 추가
    allow-transfer { none; };   // 다른 네임서버에서 zone 설정을 가져가지 못하게 한다
    allow-query { none; };      // 기본적으로 모든 네임서버 질의에 응답하지 않는다. 
                                // 따라서 이 서버를 DNS 서버로 지정하여 사용할 수는 없다.
    recursion no;               // 역시 보안을 고려하여 recursive 모드 금지
    version "No!!";
};

(중략)

// 아래의 zone 설정을 추가
zone "gypark.pe.kr" IN {
    type master;
    file "zone-gypark.pe.kr";    // 이 화일을 /var/named 에 추가해주어야 함
    notify no;
    allow-query { any; };        // 이 도메인에 대한 질의에만 응답한다.
    allow-update { none; };
    allow-transfer { none; };
};

(이하 생략)

[edit]3.2. /var/named/zone-gypark.pe.kr 추가

$TTL  3600
@   IN    SOA    ns.gypark.pe.kr.     gypark.HHHHHH.snu.ac.kr.    (
    2002091501         ; Serial
    84600              ; Refresh
    1800               ; Retry
    1209600            ; Expire
    3600  )            ; Minimum

    IN    NS     ns.gypark.pe.kr.

ns                   IN    A    147.46.15.NNN   ; ns.gypark.pe.kr 은 NNNNNN
gypark.pe.kr.        IN    A    147.46.15.HHH   ; gypark.pe.kr 은 HHHHHH
www.gypark.pe.kr.    IN    A    147.46.15.HHH   ; www.gypark.pe.kr 도 HHHHHH 의 IP 를 사용

[edit]3.3. 네임서버 구동

/etc/init.d/named start

부팅시 자동으로 구동되도록 하기 위해 /etc/rc.local 화일에 다음의 항목을 추가하였다.

/etc/init.d/named start &

[edit]4. 네임서버 동작 확인

raymundo@raymundus:~$ nslookup
Note:  nslookup is deprecated and may be removed from future releases.
Consider using the `dig' or `host' programs instead.  Run nslookup with
the `-sil[ent]' option to prevent this message from appearing.
> server 147.46.15.NNN               (NNNNNN 을 네임서버로 지정)
Default server: 147.46.15.NNN
Address: 147.46.15.NNN#53
> ns.gypark.pe.kr
Server:         147.46.15.NNN
Address:        147.46.15.NNN#53

Name:   ns.gypark.pe.kr
Address: 147.46.15.NNN               (ns.gypark.pe.kr 질의 - 성공)
> gypark.pe.kr
Server:         147.46.15.NNN
Address:        147.46.15.NNN#53

Name:   gypark.pe.kr
Address: 147.46.15.HHH               (gypark.pe.kr 질의 - 성공)
> www.gypark.pe.kr
Server:         147.46.15.NNN
Address:        147.46.15.NNN#53

Name:   www.gypark.pe.kr
Address: 147.46.15.HHH               (www.gypark.pe.kr 질의 - 성공)
> plaza1.snu.ac.kr
Server:         147.46.15.NNN
Address:        147.46.15.NNN#53

** server can't find plaza1.snu.ac.kr: REFUSED    (그 외의 도메인에 대한 질의 - 설정에 의해 거부됨)

네임서버설정이 완료되면, 이 네임서버를 내가 등록한 도메인의 네임서버로 지정해 주어야 한다. /개인도메인의네임서버지정 참조

• from [수퍼유저코리아]
• http://www.superuser.co.kr/linux/dbakorea/page21.htm - DNS서버만들기
• http://www.superuser.co.kr/dns/name_server/page01.htm - /etc/named.conf 설정하기
• http://www.superuser.co.kr/dns/name_server/page02.htm - zone 화일 설정하기

• http://nlias.org/stories.php?story=02/02/16/4530760 - DNS 안전 운용 가이드 from [NLIAS.org]