長らく所内でDNSサーバーを稼働しておりましたが、大学のレンタルサーバーを利用するに当たり、DNSサーバーを本日移管しました。

所内で、ScientificLinux6上にてbind9のDNSサービスを稼働してましたが、手が離れた事により、bindの脆弱性やOSのセキュリティも考慮しなくて良くなったので、一つ管理するサーバーが減り少し楽になりました。

ただし、長らくDNSサーバーを動作させていたので、ルータやWiFi等のいろんな機器が、今までのDNSサーバーに設定されたまま多く残ってます。

ですので、同じIPで新規に最新のLinuxOSを構築し、内部的なDNSサーバーとして、Dockerでdnsmasqを稼働することにしました。

これで、エンドユーザなどのクライアントが古い設定のままでもDNSを参照する事が可能となりますが、今までとは少し工夫が入ってます。

今までは、単にクライアントPC→DNSサーバー→上位DNSサーバーとなってましたが、dnsmasqでは、

  • ホスト名のみは上位へ問い合わせをせず、返答
  • ドメイン名にtsukuba.ac.jpが付くものは大学のDNSを参照
  • gmailやgoogleへのアクセスはGooglePublicDNSを参照
  • これ以外は、Neustar Recursive DNSを参照

Neustar Recursive DNSに関しては、ビジネスセキュリティにて、マルウェアに攻撃されているドメイン,ギャンブル、ポルノ、暴力、憎悪・差別,ゲーム、アダルト、薬物、アルコール、匿名プロキシをブロックします

速度的には、GoogleやCloudflareより遅いかもしれません。
職場ではセキュリティ重視にしましたが、もしかすると学生さんたちのゲームが繋がらなくなるかも??

追伸:ビジネスセキュリティの設定では、やはりゲーム関連が接続出来なくなりましたが、それ以外でも支障が出たので、ファミリーセキュリティへ設定し直しました。

次は、今月末にメールサーバーを移行する予定です