Red Hat Enterprise Linux 6 (RHEL6) 忘備録

Internet Server Replaceの仕事でハマった忘備録

1. 名前解決できない

クライアント → BIND 9.7 →(forward first)→ BIND 9.2 → Internet

上記のような構成でBIND 9.7のDNSSEC Validationが有効だと名前解決に失敗する(status: SERVFAIL)
forward先もDNSSEC Validationに対応していないとダメらしい？
BIND 9.7の設定ファイル(/etc/named.conf)のDNSSECまわりをすべてコメントアウトした後、namedデーモンを再起動させるもservice named restartコマンドではエラーが発生して再起動できず。
kill -9 <namedデーモンのプロセス番号>でnamedデーモンを強制終了させた後、service named startでOK…chroot jailの関係なのか？namedデーモン起動中に設定ファイルを編集するのが良くないらしい？
これで正常に名前解決できるようになった。

2. webへアクセスできない
名前解決できたのも束の間、webにアクセスできない。

クライアント → (ip:192.168.0.3 port:12080)コンテンツフィルター → (ip:192.168.0.2 port:3128)Proxy → (port 80)Internet

上記のような構成でクライアントから直接webにアクセスさせないで、発信元が192.168.0.2のProxyからのみ許可。
サーバー統合で複数のサーバーを1台にまとめ、Primary ipとして192.168.0.1、Secondary ipとして192.168.0.2、192.168.0.3を割り当て、クライアント側の設定変更が一切発生しないように考慮したもの思うように動作せず。
firewallのブロックログからPrimary ipの192.168.0.1からInternetのport 80へアクセスしていることが判明。
Secondary ipで受信したパケットが外部に発信する際に送信元Primary ipになってしまうらしく…解決策を見出せず。
仕方なくfirewallのアクセスポリシーを変更してwebにアクセスできるようになった。

3. コンテンツフィルターが効かない
アクセスをブロックするはずのアダルトサイトにアクセスできる罠((((；ﾟДﾟ)))))))
上記の2つでドタバタしていたので、コンテンツフィルターがデータベースをダウンロードできず、データベースが空っぽの状態になっていたのが原因。
強制でデータベース全部をダウンロードさせたら問題解決…する筈なのにダメらしく。
クライアントのwebブラウザのキャッシュをクリアしたら問題解決。

問題解決まで30分、プロフェッショナルな方からは鼻で笑われちゃうような、ちっぽけな事象ぇ…((((；ﾟДﾟ)))))))
会社内で擬似環境を構築してシミュレーションするようにしてはいますが、哀しいかな金銭の都合で全くの同一環境を用意できないのよ。
でも問題が発生してもある程度の原因を絞り込めるのでまったく無意味ではありません。
最初からまったくの手探りで原因を追求するとなると正直なところ短時間では無理！
ネットワークスペシャリストとネットワークアナライザーなどのデバッグする環境がないと無理！