らをた広島

食べ歩きブログ

サーバーのSSL化 その2

maxresdefault
SSHでログイン。

ネットワーク設定の見直し。
# vi /etc/network/interfaces
元の設定に追加。
ネットワークアドレス
network 192.168.*.0
ブロードキャストアドレス
broadcast 192.168.*.255

IPv6 を無効化
# echo "net.ipv6.conf.all.disable_ipv6 = 1" >> /etc/sysctl.conf
# sysctl -p

DNSサーバー(BIND9)のインストール
ルーターの53/TCP,UDPポート開放。
# apt -y install bind9 bind9utils dnsutils
BIND9の設定
例としてグローバルアドレス [abc.def.ghi.jkl/29](実際は数字), プライベートアドレス [192.168.*.*/24], ドメイン名 [ドメイン.jp] とする。
# vi /etc/bind/named.conf
コメント化
# include "/etc/bind/named.conf.default-zones";
追記
include "/etc/bind/named.conf.internal-zones";
include "/etc/bind/named.conf.external-zones";

# vi /etc/bind/named.conf.internal-zones
新規作成、内部向けの定義
view "internal" {
match-clients {
localhost;
192.168.*.0/24;
};
zone "ドメイン.jp" {
type master;
file "/etc/bind/ドメイン.jp.lan";
allow-update { none; };
};
zone "*.168.192.in-addr.arpa" {
type master;
file "/etc/bind/*.168.192.db";
allow-update { none; };
};
include "/etc/bind/named.conf.default-zones";
};

# vi /etc/bind/named.conf.external-zones
新規作成、外部向け
view "external" {
match-clients { any; };
allow-query { any; };
recursion no;
zone "ドメイン.jp" {
type master;
file "/etc/bind/ドメイン.jp.wan";
allow-update { none; };
};
zone "jkl.ghi.def.abc.in-addr.arpa" {
type master;
file "/etc/bind/"jkl.ghi.def.abc.db";
allow-update { none; };
};
};

# vi /etc/bind/named.conf.options
追記
allow-query { localhost; 192.168.*.0/24; };
allow-transfer { localhost; 192.168.*.0/24; };
allow-recursion { localhost; 192.168.*.0/24; };

ゾーン情報設定
ルーターの443/TCPポート開放
内部向け正引き
# vi /etc/bind/ドメイン.jp.lan

$TTL 86400
@ IN SOA www.ドメイン.jp. root.ドメイン.jp. (
2018012715 ;Serial(適当な日にちを入力)
3600 ;Refresh
1800 ;Retry
604800 ;Expire
86400 ;Minimum TTL
)

IN NS www.ドメイン.jp.
IN A 192.168.*.*
IN MX 10 www.ドメイン.jp.
www IN A 192.168.*.*

外部向け正引き
# vi /etc/bind/ドメイン.jp.wan

$TTL 86400
@ IN SOA www.ドメイン.jp. root.ドメイン.jp. (
2018012715 ;Serial
3600 ;Refresh
1800 ;Retry
604800 ;Expire
86400 ;Minimum TTL
)

IN NS www.ドメイン.jp.
IN A abc.def.ghi.jkl
IN MX 10 www.ドメイン.jp.
www IN A abc.def.ghi.jkl

# systemctl restart ifup@enp2s0 resolvconf bind9

これで固定グローバルIPアドレスと自分のドメインの関係を調べるサイト等で確認する。

毎度のことながらこの記事は自分が忘備録として書いているだけなので正確性も保証しかねるし問題が起きても質問にも答えられないし責任も取れない。
debianはフリーのLinuxOSなのでそのへんは全て自己責任ということになるのを覚悟で実行してもらいたい。