Name Server 総合スレ【DNS】
立ててみるだよもん
●主なオープンソース
BIND
ttps://www.isc.org/software/bind
djbdns
ttp://djbdns.qmail.jp/
NSD
ttp://www.nlnetlabs.nl/projects/nsd/
Unbound
ttp://unbound.net/
●規格
RFC1034, 1035
ttp://www.ietf.org/rfc/rfc1034.txt
ttp://www.ietf.org/rfc/rfc1035.txt
●アプライアンス
Nominum
ttp://www.nominum.com/
Infoblox
ttp://www.infoblox.co.jp/
●主なオープンソース
BIND
ttps://www.isc.org/software/bind
djbdns
ttp://djbdns.qmail.jp/
NSD
ttp://www.nlnetlabs.nl/projects/nsd/
Unbound
ttp://unbound.net/
●規格
RFC1034, 1035
ttp://www.ietf.org/rfc/rfc1034.txt
ttp://www.ietf.org/rfc/rfc1035.txt
●アプライアンス
Nominum
ttp://www.nominum.com/
Infoblox
ttp://www.infoblox.co.jp/
|
|
|
2 :名無しさん@お腹いっぱい。:2008/11/26(水) 01:15:36
●関連スレ
djb(4)
http://pc11.2ch.net/test/read.cgi/unix/1148064021/
NSD - Name Server Daemon
http://pc11.2ch.net/test/read.cgi/unix/1092799781/
▲DHCPスレ
http://pc11.2ch.net/test/read.cgi/unix/997686566/
DNS (Domain Name System) 総合
http://pc11.2ch.net/test/read.cgi/network/1159978850/ (節穴注意)
●ついでに
ISC DHCP
ttps://www.isc.org/sw/dhcp
NIS
ttp://docs.sun.com/app/docs/doc/817-4911?l=Ja
NIS+
ttp://docs.sun.com/app/docs/doc/816-6236?l=Ja
Windows Server のDNSは省略だよもん
djb(4)
http://pc11.2ch.net/test/read.cgi/unix/1148064021/
NSD - Name Server Daemon
http://pc11.2ch.net/test/read.cgi/unix/1092799781/
▲DHCPスレ
http://pc11.2ch.net/test/read.cgi/unix/997686566/
DNS (Domain Name System) 総合
http://pc11.2ch.net/test/read.cgi/network/1159978850/ (節穴注意)
●ついでに
ISC DHCP
ttps://www.isc.org/sw/dhcp
NIS
ttp://docs.sun.com/app/docs/doc/817-4911?l=Ja
NIS+
ttp://docs.sun.com/app/docs/doc/816-6236?l=Ja
Windows Server のDNSは省略だよもん
3 :名無しさん@お腹いっぱい。:2008/11/26(水) 01:27:49
ダイナミックDNSについて語りませんか?
http://pc11.2ch.net/test/read.cgi/hosting/1004200355/
?レンタルDNSサーバ
http://pc11.2ch.net/test/read.cgi/hosting/1018780116/
ダイナミックDNSについて語ろう Part6
http://pc11.2ch.net/test/read.cgi/mysv/1165262414/
DDNSサービスサーバ作ってみたわけだが(^_^;)
http://pc11.2ch.net/test/read.cgi/mysv/1095412433/
DDNSで自宅鯖やっている学生どもはクズが多い
http://pc11.2ch.net/test/read.cgi/mysv/1070173236/
DNSで使用しているプロトコルを教えてください。
http://pc11.2ch.net/test/read.cgi/hack/1017156027/
DNSプロトコルの脆弱性情報 漏洩する
http://pc11.2ch.net/test/read.cgi/sec/1216822395/
ISPのDNSのキャッシュ書き換え時間について
http://pc11.2ch.net/test/read.cgi/network/1007295804/
DNSって?
http://pc11.2ch.net/test/read.cgi/network/1000134177/
DNSの参照
http://pc11.2ch.net/test/read.cgi/network/1005205639/
DNSが落ちててもIPアドレスが知りたい
http://pc11.2ch.net/test/read.cgi/network/1010769515/
BIND8.2.2 for Win32 論争
http://pc11.2ch.net/test/read.cgi/network/978889967/
DNSの安全性をチェックするスレ
http://pc11.2ch.net/test/read.cgi/isp/1217057555/
ネタスレも含めて集めてみた
http://pc11.2ch.net/test/read.cgi/hosting/1004200355/
?レンタルDNSサーバ
http://pc11.2ch.net/test/read.cgi/hosting/1018780116/
ダイナミックDNSについて語ろう Part6
http://pc11.2ch.net/test/read.cgi/mysv/1165262414/
DDNSサービスサーバ作ってみたわけだが(^_^;)
http://pc11.2ch.net/test/read.cgi/mysv/1095412433/
DDNSで自宅鯖やっている学生どもはクズが多い
http://pc11.2ch.net/test/read.cgi/mysv/1070173236/
DNSで使用しているプロトコルを教えてください。
http://pc11.2ch.net/test/read.cgi/hack/1017156027/
DNSプロトコルの脆弱性情報 漏洩する
http://pc11.2ch.net/test/read.cgi/sec/1216822395/
ISPのDNSのキャッシュ書き換え時間について
http://pc11.2ch.net/test/read.cgi/network/1007295804/
DNSって?
http://pc11.2ch.net/test/read.cgi/network/1000134177/
DNSの参照
http://pc11.2ch.net/test/read.cgi/network/1005205639/
DNSが落ちててもIPアドレスが知りたい
http://pc11.2ch.net/test/read.cgi/network/1010769515/
BIND8.2.2 for Win32 論争
http://pc11.2ch.net/test/read.cgi/network/978889967/
DNSの安全性をチェックするスレ
http://pc11.2ch.net/test/read.cgi/isp/1217057555/
ネタスレも含めて集めてみた
4 :名無しさん@お腹いっぱい。:2008/11/26(水) 01:30:41
あとdjbdnsはこっちが本家ね
ttp://cr.yp.to/djbdns.html
ttp://cr.yp.to/djbdns.html
5 :名無しさん@お腹いっぱい。:2008/11/26(水) 01:54:07
乙だよもん
6 :名無しさん@お腹いっぱい。:2008/11/26(水) 07:35:37
ルートサーバーの中の人はおらんか?
7 :名無しさん@お腹いっぱい。:2008/11/27(木) 07:50:06
8 :名無しさん@お腹いっぱい。:2008/11/27(木) 16:47:21
PowerDNS ttp://www.powerdns.com/ はプロプライエタリ?
9 :名無しさん@お腹いっぱい。:2008/11/28(金) 15:18:01
djbdnsでDKIM設定をやろうとしてレコードに公開鍵を設定したけど
実際にtxtで引くと下の用に途中で切れてしまう。
gBhRpVI8v70VWZo8p1txrvO" "IKI7xOxRN5uxtuwkCAwEAAQ==\" \; ----- DKIM selecto
128バイト以上だと駄目なのかな?
実際にtxtで引くと下の用に途中で切れてしまう。
gBhRpVI8v70VWZo8p1txrvO" "IKI7xOxRN5uxtuwkCAwEAAQ==\" \; ----- DKIM selecto
128バイト以上だと駄目なのかな?
10 :名無しさん@お腹いっぱい。:2008/11/28(金) 23:16:58
djbdnsだからなぁ・・・
11 :名無しさん@お腹いっぱい。:2008/11/30(日) 21:01:35
djbdnsのparseがおかしいのかな?
今更コード読む気もおきん...
今更コード読む気もおきん...
12 :名無しさん@お腹いっぱい。:2008/12/03(水) 00:59:00
DHCPDのオプソ実装ってISCだけ?
13 :名無しさん@お腹いっぱい。:2008/12/03(水) 09:11:24
WIDE も作ってたよ。最近は開発止まってるみたいだけど。
14 :名無しさん@お腹いっぱい。:2008/12/04(木) 08:34:11
WIDE版にはよく泣かされました・・・
15 :名無しさん@お腹いっぱい。:2008/12/05(金) 23:37:35
bindiからbind9へバージョンアップをしようとしています
プライマリ/プロバイダのセカンダリ2台構成なのですが、今回はバージョンアップ
だけでゾーンファイル等の変更は行いません
プライマリバージョンアップ後の動作確認として基本的な動作確認はするのですが
実際にセカンダリにゾーン転送されるかって確認はしたほうがいいんでしょうか?
セカンダリはプロバイダ持ちなのでプライマリ所有ゾーンファイルのシリアル値を増やしてHUPし、
シリアル値が増えるのを確認するぐらいしかないのですが・・・・・
プライマリ/プロバイダのセカンダリ2台構成なのですが、今回はバージョンアップ
だけでゾーンファイル等の変更は行いません
プライマリバージョンアップ後の動作確認として基本的な動作確認はするのですが
実際にセカンダリにゾーン転送されるかって確認はしたほうがいいんでしょうか?
セカンダリはプロバイダ持ちなのでプライマリ所有ゾーンファイルのシリアル値を増やしてHUPし、
シリアル値が増えるのを確認するぐらいしかないのですが・・・・・
16 :名無しさん@お腹いっぱい。:2008/12/06(土) 19:15:39
>>15
しない方がいいと思える理由は?
しない方がいいと思える理由は?
17 :名無しさん@お腹いっぱい。:2008/12/08(月) 10:52:17
bindiって何?
18 :名無しさん@お腹いっぱい。:2008/12/11(木) 00:16:58
ビンディー!
19 :名無しさん@お腹いっぱい。:2008/12/17(水) 00:44:47
だよもん
20 :名無しさん@お腹いっぱい。:2008/12/26(金) 16:01:38
ぱにーに!
21 :名無しさん@お腹いっぱい。:2008/12/27(土) 11:40:08
NISをいまだに使っている人っている?
うち、まだNISを使っていてDNSへの変更を提案したら、
「今動いているものをなぜ変える必要があるんだ!」と言われた・・・。
うち、まだNISを使っていてDNSへの変更を提案したら、
「今動いているものをなぜ変える必要があるんだ!」と言われた・・・。
22 :名無しさん@お腹いっぱい。:2008/12/27(土) 12:33:18
> 「今動いているものをなぜ変える必要があるんだ!」と言われた・・・。
君がなんで DNS に変えたがってるのかの説明ができてないだけかと
君がなんで DNS に変えたがってるのかの説明ができてないだけかと
23 :名無しさん@お腹いっぱい。:2008/12/29(月) 20:26:15
Fri Sep 21 07:57:01 UTC 2007
meti.go.jp NS ns.osaka.spin.ad.jp
hqm-sdnsg01.meti.go.jp postmaster.meti.go.jp (2007091300 10800 3600 604800 300)
meti.go.jp NS ns2.iprevolution.co.jp
hqm-sdnsg01.meti.go.jp postmaster.meti.go.jp (2007091300 10800 3600 604800 300)
meti.go.jp NS hqm-sdnsg01.meti.go.jp
hqm-sdnsg01.meti.go.jp postmaster.meti.go.jp (2007022801 10800 3600 604800 300)
!!! hqm-sdnsg01.meti.go.jp and ns2.iprevolution.co.jp have different serial for meti.go.jp
meti.go.jp NS hqm-sdnsg02.meti.go.jp
hqm-sdnsg01.meti.go.jp postmaster.meti.go.jp (2007022801 10800 3600 604800 300)
meti.go.jp NS ndrs-sdnsg01.meti.go.jp
hqm-sdnsg01.meti.go.jp postmaster.meti.go.jp (2007091300 10800 3600 604800 300)
!!! ndrs-sdnsg01.meti.go.jp and hqm-sdnsg02.meti.go.jp have different serial for meti.go.jp
meti.go.jp NS ns.osaka.spin.ad.jp
hqm-sdnsg01.meti.go.jp postmaster.meti.go.jp (2007091300 10800 3600 604800 300)
meti.go.jp NS ns2.iprevolution.co.jp
hqm-sdnsg01.meti.go.jp postmaster.meti.go.jp (2007091300 10800 3600 604800 300)
meti.go.jp NS hqm-sdnsg01.meti.go.jp
hqm-sdnsg01.meti.go.jp postmaster.meti.go.jp (2007022801 10800 3600 604800 300)
!!! hqm-sdnsg01.meti.go.jp and ns2.iprevolution.co.jp have different serial for meti.go.jp
meti.go.jp NS hqm-sdnsg02.meti.go.jp
hqm-sdnsg01.meti.go.jp postmaster.meti.go.jp (2007022801 10800 3600 604800 300)
meti.go.jp NS ndrs-sdnsg01.meti.go.jp
hqm-sdnsg01.meti.go.jp postmaster.meti.go.jp (2007091300 10800 3600 604800 300)
!!! ndrs-sdnsg01.meti.go.jp and hqm-sdnsg02.meti.go.jp have different serial for meti.go.jp
24 :名無しさん@お腹いっぱい。:2009/01/22(木) 01:33:02
今日はひどいね。。。
めんどいのでアタック系のアドレス前拒否で。
view "external" {
match-clients { any; !76.0.0.0; !66.0.0.0; };
match-destinations { any; };
recursion no;
めんどいのでアタック系のアドレス前拒否で。
view "external" {
match-clients { any; !76.0.0.0; !66.0.0.0; };
match-destinations { any; };
recursion no;
25 :名無しさん@お腹いっぱい。:2009/01/22(木) 01:34:27
拒否ったのはいいが、66とか76とかってCN?
26 :名無しさん@お腹いっぱい。:2009/01/22(木) 01:35:31
おお!!squidセきゅでリピートカキコ
27 :名無しさん@お腹いっぱい。:2009/01/22(木) 01:38:20
なるほどね
28 :名無しさん@お腹いっぱい。:2009/01/22(木) 01:42:54
あっさりアタック系のアラートメール止まった。このままなら朝までにメールが10000通ペースだべさ
cn氏ね
idも市ね
cn氏ね
idも市ね
29 :名無しさん@お腹いっぱい。:2009/01/22(木) 01:52:30
なんだ66.0.0.0も76.0.0.0も喜多籠めじゃん
追浜市ね
&串四ね
追浜市ね
&串四ね
30 :名無しさん@お腹いっぱい。:2009/02/02(月) 10:19:27
とあるDNSサーバに設定されている1つのドメインの情報について、
外部から丸ごと、一覧で見る事って出来る?
例えば、2ch.net だったら、ns1.maido3.com から、ns1.maido3.com内の2ch.netに関するレコードを全部一覧で見る、みたいな。
説明下手でごめん…変なトコとかあったら指摘をお願い。
それともう一つ、DNSについて「ここが参考になった」「俺はここで勉強した」っていう
良さそうなサイトがあったら教えておくれ。
外部から丸ごと、一覧で見る事って出来る?
例えば、2ch.net だったら、ns1.maido3.com から、ns1.maido3.com内の2ch.netに関するレコードを全部一覧で見る、みたいな。
説明下手でごめん…変なトコとかあったら指摘をお願い。
それともう一つ、DNSについて「ここが参考になった」「俺はここで勉強した」っていう
良さそうなサイトがあったら教えておくれ。
31 :名無しさん@お腹いっぱい。:2009/02/02(月) 12:06:36
32 :名無しさん@お腹いっぱい。:2009/02/02(月) 12:41:06
33 :名無しさん@お腹いっぱい。:2009/02/05(木) 20:09:57
VMwareにCentOS入れてDNS勉強始めたんですが、ローカルでの正引きができません
//
// named.caching-nameserver.conf
//
中略
// to create named.conf - edits to this file will be lost on
// caching-nameserver package upgrade.
//
options {
directory "/var/named";
};
zone "example.com" IN {
type master;
file "example.com.zone";
};
//
// named.caching-nameserver.conf
//
中略
// to create named.conf - edits to this file will be lost on
// caching-nameserver package upgrade.
//
options {
directory "/var/named";
};
zone "example.com" IN {
type master;
file "example.com.zone";
};
34 :名無しさん@お腹いっぱい。:2009/02/05(木) 20:11:24
$TTL 86400
@ IN SOA server1.example.com. test.example.com.(
2009020505 ; serial
3600 ; refresh 1hr
900 ; retry 15min
604800 ; expire 1w
86400 ; min 24hr
)
IN NS server1
server1 IN A 192.168.1.1
server2 IN A 192.168.1.2
server3 IN A 192.168.1.3
host IN A 192.168.1.4
書式とか間違ってますか・・・?
サーバ自身からドメインでpingすると、時間はかかりますが一応名前解決できています。
同一ネットワーク内のPCからだと失敗しますが・・・
@ IN SOA server1.example.com. test.example.com.(
2009020505 ; serial
3600 ; refresh 1hr
900 ; retry 15min
604800 ; expire 1w
86400 ; min 24hr
)
IN NS server1
server1 IN A 192.168.1.1
server2 IN A 192.168.1.2
server3 IN A 192.168.1.3
host IN A 192.168.1.4
書式とか間違ってますか・・・?
サーバ自身からドメインでpingすると、時間はかかりますが一応名前解決できています。
同一ネットワーク内のPCからだと失敗しますが・・・
35 :名無しさん@お腹いっぱい。:2009/02/05(木) 20:13:03
C:\Documents and Settings\@@@@>nslookup
DNS request timed out.
timeout was 2 seconds.
*** Can't find server name for address 192.168.1.1: Timed out
*** Default servers are not available
Default Server: UnKnown
Address: 192.168.1.1
> localhost
Server: UnKnown
Address: 192.168.1.1
DNS request timed out.
timeout was 2 seconds.
*** Request to UnKnown timed-out
> server1.example.com
Server: UnKnown
Address: 192.168.1.1
ipaddressでのpingは相互に成功しますがこっちはダメでした
DNS request timed out.
timeout was 2 seconds.
*** Can't find server name for address 192.168.1.1: Timed out
*** Default servers are not available
Default Server: UnKnown
Address: 192.168.1.1
> localhost
Server: UnKnown
Address: 192.168.1.1
DNS request timed out.
timeout was 2 seconds.
*** Request to UnKnown timed-out
> server1.example.com
Server: UnKnown
Address: 192.168.1.1
ipaddressでのpingは相互に成功しますがこっちはダメでした
36 :名無しさん@お腹いっぱい。:2009/02/05(木) 20:32:12
37 :名無しさん@お腹いっぱい。:2009/02/05(木) 20:42:28
38 :名無しさん@お腹いっぱい。:2009/02/06(金) 09:35:58
.confでlocalhost以外からの問い合わせは許可してる?
39 :名無しさん@お腹いっぱい。:2009/02/07(土) 13:13:01
すまん、どこで聞いたらいいかわからなかったんで優しいお前らに質問させてくれ
レジストリに登録してあるドメイン情報の中のDNSサーバについてなんだけれども
name1.com(222.222.222.222) というドメインを所有し、
専用サーバ会社のサーバを借りて運用しているとして、これのDNSサーバとして下の2つを使いたい
○ 専用サーバ会社のDNSサーバ、 test2.sen-you.com(111.111.111.111)
○ 自分のサーバ、name1.com(222.222.222.222)ns.name1.comの別名アリ
※test2.sen-you.com は name1.com からゾーン転送でname1.comと同じDNS情報を持っている
こういうとき、レジストリへのDNSサーバの登録って、どうすれば良いんだろう?
ns1.name1.com や name1.com をDNSサーバとして、そのままの名前で登録しちゃうとループする気がして。
わかり辛くてすまんが教えてくれ
レジストリに登録してあるドメイン情報の中のDNSサーバについてなんだけれども
name1.com(222.222.222.222) というドメインを所有し、
専用サーバ会社のサーバを借りて運用しているとして、これのDNSサーバとして下の2つを使いたい
○ 専用サーバ会社のDNSサーバ、 test2.sen-you.com(111.111.111.111)
○ 自分のサーバ、name1.com(222.222.222.222)ns.name1.comの別名アリ
※test2.sen-you.com は name1.com からゾーン転送でname1.comと同じDNS情報を持っている
こういうとき、レジストリへのDNSサーバの登録って、どうすれば良いんだろう?
ns1.name1.com や name1.com をDNSサーバとして、そのままの名前で登録しちゃうとループする気がして。
わかり辛くてすまんが教えてくれ
40 :名無しさん@お腹いっぱい。:2009/02/07(土) 15:10:26
41 :名無しさん@お腹いっぱい。:2009/02/07(土) 15:16:23
当該所有組織の中の人かもね!
42 :名無しさん@お腹いっぱい。:2009/02/07(土) 15:17:39
>>39
1. name1.com の ネームサーバとして ns1.name1.com, ns2.name1.com を登録する
2. ns1.name1.com の IP アドレスとして 222.222.222.222
ns2.name1.com の IP アドレスとして 111.111.111.111
を登録する
3. name1.com のゾーン情報でゾーン自体に A レコードを書いて 222.222.222.222 を書く
4. test2.sen-you.com の IPアドレスが変わるとホスティング屋に言われたら
ns2.name1.com の登録情報を変更する
以上
1. name1.com の ネームサーバとして ns1.name1.com, ns2.name1.com を登録する
2. ns1.name1.com の IP アドレスとして 222.222.222.222
ns2.name1.com の IP アドレスとして 111.111.111.111
を登録する
3. name1.com のゾーン情報でゾーン自体に A レコードを書いて 222.222.222.222 を書く
4. test2.sen-you.com の IPアドレスが変わるとホスティング屋に言われたら
ns2.name1.com の登録情報を変更する
以上
43 :名無しさん@お腹いっぱい。:2009/02/07(土) 18:32:49
>>39
name1.com のゾーンを登録しているサーバーは以下の通り。
name1.com. 86236 IN NS c.ns.joker.com.
name1.com. 86236 IN NS a.ns.joker.com.
name1.com. 86236 IN NS b.ns.joker.com.
sen-you.com についてはまだドメイン登録されていないようです。
name1.com のゾーンを登録しているサーバーは以下の通り。
name1.com. 86236 IN NS c.ns.joker.com.
name1.com. 86236 IN NS a.ns.joker.com.
name1.com. 86236 IN NS b.ns.joker.com.
sen-you.com についてはまだドメイン登録されていないようです。
なんだかんだで相手をしてくれるお前らはやっぱり優しいな
>>40
すまん・・・クセでつい。次からそうするよ。
>>42
専用サーバ会社のDNS、test2.example.com(変えた)を
自分のDNSサーバ、 example.jp(これも変えた)にns2として登録する意味はなに?
そんな事をしても、
1. test2.example.com (111.111.111.111)
2. ns1.example.jp (222.222.222.222)
3. ns2.example.jp (111.111.111.111)
上の3つをレジストリに登録した場合、1.だけ他のドメインから名前解決されて
他の2つ、2.と3.は名前解決出来ずにループしない?
ns1.example.jpはどこ => example.jp の配下だからexample.jpのDNSに聞こう =>
=> example.jpのDNSはどこ => ns1.exampleだ => ns1.exampleはどこ => 以下ループ
でもこう考えていくと、どんなホスト名も解決出来なくなる気がしてならない。
>>41,>>43
name1.comの中の人すまんwwwww
>>40
すまん・・・クセでつい。次からそうするよ。
>>42
専用サーバ会社のDNS、test2.example.com(変えた)を
自分のDNSサーバ、 example.jp(これも変えた)にns2として登録する意味はなに?
そんな事をしても、
1. test2.example.com (111.111.111.111)
2. ns1.example.jp (222.222.222.222)
3. ns2.example.jp (111.111.111.111)
上の3つをレジストリに登録した場合、1.だけ他のドメインから名前解決されて
他の2つ、2.と3.は名前解決出来ずにループしない?
ns1.example.jpはどこ => example.jp の配下だからexample.jpのDNSに聞こう =>
=> example.jpのDNSはどこ => ns1.exampleだ => ns1.exampleはどこ => 以下ループ
でもこう考えていくと、どんなホスト名も解決出来なくなる気がしてならない。
>>41,>>43
name1.comの中の人すまんwwwww
45 :名無しさん@お腹いっぱい。:2009/02/07(土) 21:10:40
ループ?
運用に関わるなら最低限の勉強してこい
運用に関わるなら最低限の勉強してこい
46 :名無しさん@お腹いっぱい。:2009/02/07(土) 22:17:32
>>44
>>45氏の言うとおり、もう少し勉強してからやった方が良いぜ。
そんな知識で実際に運用されたらかなわん。
問い:ns1.example.jp の IP がワカラン。 example.jp のゾーン情報を持っているのはどのホストだ?
この問いかけを ns1.example.jp に投げる事が出来たら神だろ。
example.jp ゾーンのネームサーバー名を問い合わせる先は ns1.example.jp ではないという事だ。
>>45氏の言うとおり、もう少し勉強してからやった方が良いぜ。
そんな知識で実際に運用されたらかなわん。
問い:ns1.example.jp の IP がワカラン。 example.jp のゾーン情報を持っているのはどのホストだ?
この問いかけを ns1.example.jp に投げる事が出来たら神だろ。
example.jp ゾーンのネームサーバー名を問い合わせる先は ns1.example.jp ではないという事だ。
>>46
んだよな。
だからこれまではexample.jpにゾーン情報書いて外部ドメインのDNSサーバへのゾーン転送許可して、
レジストリには外部ドメインのDNSサーバだけ登録してたんだけど…
whoisで見たら某ホスティング会社のDNSサーバと自ドメインのサーバのみを登録してる所があってな。
そんなんアリなのかよオイ、と思って聞いてみたんだ。
みんなd、もっと勉強してくる。
んだよな。
だからこれまではexample.jpにゾーン情報書いて外部ドメインのDNSサーバへのゾーン転送許可して、
レジストリには外部ドメインのDNSサーバだけ登録してたんだけど…
whoisで見たら某ホスティング会社のDNSサーバと自ドメインのサーバのみを登録してる所があってな。
そんなんアリなのかよオイ、と思って聞いてみたんだ。
みんなd、もっと勉強してくる。
48 :名無しさん@お腹いっぱい。:2009/02/09(月) 01:35:58
>>44
>自分のDNSサーバ、 example.jp(これも変えた)にns2として登録する意味はなに?
メリット:余計な再帰的名前参照が発生しない / ドメインハイジャックの危険性の低減
(後者については http://www.e-ontap.com/summary/ が参考になるやも)
デメリット:プロバイダのDNSコンテンツサーバのIPアドレス変更がユーザに告知されずに行われたら悲惨
その例なら1. の test2.example.com を登録する必要はない
>自分のDNSサーバ、 example.jp(これも変えた)にns2として登録する意味はなに?
メリット:余計な再帰的名前参照が発生しない / ドメインハイジャックの危険性の低減
(後者については http://www.e-ontap.com/summary/ が参考になるやも)
デメリット:プロバイダのDNSコンテンツサーバのIPアドレス変更がユーザに告知されずに行われたら悲惨
その例なら1. の test2.example.com を登録する必要はない
49 :名無しさん@お腹いっぱい。:2009/02/09(月) 20:08:28
DNS cache poisoning のアタックが鬱陶しいし、Logが肥大化してうざい。
何か、対策してます?
私の環境は、CentOS5 です。
何か、書かないと無理だろうなぁ・・・
何か、対策してます?
私の環境は、CentOS5 です。
何か、書かないと無理だろうなぁ・・・
50 :名無しさん@お腹いっぱい。:2009/02/09(月) 20:31:32
その前で止めればいいよ
51 :名無しさん@お腹いっぱい。:2009/02/20(金) 11:17:33
うろ覚えなんだけど、公開してるドメインを入力すると、
DNSの設定吸い上げて問題点指摘してくれるところがあった。
Another HTML-lintのDNS版みたいな感じ。
今探しなおしても出てこないんだけど、どこかにそういうサイトないかな?
DNSの設定吸い上げて問題点指摘してくれるところがあった。
Another HTML-lintのDNS版みたいな感じ。
今探しなおしても出てこないんだけど、どこかにそういうサイトないかな?
52 :名無しさん@お腹いっぱい。:2009/02/20(金) 11:46:17
細かいチェックは有償になってしまったけど
http://member.dnsstuff.com/pages/dnsreport.php
http://member.dnsstuff.com/pages/dnsreport.php
53 :名無しさん@お腹いっぱい。:2009/02/20(金) 16:32:46
>>52
とんくす。
昔見たのも、多分このDNSReportだと思う。
21日の間にキャンセルすれば無料なんだけど、キャンセル前提でもクレジット番号送らないといけない。
そこに抵抗なければ使えるかな。
万が一請求来たら報告するw
とんくす。
昔見たのも、多分このDNSReportだと思う。
21日の間にキャンセルすれば無料なんだけど、キャンセル前提でもクレジット番号送らないといけない。
そこに抵抗なければ使えるかな。
万が一請求来たら報告するw
54 :名無しさん@お腹いっぱい。:2009/02/20(金) 23:09:02
55 :55:2009/02/27(金) 14:50:20
http://www.zoneedit.com/signup.html
上のURLから、無料ネームサーバー登録で、
[Sign Up Now]を押したが1時間たってもメールが届かないのです。
ちなみに、あるレンタルで再販するために、
このフリーネームサーバーを利用していました。
登録ごとに異なるアドレスを使い、yahoo.co.jpなどでも試してみたが、
パスワードが送られてこないのです。
本日になってzoneeditからメールが届かないという状況になりました。
理由だれか知ってますか。教えてほしいのです。ねらー様
上のURLから、無料ネームサーバー登録で、
[Sign Up Now]を押したが1時間たってもメールが届かないのです。
ちなみに、あるレンタルで再販するために、
このフリーネームサーバーを利用していました。
登録ごとに異なるアドレスを使い、yahoo.co.jpなどでも試してみたが、
パスワードが送られてこないのです。
本日になってzoneeditからメールが届かないという状況になりました。
理由だれか知ってますか。教えてほしいのです。ねらー様
56 :名無しさん@お腹いっぱい。:2009/02/27(金) 14:56:15
>>55
誰か教えてやれよ
誰か教えてやれよ
メールはリアルタイムに送られてくるに決まっているのにメールがすぐに届かないのはおかしいです!
58 :名無しさん@お腹いっぱい。:2009/02/27(金) 17:32:33
>>55-57
自演までして業者必死だな。
自演までして業者必死だな。
59 :名無しさん@お腹いっぱい。:2009/02/27(金) 17:35:36
そこにといあわせればいいのい
60 :55:2009/02/27(金) 20:31:28
>>57-58
上は同一人物です。自演に文句いうために無理に自身で自演している・・
zoneeditに問い合わせてみた!
すると、数時間後に、「再度Sign Upを試してください」
と連絡があっただけでした。
しかし、その後、プロキシーしてみたり、別ドメインを使用してみたが、
メールが届かないのです。完了画面は出るのですけどね。
もちろんスパム判定されたわけでもない。そういうの使ってないメールで試したから。
ちょっと誰かテストしてみてくれますか。
ここネームサーバーお助けスレですよね(⌒∇⌒)
上は同一人物です。自演に文句いうために無理に自身で自演している・・
zoneeditに問い合わせてみた!
すると、数時間後に、「再度Sign Upを試してください」
と連絡があっただけでした。
しかし、その後、プロキシーしてみたり、別ドメインを使用してみたが、
メールが届かないのです。完了画面は出るのですけどね。
もちろんスパム判定されたわけでもない。そういうの使ってないメールで試したから。
ちょっと誰かテストしてみてくれますか。
ここネームサーバーお助けスレですよね(⌒∇⌒)
>ここネームサーバーお助けスレですよね(⌒∇⌒)
どうやって煽ればいいのかわからないです><
どうやって煽ればいいのかわからないです><
62 :名無しさん@お腹いっぱい。:2009/02/27(金) 21:14:54
>?ここネームサーバーお助けスレですよね(⌒∇⌒)
! この板はそういう意味の板だったのかw
! この板はそういう意味の板だったのかw
63 :名無しさん@お腹いっぱい。:2009/02/27(金) 21:16:54
商売するのに自前のコントロールができないのを使うなんて
馬鹿なの?死ぬの?
馬鹿なの?死ぬの?
64 :名無しさん@お腹いっぱい。:2009/02/27(金) 22:17:50
きっと頭はすでに死んでいるんだよ
死んでいるからまともに考えることができなくてバカをやる
死んでいるからまともに考えることができなくてバカをやる
65 :名無しさん@お腹いっぱい。:2009/02/27(金) 22:27:01
なんなら英語堪能な俺が問い合わせてやろうか?
66 :55:2009/02/27(金) 23:16:31
>>65
頼む神の65様よ!
ちなみにプロキシーにして、今までと別のドメインのE-mailで
申し込んでもメールが来なかった。
Free トライアルで[Sign Up Now]を押しましたが駄目でした。
ちなみにその後、メールを出してみたが、時間的な問題かまだ、返事なし。
ttp://www.zoneedit.com/signup.html
頼む神の65様よ!
ちなみにプロキシーにして、今までと別のドメインのE-mailで
申し込んでもメールが来なかった。
Free トライアルで[Sign Up Now]を押しましたが駄目でした。
ちなみにその後、メールを出してみたが、時間的な問題かまだ、返事なし。
ttp://www.zoneedit.com/signup.html
67 :55:2009/02/27(金) 23:46:00
普通ならメールは申込み完了と同時にリアルタイムで来るのですが、
来ないのです。
ちなみに申し込んだ後の完了画面にサポートのE-mailが記述されています。
来ないのです。
ちなみに申し込んだ後の完了画面にサポートのE-mailが記述されています。
68 :名無しさん@お腹いっぱい。:2009/02/28(土) 00:51:46
板違い。
69 :55:2009/02/28(土) 01:12:51
既違いではない!
Did you use any foreign characters in the email address?
Please check your junk mail filters, or try signing up using a different email.
上のメールがzoneeditより届いた。
スパムフィルターがどうとかってこと?
でも今、もう一回同じメールで申し込んだらメール届きました。
一時的にzoneeditのサーバーが重くなって不具合を招いていたようです。
しかし、不具合があったときに登録したものは、返事が来なかったです。
こういうこともあるのですね。
zoneeditでこういう情報ほかに見当たらないから、このスレzoneedit使用する人に重宝されるよ\(o⌒∇⌒o)/
Did you use any foreign characters in the email address?
Please check your junk mail filters, or try signing up using a different email.
上のメールがzoneeditより届いた。
スパムフィルターがどうとかってこと?
でも今、もう一回同じメールで申し込んだらメール届きました。
一時的にzoneeditのサーバーが重くなって不具合を招いていたようです。
しかし、不具合があったときに登録したものは、返事が来なかったです。
こういうこともあるのですね。
zoneeditでこういう情報ほかに見当たらないから、このスレzoneedit使用する人に重宝されるよ\(o⌒∇⌒o)/
あ〜あ、zoneeditからメール来なかったとき、
21domainの有料ネームサーバ申し込んで損しちゃったよ。
ねら〜君がいい情報くれると期待して書き込んだのに・・
21domainの有料ネームサーバ申し込んで損しちゃったよ。
ねら〜君がいい情報くれると期待して書き込んだのに・・
71 :名無しさん@お腹いっぱい。:2009/02/28(土) 01:22:45
:: .|ミ|
:: .|ミ| ::::::::
::::: ____ |ミ| ::::
:: ,. -'"´ `¨ー 、 ::
:: / ,,.-'" ヽ ヽ、 ::
:: ,,.-'"_ r‐'" ,,.-'"` ヽ、 ::
:: / ヾ ( _,,.-='==-、ヽ ヽ、
:: i へ___ ヽゝ=-'"/ _,,> ヽ ←>>55
:: ./ / > ='''"  ̄ ̄ ̄ ヽ
:: / .<_ ノ''" ヽ i
:: / i 人_ ノ .l
:: ,' ' ,_,,ノエエエェェ了 /
i じエ='='='" ', / ::
', (___,,..----U / ::
ヽ、 __,,.. --------------i-'" ::
ヽ、_ __ -_'"--''"ニニニニニニニニヽ ::
`¨i三彡--''"´ ヽ ::
:: .|ミ| ::::::::
::::: ____ |ミ| ::::
:: ,. -'"´ `¨ー 、 ::
:: / ,,.-'" ヽ ヽ、 ::
:: ,,.-'"_ r‐'" ,,.-'"` ヽ、 ::
:: / ヾ ( _,,.-='==-、ヽ ヽ、
:: i へ___ ヽゝ=-'"/ _,,> ヽ ←>>55
:: ./ / > ='''"  ̄ ̄ ̄ ヽ
:: / .<_ ノ''" ヽ i
:: / i 人_ ノ .l
:: ,' ' ,_,,ノエエエェェ了 /
i じエ='='='" ', / ::
', (___,,..----U / ::
ヽ、 __,,.. --------------i-'" ::
ヽ、_ __ -_'"--''"ニニニニニニニニヽ ::
`¨i三彡--''"´ ヽ ::
72 :名無しさん@お腹いっぱい。:2009/02/28(土) 05:19:01
飛んだスレ荒らしだなこりゃ、
と自分で書いてみる
と自分で書いてみる
73 :名無しさん@お腹いっぱい。:2009/02/28(土) 08:38:52
うに板でなく、レン鯖板の話題だからみんなスルーしただけ
74 :名無しさん@お腹いっぱい。:2009/02/28(土) 11:55:52
有識者に伺いたい。
bind9でプライベートアドレスの逆引き要求は、上位DNSサーバに転送しない設定って、
ゾーンファイル書く以外に方法ありませんでしょうか?
YAMAHAルータだと設定1行でいけるっぽいんですが・・・。
ttp://www.rtpro.yamaha.co.jp/RT/FAQ/TCPIP/blackhole-isi-edu.html
dns private address spoof on
よろしくお願いします
bind9でプライベートアドレスの逆引き要求は、上位DNSサーバに転送しない設定って、
ゾーンファイル書く以外に方法ありませんでしょうか?
YAMAHAルータだと設定1行でいけるっぽいんですが・・・。
ttp://www.rtpro.yamaha.co.jp/RT/FAQ/TCPIP/blackhole-isi-edu.html
dns private address spoof on
よろしくお願いします
75 :名無しさん@お腹いっぱい。:2009/02/28(土) 13:03:55
>>74
10/8,172.16/16〜172.32/16,192.168/16の18個書けばいいんだから
18行書けばいいんじゃないの。ゾーンファイルは全部兼用できるわけだし。
unboundやPowerDNS-recursorは同様に上位に送らず自前で処理してしまう定義が書ける。
10/8,172.16/16〜172.32/16,192.168/16の18個書けばいいんだから
18行書けばいいんじゃないの。ゾーンファイルは全部兼用できるわけだし。
unboundやPowerDNS-recursorは同様に上位に送らず自前で処理してしまう定義が書ける。
76 :名無しさん@お腹いっぱい。:2009/02/28(土) 13:16:02
169.254/16も必要だから19行か
77 :名無しさん@お腹いっぱい。:2009/02/28(土) 13:42:39
192.0.2/24は?
78 :名無しさん@お腹いっぱい。:2009/02/28(土) 13:56:54
79 :名無しさん@お腹いっぱい。:2009/02/28(土) 14:53:42
80 :名無しさん@お腹いっぱい。:2009/02/28(土) 17:20:32
コンテンツサーバとリゾルバサーバのIPアドレスを分けたらいいんじゃない?
クライアントマシンのアドレス割り当てをDHCPでやってるなら
DHCPの台帳側をかきかえれて新しいリゾルバサーバを見に行かせるようにすればばいいし、
固定アドレス割り振りのマシンが多くてそうも行かないならコンテンツサーバ側をリナンバすればいい。
とりあえずas122.netで提供されているやつをインターネットにながさなければいいと思うので>>75-76と書いた。
もう少し偏執的に書くならRFC3330に書かれているやつのうちのいくつかを加える必要があるかな。
クライアントマシンのアドレス割り当てをDHCPでやってるなら
DHCPの台帳側をかきかえれて新しいリゾルバサーバを見に行かせるようにすればばいいし、
固定アドレス割り振りのマシンが多くてそうも行かないならコンテンツサーバ側をリナンバすればいい。
とりあえずas122.netで提供されているやつをインターネットにながさなければいいと思うので>>75-76と書いた。
もう少し偏執的に書くならRFC3330に書かれているやつのうちのいくつかを加える必要があるかな。
81 :名無しさん@お腹いっぱい。:2009/03/13(金) 15:48:57
ちなみにこの設定をすると名前解決でもたつく事が無くなり、
場合によっては、色々な応答性があがる。
問い合わせに応答しない設定で待たせていたりするくらいなら
でっち上げておいたほうがいい。
場合によっては、色々な応答性があがる。
問い合わせに応答しない設定で待たせていたりするくらいなら
でっち上げておいたほうがいい。
帰宅したら、クレジットの請求にDNSReportが混じってた。
明日ゴルァせねば。
時々メール来るのは無視できるけどこれはまずい。
明日ゴルァせねば。
時々メール来るのは無視できるけどこれはまずい。
83 :名無しさん@お腹いっぱい。:2009/04/21(火) 10:03:12
最近unix(solaris10)を利用し始めた初心者です。
dnsを利用して、グーグルなどから検索をしようとしています。
Windowsから調べたところ、dnsサーバーがルータと同じIPになっていました。
そこで、unixの設定ファイル/etc/resolv.confに、
nameserver xx.xx.xx.xx
と記入して再起動しました。
ところが、利用できていないみたいなのです。
IPで指定するとグーグルやほかのサイトには逝けるのですが、サーバー名だとエラーになります。
また、ドメインは取得していません。
どのような設定がひつようなのでしょうか?
bindと呼ばれるDNSサーバー?はインストールしなければ行けないものなのでしょうか?
お手数ですがよろしくお願いします。
dnsを利用して、グーグルなどから検索をしようとしています。
Windowsから調べたところ、dnsサーバーがルータと同じIPになっていました。
そこで、unixの設定ファイル/etc/resolv.confに、
nameserver xx.xx.xx.xx
と記入して再起動しました。
ところが、利用できていないみたいなのです。
IPで指定するとグーグルやほかのサイトには逝けるのですが、サーバー名だとエラーになります。
また、ドメインは取得していません。
どのような設定がひつようなのでしょうか?
bindと呼ばれるDNSサーバー?はインストールしなければ行けないものなのでしょうか?
お手数ですがよろしくお願いします。
84 :名無しさん@お腹いっぱい。:2009/04/21(火) 11:18:56
85 :名無しさん@お腹いっぱい。:2009/04/21(火) 12:15:20
BINDはインストールしなくていい。
86 :名無しさん@お腹いっぱい。:2009/04/21(火) 17:23:54
>>83
bind はいらん。/etc/nsswitch.conf を適切に設定しろ。
name server は関係ないから Solaris 系のスレに行け。
というか「solaris 10 resolv.conf」でググれ。
bind はいらん。/etc/nsswitch.conf を適切に設定しろ。
name server は関係ないから Solaris 系のスレに行け。
というか「solaris 10 resolv.conf」でググれ。
87 :名無しさん@お腹いっぱい。:2009/04/29(水) 07:34:26
mxに関してだけど、優先度の低い鯖に配送されるのって優先度が
高い鯖がダウンしてる以外の条件って何かある?
新しい鯖に移行しようと思って構築中なんだけどmxを低めに
設定しておいたらたまに構築中の新鯖に配送される物があるんだよね
高い鯖がダウンしてる以外の条件って何かある?
新しい鯖に移行しようと思って構築中なんだけどmxを低めに
設定しておいたらたまに構築中の新鯖に配送される物があるんだよね
88 :名無しさん@お腹いっぱい。:2009/04/29(水) 08:29:26
89 :名無しさん@お腹いっぱい。:2009/04/29(水) 13:31:03
sendmailとか、ロードアベレージが一定以上だと「今はダメ」とか返事する
機能なかったっけ?
機能なかったっけ?
なるほど。そうやってロードバランシングに使う訳ね。
いつも単体で構築してたから気にもしていなかったよ。
うちの状況はまさに>>88な状況だった。ちょっと調べたら今のpostfixは
順番にmxなめていって最初にsmtp喋る奴を見つけたら配送失敗しようと
終わりにするような実装になっているけど、今後の実装で挙動が変わりそうな
記述があった。ってことは他の実装では配送成功するまでmxなめる場合もある
ってことかな。いないユーザをプライマリではねていてもセカンダリで
受け入れると>>88みたいな状況になるのでは。うちの構成は今はプライマリが
postfix、セカンダリがqmail(いないユーザの分も受け取る)だから・・・。
いつも単体で構築してたから気にもしていなかったよ。
うちの状況はまさに>>88な状況だった。ちょっと調べたら今のpostfixは
順番にmxなめていって最初にsmtp喋る奴を見つけたら配送失敗しようと
終わりにするような実装になっているけど、今後の実装で挙動が変わりそうな
記述があった。ってことは他の実装では配送成功するまでmxなめる場合もある
ってことかな。いないユーザをプライマリではねていてもセカンダリで
受け入れると>>88みたいな状況になるのでは。うちの構成は今はプライマリが
postfix、セカンダリがqmail(いないユーザの分も受け取る)だから・・・。
91 :名無しさん@お腹いっぱい。:2009/04/30(木) 16:33:22
セカンダリ MX にフォールバックするのは、そもそも接続できないか、
接続していきなりエラー応答が返ってきたときだけ。
>いないユーザをプライマリではねていても
これはある程度 SMTP セッションが進んだ後でのエラーになるので、
セカンダリ MX にはいかない。
つーか DNS 関係ない。
接続していきなりエラー応答が返ってきたときだけ。
>いないユーザをプライマリではねていても
これはある程度 SMTP セッションが進んだ後でのエラーになるので、
セカンダリ MX にはいかない。
つーか DNS 関係ない。
92 :名無しさん@お腹いっぱい。:2009/06/06(土) 11:26:22
LAN内に構築した内部向けDNSサーバを Port 5353 で listen して運用したいと考えていますが、
LAN内クライアント(Linux PC)に、内部向けDNSサーバの Port 5353 に対してDNS問い合わせを
行わせる設定の方法が分かりません。
そもそも、LAN内クライアント(Linux PC)のリゾルバ設定で、Dest Port を変更することって
できるんでしょうか?
LAN内クライアント(Linux PC)に、内部向けDNSサーバの Port 5353 に対してDNS問い合わせを
行わせる設定の方法が分かりません。
そもそも、LAN内クライアント(Linux PC)のリゾルバ設定で、Dest Port を変更することって
できるんでしょうか?
93 :名無しさん@お腹いっぱい。:2009/06/06(土) 14:06:59
digだとできるけど、resolv.confなどではできないとか。
resolv.conf option for nameserver with specific port number
ttps://lists.isc.org/pipermail/bind-users/2007-May/thread.html
5353はmDNSのポート番号か。
resolv.conf option for nameserver with specific port number
ttps://lists.isc.org/pipermail/bind-users/2007-May/thread.html
5353はmDNSのポート番号か。
94 :名無しさん@お腹いっぱい。:2009/06/06(土) 14:16:19
>>92
MacOS X だと man 5 resolver にこんな風に書いてありました。
The address may optionally have a trailing dot followed by a port number.
For example, 10.0.0.17.55 specifies that the nameserver at 10.0.0.17 uses port 55.
MacOS X だと man 5 resolver にこんな風に書いてありました。
The address may optionally have a trailing dot followed by a port number.
For example, 10.0.0.17.55 specifies that the nameserver at 10.0.0.17 uses port 55.
95 :名無しさん@お腹いっぱい。:2009/06/06(土) 14:17:49
>>92
参照するクライアントのservicesファイルのDNSポートを書き換えてやればよくね?
http://www.linux.or.jp/JM/html/LDP_man-pages/man5/services.5.html
とはいえ、作業漏れやらあとでそんなことしたこと忘れて大騒ぎの原因に
なりそうだからお勧めはしないけどねぇ〜w
参照するクライアントのservicesファイルのDNSポートを書き換えてやればよくね?
http://www.linux.or.jp/JM/html/LDP_man-pages/man5/services.5.html
とはいえ、作業漏れやらあとでそんなことしたこと忘れて大騒ぎの原因に
なりそうだからお勧めはしないけどねぇ〜w
96 :名無しさん@お腹いっぱい。:2009/06/06(土) 14:26:16
services を NISでバラ撒けば問題は緩和される。
97 :名無しさん@お腹いっぱい。:2009/06/06(土) 14:28:11
>>92
なぜ Port53 で運用しないのかが気になる。
なぜ Port53 で運用しないのかが気になる。
98 :名無しさん@お腹いっぱい。:2009/06/06(土) 14:47:29
>>92です。色々レスありがとうございます。
>>93
dig は -p オプションでポート指定可能なようですね。
>>94
172.51.31.10:5353 とか 172.51.31.10.5353 とか
試したんですが、Linux(CentOS)では無理でした。
>>95
/etc/services で53を5353に書き換えると、
Slave DNS にDNS問い合わせをするようなケースでも
5353ポートに問い合わせてしまうので、断念した経緯があります。
# Slave DNS は53ポートで運用中なのです…。
>>97
それはズバリ、そのサーバでは既に別の named が53ポートで
稼働中だからですw
>>93
dig は -p オプションでポート指定可能なようですね。
>>94
172.51.31.10:5353 とか 172.51.31.10.5353 とか
試したんですが、Linux(CentOS)では無理でした。
>>95
/etc/services で53を5353に書き換えると、
Slave DNS にDNS問い合わせをするようなケースでも
5353ポートに問い合わせてしまうので、断念した経緯があります。
# Slave DNS は53ポートで運用中なのです…。
>>97
それはズバリ、そのサーバでは既に別の named が53ポートで
稼働中だからですw
99 :名無しさん@お腹いっぱい。:2009/06/06(土) 14:56:54
100 :名無しさん@お腹いっぱい。:2009/06/06(土) 15:28:35
101 :名無しさん@お腹いっぱい。:2009/06/06(土) 15:58:28
bind9とかなら普通にzoneごとのallow-hogeでどーにでもなる話な気がする。
102 :名無しさん@お腹いっぱい。:2009/06/06(土) 16:24:45
>>92です。レスありがとうございます。
>>99-101
おっしゃる通り、そのような解決方法はいくつか考えられますが、
今回はクライアント(Linux PC)側のリゾルバ設定で Dest Port って
変更できるのかな、と思い質問してみました。
で、基本的には無理ということが分かりました。
多くの named で Listen するポートを指定できるのに、Linuxクライアント側で
DNS問い合わせの Port を指定できないのはちょっと意外でした。
MacOS X では簡単みたいでうらやましいw
DNSサーバ側の対応として現在考えているのは、
・iptables で特定ホストからのポートをリダイレクトする
・view で特定ホストの forwarders を 127.0.0.1:5353する(BIND 9 が動いてますので)
iptablesでうまくいくことは確認しました。
view の方も、特定ホストの数が多くなっても acl を使用すれば
シンプルに管理できそうです。
以上、ありがとうございました。
>>99-101
おっしゃる通り、そのような解決方法はいくつか考えられますが、
今回はクライアント(Linux PC)側のリゾルバ設定で Dest Port って
変更できるのかな、と思い質問してみました。
で、基本的には無理ということが分かりました。
多くの named で Listen するポートを指定できるのに、Linuxクライアント側で
DNS問い合わせの Port を指定できないのはちょっと意外でした。
MacOS X では簡単みたいでうらやましいw
DNSサーバ側の対応として現在考えているのは、
・iptables で特定ホストからのポートをリダイレクトする
・view で特定ホストの forwarders を 127.0.0.1:5353する(BIND 9 が動いてますので)
iptablesでうまくいくことは確認しました。
view の方も、特定ホストの数が多くなっても acl を使用すれば
シンプルに管理できそうです。
以上、ありがとうございました。
103 :名無しさん@お腹いっぱい。:2009/06/06(土) 16:32:56
>>102
Listen するポートを指定するんじゃなくて、
Listen する IPを指定するの。
(外向きIPと内向きIPね)
で、複数のnamedが(異なるIPの) 53番を Listenする。
クライアント側は何も変更なし。
Listen するポートを指定するんじゃなくて、
Listen する IPを指定するの。
(外向きIPと内向きIPね)
で、複数のnamedが(異なるIPの) 53番を Listenする。
クライアント側は何も変更なし。
104 :名無しさん@お腹いっぱい。:2009/06/06(土) 17:23:30
105 :名無しさん@お腹いっぱい。:2009/06/06(土) 17:27:31
>>104
搭載 NIC 1つでも IP alias できるだろ。知らないのかw
搭載 NIC 1つでも IP alias できるだろ。知らないのかw
106 :名無しさん@お腹いっぱい。:2009/06/06(土) 17:31:53
107 :名無しさん@お腹いっぱい。:2009/06/06(土) 17:39:55
>>105
IP alias は知っていますが、ただ単にポリシー的に IP alias が不可能な環境です。
>>106
>>99
馬の耳に念仏というか、Listen する IP を限定できない named です。
IP alias は知っていますが、ただ単にポリシー的に IP alias が不可能な環境です。
>>106
>>99
馬の耳に念仏というか、Listen する IP を限定できない named です。
108 :名無しさん@お腹いっぱい。:2009/06/06(土) 17:51:28
ここでSPLIT DNSだとかIPエイリアスだとか、微妙な知識ひけらかしてる奴らいるけど恥しくねーの?
会社でもその調子? それとも学生かなんか?
会社でもその調子? それとも学生かなんか?
109 :名無しさん@お腹いっぱい。:2009/06/06(土) 17:52:58
BIND9じゃないのか?
110 :名無しさん@お腹いっぱい。:2009/06/06(土) 17:59:07
なんか数人エスパーが紛れ込んでる模様
111 :名無しさん@お腹いっぱい。:2009/06/06(土) 18:39:46
現行のDNSソフトで、listenするIPアドレスを限定できないものって何? そんなのあるの?
112 :名無しさん@お腹いっぱい。:2009/06/06(土) 19:44:09
113 :名無しさん@お腹いっぱい。:2009/06/06(土) 20:05:43
>>98
「既に Port53 を使っているから」 はわかる。
というかそれが前提だろ?
だから、なぜ同一LANに対して1つの計算機で2つのDNSサーバーを立ち上げる必要があるのか?
という疑問が湧くのだ。
特に、
>/etc/services で53を5353に書き換えると
意味がサッパリわからんのだが・・・
目指す環境ややりたい事がわかれば、解決策はいろいろ有ると思うんだよ。
唐突にクライアントからサーバーのポートを指定できるのか?
と思いついたのなら、それはまた別問題ではあるけどね。
「既に Port53 を使っているから」 はわかる。
というかそれが前提だろ?
だから、なぜ同一LANに対して1つの計算機で2つのDNSサーバーを立ち上げる必要があるのか?
という疑問が湧くのだ。
特に、
>/etc/services で53を5353に書き換えると
意味がサッパリわからんのだが・・・
目指す環境ややりたい事がわかれば、解決策はいろいろ有ると思うんだよ。
唐突にクライアントからサーバーのポートを指定できるのか?
と思いついたのなら、それはまた別問題ではあるけどね。
114 :名無しさん@お腹いっぱい。:2009/06/06(土) 20:40:43
>>108でファビョった時点でもうだめ。
はい次。
はい次。
115 :名無しさん@お腹いっぱい。:2009/06/07(日) 00:40:01
116 :名無しさん@お腹いっぱい。:2009/06/07(日) 05:20:36
>>115
非合理な仕様にアレルギーが無い方なのですねw
非合理な仕様にアレルギーが無い方なのですねw
117 :名無しさん@お腹いっぱい。:2009/06/07(日) 08:59:01
>>107
×IP alias は知っていますが、ただ単にポリシー的に IP alias が不可能な環境です
○IP alias は今聞いて思い出しましたが、自分のスキル的に IP alias が不可能な状況です
×IP alias は知っていますが、ただ単にポリシー的に IP alias が不可能な環境です
○IP alias は今聞いて思い出しましたが、自分のスキル的に IP alias が不可能な状況です
118 :名無しさん@お腹いっぱい。:2009/06/07(日) 14:25:47
53で動いてるやつにさわれるならBIND9でviewなんちゃらとか使うのが一番楽じゃない?
119 :名無しさん@お腹いっぱい。:2009/06/07(日) 19:51:38
最初の頭悪そうな質問で予想してたがやっぱり無能なバカだったか
120 :sage:2009/06/10(水) 10:06:53
121 :名無しさん@お腹いっぱい。:2009/06/10(水) 10:54:26
名前解決はシンプルに行け。hosts配ればいいんだよタコ
って向こうは言って無いけど、
そういうことを平気でするIT土方共にひどい目に合わされてます。
どうしたらよいですか。
って向こうは言って無いけど、
そういうことを平気でするIT土方共にひどい目に合わされてます。
どうしたらよいですか。
122 :名無しさん@お腹いっぱい。:2009/06/11(木) 20:04:02
よくわかってない技術は後で困るといけないからと多数のクライアントに
固定IPアドレスの手動設定をさせてまわる低能IT土方もいるよ
もちろんサーバへのアクセスはIPアドレス指定で
>>120
質問者乙と言えばいいのかな
内容を理解せず端的な作業手順をなぞる程度の能力でしかないのに
自分は出来ると誤解してる底辺土方って居ない方がましだと思う
固定IPアドレスの手動設定をさせてまわる低能IT土方もいるよ
もちろんサーバへのアクセスはIPアドレス指定で
>>120
質問者乙と言えばいいのかな
内容を理解せず端的な作業手順をなぞる程度の能力でしかないのに
自分は出来ると誤解してる底辺土方って居ない方がましだと思う
123 :名無しさん@お腹いっぱい。:2009/06/12(金) 01:18:06
土方より現場監督クラスに昇格しても奴隷をこき使うだけだからなぁ。イヤダイヤダ
一人で50台管理しながら手間なコードも書いてる。 まあ、英国式の教育を受けた
家政婦ならあたりまえw
一人で50台管理しながら手間なコードも書いてる。 まあ、英国式の教育を受けた
家政婦ならあたりまえw
124 :名無しさん@お腹いっぱい。:2009/06/12(金) 11:57:21
125 :名無しさん@お腹いっぱい。:2009/06/12(金) 13:50:53
他所でやれや
126 :名無しさん@お腹いっぱい。:2009/06/22(月) 23:27:40
最近サブアロケーションの逆引きゾーンに対し
サブアロケーションされたかたちではなく直接4オクテットを逆順にしたクエリーが来るのが散見されるのですが
(自分で権威を持っていないゾーンへのクエリーと扱われて deny するログが残る。こちらは bind9.5か9.6)
どう言ったフルリゾルバがこのようなクエリーを出すのか情報をお持ちの方はいませんか
サブアロケーションされたかたちではなく直接4オクテットを逆順にしたクエリーが来るのが散見されるのですが
(自分で権威を持っていないゾーンへのクエリーと扱われて deny するログが残る。こちらは bind9.5か9.6)
どう言ったフルリゾルバがこのようなクエリーを出すのか情報をお持ちの方はいませんか
127 :名無しさん@お腹いっぱい。:2009/06/23(火) 23:43:03
NSが糞だとか
128 :名無しさん@お腹いっぱい。:2009/06/26(金) 23:49:21
サブアロケーションしている親のネームサーバーが設定ミスってるとか
129 :名無しさん@お腹いっぱい。:2009/06/30(火) 01:26:38
アフォにアフォと言っても判って貰えないのはDNS管理をやってればすぐ気がつくことだ。
130 :質問:2009/07/07(火) 18:59:16
セカンダリDNS(Bind 9.2,solaris9)を運用しています。
named.confでは特にmax-refresh-time,min-refresh-time,max-retry-time,min-retry-time
などの設定はしていません。
あるドメインのSOAをrefresh 15m retry 10m expired 3hとして、
ゾーン転送がきちんと出来ていることを確認(セカンダリDNSにゾーンファイルが出来ている)した後で、
わざとプライマリDNSからのゾーン転送ができないようにしました。
namedをkill -hupで再起動したあとでログをずっと見ていると、
最初に zone xxx expiredがでたと、
その後、ずっとtransfer of xxx : time outのエラーが5分前後で8回、
その後5時間前後で同じエラーが現在まで18回繰り返されていました。
私の考えならば、kill -hupでexpiredであることを知り、
その後はretry 10mにしたがって10分ごとにゾーン転送を試みて
(=time outのエラーがでる)、10分×18回retry後、
expireとなってそれ以降ゾーン転送は実施しない(=エラーも出ない)と思うのですが、
エラーログから考えるとそのような動きではないようです。
retryについて指定した時間よりも短い間隔で行ったり、3時間を越えてもなおretryを
試すのはどうしてでしょうか?
bindのdocumentationやbind&dnsには載っていなくて困っています。
named.confでは特にmax-refresh-time,min-refresh-time,max-retry-time,min-retry-time
などの設定はしていません。
あるドメインのSOAをrefresh 15m retry 10m expired 3hとして、
ゾーン転送がきちんと出来ていることを確認(セカンダリDNSにゾーンファイルが出来ている)した後で、
わざとプライマリDNSからのゾーン転送ができないようにしました。
namedをkill -hupで再起動したあとでログをずっと見ていると、
最初に zone xxx expiredがでたと、
その後、ずっとtransfer of xxx : time outのエラーが5分前後で8回、
その後5時間前後で同じエラーが現在まで18回繰り返されていました。
私の考えならば、kill -hupでexpiredであることを知り、
その後はretry 10mにしたがって10分ごとにゾーン転送を試みて
(=time outのエラーがでる)、10分×18回retry後、
expireとなってそれ以降ゾーン転送は実施しない(=エラーも出ない)と思うのですが、
エラーログから考えるとそのような動きではないようです。
retryについて指定した時間よりも短い間隔で行ったり、3時間を越えてもなおretryを
試すのはどうしてでしょうか?
bindのdocumentationやbind&dnsには載っていなくて困っています。
131 :名無しさん@お腹いっぱい。:2009/07/07(火) 23:42:14
http://www.atmarkit.co.jp/fnetwork/dnstips/014.html
expiredになってもゾーン転送を試みる。
expiredになったら、コンテンツとしてゾーンを返さなくなる。
expiredになってもゾーン転送を試みる。
expiredになったら、コンテンツとしてゾーンを返さなくなる。
132 :名無しさん@お腹いっぱい。:2009/07/08(水) 00:20:32
expireになったら持っているゾーン情報を無効にして、さらにゾーン転送
も試さなくなると本(BIND&DNSだったかも)に書いていましたが、どうなんでしょうか?
も試さなくなると本(BIND&DNSだったかも)に書いていましたが、どうなんでしょうか?
133 :名無しさん@お腹いっぱい。:2009/07/08(水) 11:59:50
>>132
では、ゾーン転送を試させるにはどのような処理を行えばよいのでしょうか?
では、ゾーン転送を試させるにはどのような処理を行えばよいのでしょうか?
134 :名無しさん@お腹いっぱい。:2009/07/08(水) 17:59:05
質問です。
LAN内のクライアントのためのキャッシュサーバーを立てる時、
クライアントからの AAAAレコードの問い合わせは一切 forwardしないで、
すぐにヌルデーターを返答するにはどうすればいいですか?
(その後、クライアントがすぐにAレコードを引きなおしてくれることを想定しています)
LAN内のクライアントのためのキャッシュサーバーを立てる時、
クライアントからの AAAAレコードの問い合わせは一切 forwardしないで、
すぐにヌルデーターを返答するにはどうすればいいですか?
(その後、クライアントがすぐにAレコードを引きなおしてくれることを想定しています)
135 :名無しさん@お腹いっぱい。:2009/07/08(水) 18:56:43
136 :名無しさん@お腹いっぱい。:2009/07/08(水) 19:01:07
137 :名無しさん@お腹いっぱい。:2009/07/08(水) 19:18:46
>>136
はい、駄目です。
-4 は、問い合わせのための通信をIPv4のみで行なうというだけで、
AAAAレコードの問い合わせとはまた別の話です。
よって、-4を付けても何の解決にもなりません。
引続き、わかる方、お願いします。
↓
はい、駄目です。
-4 は、問い合わせのための通信をIPv4のみで行なうというだけで、
AAAAレコードの問い合わせとはまた別の話です。
よって、-4を付けても何の解決にもなりません。
引続き、わかる方、お願いします。
↓
138 :名無しさん@お腹いっぱい。:2009/07/08(水) 19:33:58
>>134
「 ̄ `ヽ、 ______
L -‐ '´  ̄ `ヽ- 、 〉
/ ヽ\ /
// / / ヽヽ ヽ〈
ヽ、レ! { ム-t ハ li 、 i i }ト、
ハN | lヽ八l ヽjハVヽ、i j/ l !
/ハ. l ヽk== , r= 、ノルl lL」
ヽN、ハ l ┌‐┐ ゙l ノl l
ヽトjヽ、 ヽ_ノ ノ//レ′
r777777777tノ` ー r ´フ/′
j´ニゝ l|ヽ _/`\
〈 ‐ 知ってるが lト、 / 〃ゝ、
〈、ネ.. .lF V=="/ イl.
ト |お前の態度が とニヽ二/ l
ヽ.|l 〈ー- ! `ヽ. l
|l気に入らない lトニ、_ノ ヾ、!
|l__________l| \ ソ
「 ̄ `ヽ、 ______
L -‐ '´  ̄ `ヽ- 、 〉
/ ヽ\ /
// / / ヽヽ ヽ〈
ヽ、レ! { ム-t ハ li 、 i i }ト、
ハN | lヽ八l ヽjハVヽ、i j/ l !
/ハ. l ヽk== , r= 、ノルl lL」
ヽN、ハ l ┌‐┐ ゙l ノl l
ヽトjヽ、 ヽ_ノ ノ//レ′
r777777777tノ` ー r ´フ/′
j´ニゝ l|ヽ _/`\
〈 ‐ 知ってるが lト、 / 〃ゝ、
〈、ネ.. .lF V=="/ イl.
ト |お前の態度が とニヽ二/ l
ヽ.|l 〈ー- ! `ヽ. l
|l気に入らない lトニ、_ノ ヾ、!
|l__________l| \ ソ
139 :名無しさん@お腹いっぱい。:2009/07/08(水) 19:50:02
>>138 は知らないな。
140 :名無しさん@お腹いっぱい。:2009/07/08(水) 23:31:58
OSのipv6をとめろ
141 :名無しさん@お腹いっぱい。:2009/07/08(水) 23:36:49
>>140
だから、ipv6は関係ないって。OSのipv6を止めてもAAAAは問い合わせされる。
だから、ipv6は関係ないって。OSのipv6を止めてもAAAAは問い合わせされる。
142 :名無しさん@お腹いっぱい。:2009/07/09(木) 00:07:11
>>141
そりゃそうだ
そりゃそうだ
143 :名無しさん@お腹いっぱい。:2009/07/09(木) 00:25:54
質問者はtransportのIPv6と、クエリ対象レコードのIPv6を区別できてるのに
回答者は区別できてない奴が多いな。
で、もとの話題の戻ると、
・・・わからん、すまん。
回答者は区別できてない奴が多いな。
で、もとの話題の戻ると、
・・・わからん、すまん。
144 :名無しさん@お腹いっぱい。:2009/07/09(木) 09:40:17
v6のこと、よくわかってないから的外れなこと言ってたら優しく指摘してよ。
v4でインターネットに繋がっていないLAN内だけのDNSを立てるとき
ルートサーバーとして設定してたじゃない。
それと同じようにv6のルートサーバーにすればいいんじゃないのではございませんか。
v4でインターネットに繋がっていないLAN内だけのDNSを立てるとき
ルートサーバーとして設定してたじゃない。
それと同じようにv6のルートサーバーにすればいいんじゃないのではございませんか。
ああ、これじゃだめですね。
146 :名無しさん@お腹いっぱい。:2009/07/09(木) 20:13:56
>>134
既存のプログラムを改造してそういうフルリゾルバを作ってやるしかないのでは。
大技としてAAAA他最近の拡張されたクエリーを理解できないくらい古いBINDを
フルリゾルバとして使うというのも考えられるけれど副作用が大きすぎる。
そもそもなんでそんなことしたいの?
既存のプログラムを改造してそういうフルリゾルバを作ってやるしかないのでは。
大技としてAAAA他最近の拡張されたクエリーを理解できないくらい古いBINDを
フルリゾルバとして使うというのも考えられるけれど副作用が大きすぎる。
そもそもなんでそんなことしたいの?
147 :名無しさん@お腹いっぱい。:2009/07/29(水) 20:00:08
Bindにセキュリティホールだって
http://jprs.jp/tech/security/bind9-vuln-dynamic-update.html
http://jprs.jp/tech/security/bind9-vuln-dynamic-update.html
148 :名無しさん@お腹いっぱい。:2009/07/29(水) 21:26:46
149 :名無しさん@お腹いっぱい。:2009/07/29(水) 22:13:30
iptablesのworkaroundが書いてあったけど
何やってるのかワケワカメ~
何やってるのかワケワカメ~
150 :名無しさん@お腹いっぱい。:2009/07/30(木) 04:45:34
>>148
プライマリサーバって?
プライマリサーバって?
151 :名無しさん@お腹いっぱい。:2009/07/30(木) 08:40:10
>>150
masterゾーンを管理しているサーバ
masterゾーンを管理しているサーバ
152 :名無しさん@お腹いっぱい。:2009/07/30(木) 12:48:14
今はもうプライマリと言っても通じない世代が居るのか
BIND4時代の古い用語だからしょうがないな
BIND4時代の古い用語だからしょうがないな
153 :名無しさん@お腹いっぱい。:2009/07/30(木) 12:53:54
それを知ってて突っ込んでるだけだろw 釣られ過ぎ
154 :名無しさん@お腹いっぱい。:2009/07/30(木) 14:17:07
>>153
JPRSの文章がそうなっているじゃん。w
JPRSの文章がそうなっているじゃん。w
155 :名無しさん@お腹いっぱい。:2009/07/30(木) 19:56:31
type master;以外は雑魚ということですね-)
156 :名無しさん@お腹いっぱい。:2009/07/30(木) 20:01:32
>>155
大抵localhostに対してはmasterよ
大抵localhostに対してはmasterよ
157 :名無しさん@お腹いっぱい。:2009/07/30(木) 20:01:42
localhostや127.in-addr.arpaくらいはmasterになってるだろ
BIND9.3以前はEOLでパッチが提供されないみたいだけど、9.4以降の修正内容を
参照すると9.3でも簡単にパッチ作れるな。^^;
参照すると9.3でも簡単にパッチ作れるな。^^;
159 :名無しさん@お腹いっぱい。:2009/07/31(金) 14:53:20
JPRS の DNS 攻撃で落ちたのか。
こりゃ、急いだ方が良いな。
月曜日にやろうと思ったけど、今からあげよ。
こりゃ、急いだ方が良いな。
月曜日にやろうと思ったけど、今からあげよ。
ほんとに?
161 :名無しさん@お腹いっぱい。:2009/07/31(金) 16:48:19
みんみんて誰だよ
163 :名無しさん@お腹いっぱい。:2009/07/31(金) 17:01:04
ほんとだメールアドレスがみんみんだ
俺もうpしよう
これはやばそうだ
俺もうpしよう
これはやばそうだ
165 :名無しさん@お腹いっぱい。:2009/07/31(金) 17:11:16
(゚Д゚)ノ⌒SMF
Solaris10純正は落ちたら再起動してくれるよ
Solaris10純正は落ちたら再起動してくれるよ
166 :名無しさん@お腹いっぱい。:2009/07/31(金) 18:36:47
167 :名無しさん@お腹いっぱい。:2009/07/31(金) 19:31:25
168 :名無しさん@お腹いっぱい。:2009/07/31(金) 20:33:00
ズコ(AA略
169 :名無しさん@お腹いっぱい。:2009/07/31(金) 23:20:58
OSX ServerのアップデートがAppleから落ちてこないのは気のせい?
170 :名無しさん@お腹いっぱい。:2009/07/31(金) 23:53:17
龍谷大の人がexploitのコード載せちゃったからね
171 :名無しさん@お腹いっぱい。:2009/08/01(土) 00:14:32
172 :名無しさん@お腹いっぱい。:2009/08/01(土) 00:23:02
>>165
落ちるんじゃなくてnamed生きたまま応答しなくなるという嫌らしさ
ほんとに他愛のないUDPパケット一個で即死する
発信元IPが偽造されたら追跡もできないな
プロバイダ各社のエグレスフィルタ採用状況はどうなんだっけ?
落ちるんじゃなくてnamed生きたまま応答しなくなるという嫌らしさ
ほんとに他愛のないUDPパケット一個で即死する
発信元IPが偽造されたら追跡もできないな
プロバイダ各社のエグレスフィルタ採用状況はどうなんだっけ?
>>172
環境依存なのかRHEL5を使っているウチではnamedが死ぬけどね。
環境依存なのかRHEL5を使っているウチではnamedが死ぬけどね。
174 :名無しさん@お腹いっぱい。:2009/08/01(土) 15:19:24
>>173
ウチの環境では起こっていない。@RHEL 5 64bit
ウチの環境では起こっていない。@RHEL 5 64bit
>>174
assertionで落とされているという認識なので、CPUアーキテクチャの
違い(32bit/64bit)に影響を受ける部分とは思えないんだけど、興味深い
話ですね。
検証できる環境もないし、する必要もないのでそれだけですが。
assertionで落とされているという認識なので、CPUアーキテクチャの
違い(32bit/64bit)に影響を受ける部分とは思えないんだけど、興味深い
話ですね。
検証できる環境もないし、する必要もないのでそれだけですが。
176 :名無しさん@お腹いっぱい。:2009/08/03(月) 21:34:42
tmが出張してtinydnsの宣伝してるけど、メンテが期待できないものを薦めるなんて正気の沙汰とは思えない。
IPv6対応にするだけでも他人が書いたパッチが必要とか・・・DNSSEC対応できるの?
IPv6対応にするだけでも他人が書いたパッチが必要とか・・・DNSSEC対応できるの?
177 :名無しさん@お腹いっぱい。:2009/08/03(月) 21:53:43
178 :名無しさん@お腹いっぱい。:2009/08/03(月) 22:20:03
>>177
tss氏の日記(2009-07-29)へのコメント。
「コンテンツサーバとキャッシュサーバの分離」とか、安全なDNSサーバのPoCとしては十分な役割を果たしたと
思うけど、もう引退させた方が良いでしょ。
tss氏の日記(2009-07-29)へのコメント。
「コンテンツサーバとキャッシュサーバの分離」とか、安全なDNSサーバのPoCとしては十分な役割を果たしたと
思うけど、もう引退させた方が良いでしょ。
179 :名無しさん@お腹いっぱい。:2009/08/03(月) 22:36:49
180 :名無しさん@お腹いっぱい。:2009/08/04(火) 10:29:08
今ならunbindおすすめ?
181 :名無しさん@お腹いっぱい。:2009/08/04(火) 10:42:51
182 :名無しさん@お腹いっぱい。:2009/08/04(火) 18:12:54
手元の検証用マシンに載ってたDNS鯖(9.3.6-P1)に
PoC(perl版, C版)投げても平気な顔してるうちのDNS鯖。
PoCの設定の仕方がおかしいのか(´・ω・`)
PoC(perl版, C版)投げても平気な顔してるうちのDNS鯖。
PoCの設定の仕方がおかしいのか(´・ω・`)
183 :名無しさん@お腹いっぱい。:2009/08/04(火) 19:16:05
184 :名無しさん@お腹いっぱい。:2009/08/04(火) 19:21:27
perl版にkey nameとkeyを実際に設定している値にすると >>183 のログが出たわ。
http://www.ntt.com/icto/security/images/sr200803101.pdf の通りにやってみたが
PoCは途中で止まらずprint後にプロンプトに戻るし、
ログには >>183 が出るだけだわ('A`;)
今日はもう遅いのでまた明日チャレンジしてみる ノシ
PoCは途中で止まらずprint後にプロンプトに戻るし、
ログには >>183 が出るだけだわ('A`;)
今日はもう遅いのでまた明日チャレンジしてみる ノシ
187 :名無しさん@お腹いっぱい。:2009/08/04(火) 21:21:07
188 :名無しさん@お腹いっぱい。:2009/08/08(土) 01:49:21
DNS担当って損だよな。
影響大きいのに、金は安い。
SEでさえ、きちんと仕組みを理解している人が少ない。
だから、いつも説明に困る。。
コンテンツとキャッシュを区別できるひとはどれだけいるのだろう。。
影響大きいのに、金は安い。
SEでさえ、きちんと仕組みを理解している人が少ない。
だから、いつも説明に困る。。
コンテンツとキャッシュを区別できるひとはどれだけいるのだろう。。
190 :名無しさん@お腹いっぱい。:2009/08/09(日) 00:15:20
192 :名無しさん@お腹いっぱい。:2009/08/10(月) 17:00:01
NICの故障も、ケーブル抜けも、ハブの故障も、DNSのダウンも、
ファイルサーバーのダウンも、プロキシサーバーのダウンも、
ウェブサーバーのアクセス禁止処置も、なんでもかんでも、
「ネットが落ちてるんですけど、どのくらいで直りますか」
と言う奴に比べると120%ましだと思うんですけど何か。
ファイルサーバーのダウンも、プロキシサーバーのダウンも、
ウェブサーバーのアクセス禁止処置も、なんでもかんでも、
「ネットが落ちてるんですけど、どのくらいで直りますか」
と言う奴に比べると120%ましだと思うんですけど何か。
193 :名無しさん@お腹いっぱい。:2009/08/10(月) 17:09:47
見当外れの予想で口を挟みまくるヤツもイヤだなあ
客といってもSEだよ。しかも、大手だったりする。
こんなやつらがalteonなんてつかっていると思うと怖いわー
こんなやつらがalteonなんてつかっていると思うと怖いわー
手元の本番サーバ(8.3.5-P2)にPoCしかけたらnamedあっさり止まりやがった(´・ω・`)
そっこー対処しますた。
検証環境の9.3.6-P1には例のPoCは効かんのかいな。
>>194
5年近くインフラ周り全般の管理をやってる俺だけど、
キャッシュ鯖とコンテンツ鯖の違いを知ったのは3年くらい前だ。
システム管理の先輩社員がおらず、俺よりも知識・技術が上の人(教えてくれる人)が
居ない状況だとはいえすげえ恥ずかしいわ('A`;)
そっこー対処しますた。
検証環境の9.3.6-P1には例のPoCは効かんのかいな。
>>194
5年近くインフラ周り全般の管理をやってる俺だけど、
キャッシュ鯖とコンテンツ鯖の違いを知ったのは3年くらい前だ。
システム管理の先輩社員がおらず、俺よりも知識・技術が上の人(教えてくれる人)が
居ない状況だとはいえすげえ恥ずかしいわ('A`;)
196 :名無しさん@お腹いっぱい。:2009/08/16(日) 21:47:09
>>195
viewつかってるとか?
viewつかってるとか?
197 :名無しさん@お腹いっぱい。:2009/08/18(火) 23:55:34
198 :名無しさん@お腹いっぱい。:2009/09/02(水) 04:41:11
xname更新遅せー
199 :名無しさん@お腹いっぱい。:2009/09/03(木) 00:35:53
すごいこと発見。
某大手新聞社のネームサーバはオープンリゾルバです。
しかも、サブドメインの権限委譲を別のネームサーバにしてます。
で、その権限委譲した先のネームサーバは自分のAレコードを間違って応答します。
これを組み合わせると、どうなるでしょう??
某大手新聞社のネームサーバはオープンリゾルバです。
しかも、サブドメインの権限委譲を別のネームサーバにしてます。
で、その権限委譲した先のネームサーバは自分のAレコードを間違って応答します。
これを組み合わせると、どうなるでしょう??
200 :名無しさん@お腹いっぱい。:2009/09/03(木) 08:39:48
ひさしぶりの大先生チェックですね。
201 :名無しさん@お腹いっぱい。:2009/09/03(木) 09:29:33
202 :名無しさん@お腹いっぱい。:2009/09/03(木) 23:19:13
co.jpだね。
ためしてみたら、オープンリゾルバのほうは見事にアクセスできなくなった。。
怖!
もう片われがオープンリゾルバじゃないから助かっているが。
オープンリゾルバは世の中に結構あるよね。
いまさらオープンリゾルバをやめるのはそりゃ、厳しいわな。
うちもセキュリティ向上のため、オープンリゾルバやめたらいろいろトラブルあったよ。
でも、思い切るしかないんだな、、これ。
ためしてみたら、オープンリゾルバのほうは見事にアクセスできなくなった。。
怖!
もう片われがオープンリゾルバじゃないから助かっているが。
オープンリゾルバは世の中に結構あるよね。
いまさらオープンリゾルバをやめるのはそりゃ、厳しいわな。
うちもセキュリティ向上のため、オープンリゾルバやめたらいろいろトラブルあったよ。
でも、思い切るしかないんだな、、これ。
203 :名無しさん@お腹いっぱい。:2009/09/04(金) 00:10:10
勝手に使ってるくせして文句言ってくる奴でも居るの?
204 :名無しさん@お腹いっぱい。:2009/09/04(金) 23:19:29
コンテンツ使っているやつが、キャッシュ(リゾルバ)としてつかってたとかね。
DNSサーバだからこれ使えとわからないやつがいってたりね。
DNSサーバだからこれ使えとわからないやつがいってたりね。
205 :名無しさん@お腹いっぱい。:2009/09/05(土) 00:54:03
>>204
ACL書いて組織内からのqueryは通せばいいだけだな
できれば組織内向けリゾルバサーバとしての機能だけを残して(daemonもそれ専用のものに変えて)
コンテンツサーバとしては分離してリナンバーしてNICへの登録を変更してしまうというのがよい
これならほうぼうのresolv.confを書き直して歩く必要はない
ACL書いて組織内からのqueryは通せばいいだけだな
できれば組織内向けリゾルバサーバとしての機能だけを残して(daemonもそれ専用のものに変えて)
コンテンツサーバとしては分離してリナンバーしてNICへの登録を変更してしまうというのがよい
これならほうぼうのresolv.confを書き直して歩く必要はない
206 :名無しさん@お腹いっぱい。:2009/09/05(土) 16:21:26
207 :名無しさん@お腹いっぱい。:2009/09/14(月) 18:03:23
ローカルだけで使用する目的で仮で『aiueo』というだけのドメインで
namedを作ったのですが、dig aiueo; でちゃんと返ってくるところ
までできました。
そこでWindowsのコマンドプロンプトから『ping aiueo』をしてみたの
ですが以下のメッセージが出てpingできません。
Ping request could not find host aiueo. Please check the name and try again.
コマンドプロンプトで『nslookup aiueo』ではちゃんとIPが引けているの
ですが ping では上のようなメッセージが出てしまいます。
hostsに直接書けばこれは『ping aiueo』通ったのですが、DNSだと『aiueo』
のようなドメインはダメなのでしょうか?
namedを作ったのですが、dig aiueo; でちゃんと返ってくるところ
までできました。
そこでWindowsのコマンドプロンプトから『ping aiueo』をしてみたの
ですが以下のメッセージが出てpingできません。
Ping request could not find host aiueo. Please check the name and try again.
コマンドプロンプトで『nslookup aiueo』ではちゃんとIPが引けているの
ですが ping では上のようなメッセージが出てしまいます。
hostsに直接書けばこれは『ping aiueo』通ったのですが、DNSだと『aiueo』
のようなドメインはダメなのでしょうか?
208 :名無しさん@お腹いっぱい。:2009/09/14(月) 18:05:24
>>207
そのWindows機はそのnamedに聞きにいくようになってるのか?
そのWindows機はそのnamedに聞きにいくようになってるのか?
209 :名無しさん@お腹いっぱい。:2009/09/14(月) 18:12:37
ドット「.」がひとつ以上含まれていないと DNSは参照しないというしようだったような。
210 :名無しさん@お腹いっぱい。:2009/09/14(月) 18:25:31
211 :名無しさん@お腹いっぱい。:2009/09/14(月) 18:37:12
>>210
実在するドメインは使わない方がいいぞ
実在するドメインは使わない方がいいぞ
212 :名無しさん@お腹いっぱい。:2009/09/14(月) 22:07:08
213 :名無しさん@お腹いっぱい。:2009/09/14(月) 23:03:14
板違い。
214 :名無しさん@お腹いっぱい。:2009/09/15(火) 15:22:02
なんで .local にしないんだ
215 :名無しさん@お腹いっぱい。:2009/09/15(火) 15:52:15
216 :名無しさん@お腹いっぱい。:2009/09/15(火) 23:49:17
dyndnsか何かで取ったドメインを使うのが俺のおすすめ
217 :名無しさん@お腹いっぱい。:2009/09/16(水) 20:55:38
example.comワロタ。
NXDOMAINが返ってくることを期待してたらどうするんだw
Site Finder対策?
NXDOMAINが返ってくることを期待してたらどうするんだw
Site Finder対策?
218 :名無しさん@お腹いっぱい。:2009/09/16(水) 22:34:22
どこのメーカーも例示といったらacme.comだった頃が懐かしい
219 :名無しさん@お腹いっぱい。:2009/09/17(木) 11:57:13
ttp://acme.com
これもあるな
これもあるな
220 :名無しさん@お腹いっぱい。:2009/09/17(木) 23:46:16
アクメ に一致する日本語のページ 約 558,000 件中 1 - 10 件目 (0.15 秒)
えっちなのはいけないとおもいます(><)
えっちなのはいけないとおもいます(><)
221 :名無しさん@お腹いっぱい。:2009/09/18(金) 02:43:57
幼稚
222 :名無しさん@お腹いっぱい。:2009/09/22(火) 10:09:17
bind9を使ってopendnsみたいなサービスしたいんですが、、
何か参考になるURLあれば教えてください。
何か参考になるURLあれば教えてください。
223 :名無しさん@お腹いっぱい。:2009/09/22(火) 13:02:56
>>222
迷惑だから止めろ
迷惑だから止めろ
224 :名無しさん@お腹いっぱい。:2009/09/22(火) 14:36:50
その程度の知識しかないくせにいらんこと考えるな手を出すな
225 :名無しさん@お腹いっぱい。:2009/09/29(火) 07:36:12
最近、jp.msn.com の名前解決に失敗するんだけど
気のせい?
http://thednsreport.com/?domain=jp.msn.com
http://thednsreport.com/?domain=jp.kaw.cb3.glbdns.microsoft.com
とかでチェックしたら、かなりデタラメなんだけど、
名前解決できない程の問題ではないよね。
気のせい?
http://thednsreport.com/?domain=jp.msn.com
http://thednsreport.com/?domain=jp.kaw.cb3.glbdns.microsoft.com
とかでチェックしたら、かなりデタラメなんだけど、
名前解決できない程の問題ではないよね。
226 :名無しさん@お腹いっぱい。:2009/09/29(火) 09:26:56
dns はどこの
228 :名無しさん@お腹いっぱい。:2009/09/30(水) 01:23:45
root server has changed
はっきりした原因は不明だけど、
自分のマシンから以下のサーバへの問い合わせ、
またはその応答がどこかで失われてるらしい。
glb1.glbdns.microsoft.com
glb2.glbdns.microsoft.com
以下の事例がかなり類似してたので、
http://www.linuxquestions.org/questions/linux-networking-3/bind-problem-for-one-domain-name-726997/
フォワーダを指定して回避することにした。
zone "microsoft.com" {
type forward;
forward only;
forwarders { xxx.xxx.xxx.xxx; }; #プロバイダ提供のname server
};
自分のマシンから以下のサーバへの問い合わせ、
またはその応答がどこかで失われてるらしい。
glb1.glbdns.microsoft.com
glb2.glbdns.microsoft.com
以下の事例がかなり類似してたので、
http://www.linuxquestions.org/questions/linux-networking-3/bind-problem-for-one-domain-name-726997/
フォワーダを指定して回避することにした。
zone "microsoft.com" {
type forward;
forward only;
forwarders { xxx.xxx.xxx.xxx; }; #プロバイダ提供のname server
};
230 :名無しさん@お腹いっぱい。:2009/10/04(日) 06:16:01
231 :名無しさん@お腹いっぱい。:2009/10/04(日) 07:51:17
>>230
きっと関わらない方が無難だと、俺も思う。
きっと関わらない方が無難だと、俺も思う。
232 :名無しさん@お腹いっぱい。:2009/10/04(日) 18:01:45
>>230
なんで犯罪なの?
なんで犯罪なの?
233 :名無しさん@お腹いっぱい。:2009/10/04(日) 22:25:50
234 :名無しさん@お腹いっぱい。:2009/10/04(日) 23:13:05
知ったかをしている勘違い野郎がいるな
235 :名無しさん@お腹いっぱい。:2009/10/05(月) 11:48:03
>>234
誰のこと?
誰のこと?
236 :名無しさん@お腹いっぱい。:2009/10/05(月) 12:52:12
俺だよ、オレオレ!
237 :名無しさん@お腹いっぱい。:2009/10/06(火) 00:00:15
238 :名無しさん@お腹いっぱい。:2009/10/19(月) 22:28:18
e.root-servsers.netが応答しねぇー
239 :名無しさん@お腹いっぱい。:2009/10/19(月) 23:25:09
それipaddress変わったし
ttp://www.root-servers.org/
ここ参照じゃマズイ?
ここ参照じゃマズイ?
241 :名無しさん@お腹いっぱい。:2009/10/20(火) 00:32:01
243 :名無しさん@お腹いっぱい。:2009/11/25(水) 00:22:58
http://www.hash-c.co.jp/info/20091124.html
これって、DNS Rebindingなんて大げさなもの使わなくても、
iモードIDを知っていればHTTPヘッダを小細工すれば
同じようなことできるんじゃないの?
iモードIDはWebサイト持ってれば取得できるわけだし。
俺の認識違い?
これって、DNS Rebindingなんて大げさなもの使わなくても、
iモードIDを知っていればHTTPヘッダを小細工すれば
同じようなことできるんじゃないの?
iモードIDはWebサイト持ってれば取得できるわけだし。
俺の認識違い?
244 :名無しさん@お腹いっぱい。:2009/11/25(水) 01:36:42
245 :名無しさん@お腹いっぱい。:2009/11/25(水) 22:29:10
246 :名無しさん@お腹いっぱい。:2009/11/27(金) 01:16:21
__,,/ _, ----`ヽ :.
:. / _ ___ 、\
/ / i \ \\ :.
:. ,'./ i ヽ:. ヽ:.:.. ヽ.ヽ
,'/ / .ハ ヽ ヽ:.:.:.:. ヽ::.. ヽヽ :.
:. |i .i i .i / ヽ ト 、 \、:.:.:. ',:.',:.:.lヽ}
|i .i l :N_, -弋 \弌弋ナ:}:.:}
:. |i∧ ', :{ ,ィjモト \ イjミトイイV :. な…
.| :メヽ.', `ozZ} izN。ハ::{ なんなんだよもん?
:. | :ヾ_! ゝ "゙゙ ' `゙ ハ.:', :. ここ、どこだよもん?
| :.:_イ .:.ヽ. (二フ , イ :.:.:!:.ヽ なんであたし
:. / rィイ | :.:.ヽ: >r/`<ノ .:.::.}ヽ、\:. 貼られたんだよもん?
/ ∧l;l ! :.:.:.://{二 ̄ .} ..:..::リ//ハ.:\
:. / .{. ',ヾ、ヽi .:.:.{ /(^` |.:.:.:.//: : :.}: . ヽ.:.
/ / ) ヽ ヾ、ヽ:.ハ ヤ{ ∧/.-‐'": : |:.:. i ',
./ .,イ .:..} : :\ヾレ'ハ ∧__ノノハヾ、 : : : l:.:.: .ハ ',
{ /| .:.:ハ : : :i Y {ヾ`Yヽニン'ノ}: : } : : : :/:.:.:/ }:.}
V | .:.:/:.:|_,ィ' ̄ ヽ三{ `ー-ノ : イ : : :/:.:i.:{ リ
ヽ:.:{、.:.V : : ヘ : : {: : :/:.::∧|
ヽ! )人 : : :人 : : : / \! :.
" ヽ : : : : :/イ{ :.ノ: : : :.\ :.
:. \__///: :\______/: : : : : : : ヽ
/ //: : :|;|: : : : : : i: : : __: : : : ',
:. / 、 {;{ |;| . : i/. : : : : : :|
/ `Y;{. . . .|;|. : : : /i: : : : : : : : :l
:. / _ ___ 、\
/ / i \ \\ :.
:. ,'./ i ヽ:. ヽ:.:.. ヽ.ヽ
,'/ / .ハ ヽ ヽ:.:.:.:. ヽ::.. ヽヽ :.
:. |i .i i .i / ヽ ト 、 \、:.:.:. ',:.',:.:.lヽ}
|i .i l :N_, -弋 \弌弋ナ:}:.:}
:. |i∧ ', :{ ,ィjモト \ イjミトイイV :. な…
.| :メヽ.', `ozZ} izN。ハ::{ なんなんだよもん?
:. | :ヾ_! ゝ "゙゙ ' `゙ ハ.:', :. ここ、どこだよもん?
| :.:_イ .:.ヽ. (二フ , イ :.:.:!:.ヽ なんであたし
:. / rィイ | :.:.ヽ: >r/`<ノ .:.::.}ヽ、\:. 貼られたんだよもん?
/ ∧l;l ! :.:.:.://{二 ̄ .} ..:..::リ//ハ.:\
:. / .{. ',ヾ、ヽi .:.:.{ /(^` |.:.:.:.//: : :.}: . ヽ.:.
/ / ) ヽ ヾ、ヽ:.ハ ヤ{ ∧/.-‐'": : |:.:. i ',
./ .,イ .:..} : :\ヾレ'ハ ∧__ノノハヾ、 : : : l:.:.: .ハ ',
{ /| .:.:ハ : : :i Y {ヾ`Yヽニン'ノ}: : } : : : :/:.:.:/ }:.}
V | .:.:/:.:|_,ィ' ̄ ヽ三{ `ー-ノ : イ : : :/:.:i.:{ リ
ヽ:.:{、.:.V : : ヘ : : {: : :/:.::∧|
ヽ! )人 : : :人 : : : / \! :.
" ヽ : : : : :/イ{ :.ノ: : : :.\ :.
:. \__///: :\______/: : : : : : : ヽ
/ //: : :|;|: : : : : : i: : : __: : : : ',
:. / 、 {;{ |;| . : i/. : : : : : :|
/ `Y;{. . . .|;|. : : : /i: : : : : : : : :l
247 :名無しさん@お腹いっぱい。:2009/11/30(月) 13:30:10
bind 9.3 の host と nslookup でコマンドラインでネームサーバを指定したとき、そのネームサーバが
落ちてたときに resolv.conf に書いてあるネームサーバを使った結果が返ってきます。
9.2 と 9.4 では意図したとおり connect time out になるんですが、この 9.3 の動きってバグですか?
落ちてたときに resolv.conf に書いてあるネームサーバを使った結果が返ってきます。
9.2 と 9.4 では意図したとおり connect time out になるんですが、この 9.3 の動きってバグですか?
248 :逆引きの質問:2009/12/01(火) 21:59:08
質問をさせてください。
現在、solaris10, bind9を使っています。
slaveサーバ側でmasterサーバからゾーン転送ができるように設定をし、
named.confの再読み込みを実施しました。
しかし、この段階ではまだmasterサーバ側ではslaveへのゾーン転送設定はしていません。
そのため、slaveサーバ側にはゾーンファイルが作成されておらず、
当然refresh間隔などの情報も持っていません。
この状態がずーと続いた場合、slaveサーバは、定期的にmasterサーバに対して
ゾーン転送の要求を行いますか?
ログ(/var/adm/messages)を見ると、どうも何もしないような気がするのですが・・
また、途中、named.confの再読み込みを何度かしたことはありますが、それでもエラーログをはいた跡はありませんでした
現在、solaris10, bind9を使っています。
slaveサーバ側でmasterサーバからゾーン転送ができるように設定をし、
named.confの再読み込みを実施しました。
しかし、この段階ではまだmasterサーバ側ではslaveへのゾーン転送設定はしていません。
そのため、slaveサーバ側にはゾーンファイルが作成されておらず、
当然refresh間隔などの情報も持っていません。
この状態がずーと続いた場合、slaveサーバは、定期的にmasterサーバに対して
ゾーン転送の要求を行いますか?
ログ(/var/adm/messages)を見ると、どうも何もしないような気がするのですが・・
また、途中、named.confの再読み込みを何度かしたことはありますが、それでもエラーログをはいた跡はありませんでした
行わない
BINDにバグはない。すべては仕様。
251 :名無しさん@お腹いっぱい。:2009/12/02(水) 22:18:51
ソース読めば。
nslookupなんか使わなきゃいいのに
253 :名無しさん@お腹いっぱい。:2009/12/03(木) 19:49:02
"Nslookup is obsolete."って記述が最近消えたって聞いたんだけど
254 :名無しさん@お腹いっぱい。:2009/12/03(木) 19:58:49
表示したってどうせ馬鹿は理解できないからだろ
255 :名無しさん@お腹いっぱい。:2009/12/03(木) 20:22:51
なんで nslookup いかんの?
256 :名無しさん@お腹いっぱい。:2009/12/03(木) 20:39:29
おせっかい
257 :名無しさん@お腹いっぱい。:2009/12/03(木) 22:02:04
すなおに聞きに行かずにまず余計なことを聞いてから処理を始めるから。
258 :名無しさん@お腹いっぱい。:2009/12/04(金) 10:21:40
>>257
最近はそれやめたんじゃなかったっけ。
最近はそれやめたんじゃなかったっけ。
259 :名無しさん@お腹いっぱい。:2009/12/04(金) 12:00:16
>>248
SOA 書き換えない限り slave は何もしないぞ
SOA 書き換えない限り slave は何もしないぞ
260 :名無しさん@お腹いっぱい。:2009/12/09(水) 04:34:52
自宅のネットワークトラフィックを減らしたいので、キャッシュ用のBINDを立ち上げています。
BINDで最大限キャッシュする設定を教えてください。
BINDで最大限キャッシュする設定を教えてください。
261 :名無しさん@お腹いっぱい。:2009/12/09(水) 10:41:00
DNSでどんだけトラフィック食ってるんだ?
262 :名無しさん@お腹いっぱい。:2009/12/09(水) 14:31:02
263 :名無しさん@お腹いっぱい。:2009/12/09(水) 17:39:10
>>262
これって、キャッシュ時間やメモリの最大値を設定してるだけで、
元の(外部の)DNSサーバーが返したキャッシュ時間を超えて
強制的にローカルでキャッシュすることはできないのでは?
質問は、何がなんでも一度問い合わせたDNS情報は
強制的に無期限でキャッシュしたいということだと思うが。
これって、キャッシュ時間やメモリの最大値を設定してるだけで、
元の(外部の)DNSサーバーが返したキャッシュ時間を超えて
強制的にローカルでキャッシュすることはできないのでは?
質問は、何がなんでも一度問い合わせたDNS情報は
強制的に無期限でキャッシュしたいということだと思うが。
264 :名無しさん@お腹いっぱい。:2009/12/09(水) 18:30:11
265 :名無しさん@お腹いっぱい。:2009/12/09(水) 18:34:03
考えがおかしいかどうかは聞いていません。
トラフィックが削減できればいいんです。
トラフィックが削減できればいいんです。
266 :名無しさん@お腹いっぱい。:2009/12/09(水) 18:56:25
たいして削減できないよ。
267 :名無しさん@お腹いっぱい。:2009/12/09(水) 19:05:45
たいして削減できなくてもいいからやりかた教えろよ
268 :名無しさん@お腹いっぱい。:2009/12/09(水) 19:43:37
269 :名無しさん@お腹いっぱい。:2009/12/09(水) 19:47:38
270 :名無しさん@お腹いっぱい。:2009/12/09(水) 20:42:51
>>260
negative hit し続けることほど悲惨なものはないから普通はそういうことはしない
クライアントサイドの DNS lookup のトラフィックなんざ
Yahoo!Japan のトップページを一回開いたら吹き飛ぶような量でしかない
negative hit し続けることほど悲惨なものはないから普通はそういうことはしない
クライアントサイドの DNS lookup のトラフィックなんざ
Yahoo!Japan のトップページを一回開いたら吹き飛ぶような量でしかない
271 :名無しさん@お腹いっぱい。:2009/12/09(水) 20:55:20
DNSとしてのトラフィックを減らしたいのです。
httpとの比較を言われても意味ありません。
今現在、どのDNSの名前解決をしているかを
(最初の1回を除いて)外部に漏らしたくないのです。
httpとの比較を言われても意味ありません。
今現在、どのDNSの名前解決をしているかを
(最初の1回を除いて)外部に漏らしたくないのです。
272 :名無しさん@お腹いっぱい。:2009/12/09(水) 20:59:02
TTL切れたら再度聞きに行くのはアリ?
273 :名無しさん@お腹いっぱい。:2009/12/09(水) 21:00:15
むしろTTLを無視して無限大にしたいと言う質問かと
274 :名無しさん@お腹いっぱい。:2009/12/09(水) 21:03:01
>>273
そこをはっきり言わないんだよね。なぜか。
そこをはっきり言わないんだよね。なぜか。
275 :名無しさん@お腹いっぱい。:2009/12/10(木) 00:57:08
サーバが引っ越したらどうするつもりなんだろうね
276 :名無しさん@お腹いっぱい。:2009/12/10(木) 07:13:24
>>275
デスクトップ用途なら毎日起動しなおすから、
DNSサーバーの移動のような長いスパンは考えなくていい。
たまたま起動中にどこかのDNSサーバーが移動した場合は
手動でキャッシュサーバーを再起動すればいいだけ。
デスクトップ用途なら毎日起動しなおすから、
DNSサーバーの移動のような長いスパンは考えなくていい。
たまたま起動中にどこかのDNSサーバーが移動した場合は
手動でキャッシュサーバーを再起動すればいいだけ。
277 :名無しさん@お腹いっぱい。:2009/12/10(木) 07:18:24
どれが質問者かわからんな。
トリップつけてくれ。
トリップつけてくれ。
278 :名無しさん@お腹いっぱい。:2009/12/10(木) 09:51:28
279 :名無しさん@お腹いっぱい。:2009/12/10(木) 09:58:42
280 :名無しさん@お腹いっぱい。:2009/12/10(木) 10:14:01
BINDなんかやめてdjbdns使うのがおすすめ
281 :名無しさん@お腹いっぱい。:2009/12/10(木) 10:19:35
282 :名無しさん@お腹いっぱい。:2009/12/10(木) 21:45:38
CDNでデータ供給しているサイトあてのアクセスとかはどうするつもり?
あれはかなり激しく向き先が変わるぞ
あれはかなり激しく向き先が変わるぞ
283 :名無しさん@お腹いっぱい。:2009/12/11(金) 09:07:58
いまどきdjbdnsなんかおすすめすんな
284 :名無しさん@お腹いっぱい。:2009/12/11(金) 09:50:33
>>283
なんで?
なんで?
285 :名無しさん@お腹いっぱい。:2009/12/11(金) 15:23:08
BIND使いならforwarders指定するのが良いんじゃない?
ttp://acapulco.dyndns.org/blog/2009/12/06/632
ttp://acapulco.dyndns.org/blog/2009/12/06/632
286 :名無しさん@お腹いっぱい。:2009/12/11(金) 15:29:37
>>285
トラフィックは減らないんじゃない?
トラフィックは減らないんじゃない?
287 :名無しさん@お腹いっぱい。:2009/12/11(金) 15:51:32
米Neustar、リアルタイムDNS更新を目指すイニシアティブを設立
http://internet.watch.impress.co.jp/docs/news/20091211_335219.html
DNSキャッシュを制御しよう! だそうで。
(いろいろとアタック系の別の問題が激しく起きそうな)
http://internet.watch.impress.co.jp/docs/news/20091211_335219.html
DNSキャッシュを制御しよう! だそうで。
(いろいろとアタック系の別の問題が激しく起きそうな)
288 :名無しさん@お腹いっぱい。:2009/12/13(日) 17:19:44
A-192-168-0-1.EXAMPLE.COMとかでAレコードひくと
192.168.0.1を返してくるDNSサーバを提供してるドメインってないですか?
192.168.0.1を返してくるDNSサーバを提供してるドメインってないですか?
289 :名無しさん@お腹いっぱい。:2009/12/13(日) 18:00:58
>>288
何がしたいの。
何がしたいの。
290 :名無しさん@お腹いっぱい。:2009/12/13(日) 18:08:28
echo '192.168.0.1 A-192-168-0-1.EXAMPLE.COM' >> /etc/hosts
291 :名無しさん@お腹いっぱい。:2009/12/13(日) 19:52:02
>>290
ありがとう。今環境がないので月曜日に試してみます。
ありがとう。今環境がないので月曜日に試してみます。
292 :名無しさん@お腹いっぱい。:2009/12/13(日) 22:44:23
え、それでいいの!?
>>289
スゴーク.長い.任意の.サブドメイン名.A-192-168-0-1.EXAMPLE.COM
という名前を、
>>290
自分の管理下にないホストにも参照させたい。
ということです。
Dynamic DNSサービスでシコシコ登録すればできるんですが、
そういうサービスないかなと思いました。
スゴーク.長い.任意の.サブドメイン名.A-192-168-0-1.EXAMPLE.COM
という名前を、
>>290
自分の管理下にないホストにも参照させたい。
ということです。
Dynamic DNSサービスでシコシコ登録すればできるんですが、
そういうサービスないかなと思いました。
294 :名無しさん@お腹いっぱい。:2009/12/14(月) 10:39:36
意味わからん。
295 :名無しさん@お腹いっぱい。:2009/12/14(月) 23:21:04
>>293
リゾルバサーバを powerdns-recursor にすると、
ほかのゾーンから引いてきたリソースレコードに /etc/hosts (等任意のファイル)に
書いた内容をオーバーライドして返事をしてくれる。
ソフトウェア開発上の都合で fake resolver をつくらなければならないときにかなり便利。
リゾルバサーバを powerdns-recursor にすると、
ほかのゾーンから引いてきたリソースレコードに /etc/hosts (等任意のファイル)に
書いた内容をオーバーライドして返事をしてくれる。
ソフトウェア開発上の都合で fake resolver をつくらなければならないときにかなり便利。
296 :名無しさん@お腹いっぱい。:2009/12/25(金) 17:51:07
Dec 25 17:35:03 localhost named[17732]: unexpected RCODE (REFUSED) resolving '54.244.149.89.in-addr.arpa/PTR/IN': 217.20.116.2#53
Dec 25 17:45:31 localhost named[17732]: unexpected RCODE (REFUSED) resolving '54.244.149.89.in-addr.arpa/PTR/IN': 217.20.115.2#53
こういうログが溢れてるんですけど、これって何何でしょうか?
Dec 25 17:45:31 localhost named[17732]: unexpected RCODE (REFUSED) resolving '54.244.149.89.in-addr.arpa/PTR/IN': 217.20.115.2#53
こういうログが溢れてるんですけど、これって何何でしょうか?
297 :名無しさん@お腹いっぱい。:2009/12/25(金) 18:59:42
何何でしょうか -> 何なのでしょうか
298 :名無しさん@お腹いっぱい。:2009/12/26(土) 01:30:21
http://www.google.co.jp/search?rlz=1C1CHMA_jaJP357JP357&sourceid=chrome&ie=UTF-8&q=unexpected+RCODE+(REFUSED)+resolving
299 :名無しさん@お腹いっぱい。:2010/01/22(金) 06:16:34
ちょいと質問させてください。
VPSサービスで鯖運用、DNSサーバにBindを使用しているのですが、
FreeDNSreport
ttp://thednsreport.com/
というサイトで、以下のようなWarningとErrorがでるのですが、何が原因でしょうか?
プライマリを自分のDNSサーバ、セカンダリをVPSサービス側で用意されたものを設定
HTTPもSMTPも特別問題なく動いているのですが、failで警告表示がでているので気になって・・・。
warnはいくつかのParentネームサーバであなたのドメインの解決はできないよって怒られていてるようなのですが。
warn Glue at parent nameservers
WARNING. The parent servers (I checked withd.dns.jp.) are not providing glue for all your nameservers.
This means that they are supplying the NS records (host.example.com), but not supplying the A records That may cause some extra miliseconds in DNS.
This will usually occur if your DNS servers are not in the same TLD as your domain
fail No NS A records at nameservers
Error: some servers does not provide A records for nameservers
At ***********.***** [***.***.***.***] ←VPSで使用しているドメインとIP
No A record for *******.**** ←VPSサービス側で用意しているセカンダリDNS
VPSサービスで鯖運用、DNSサーバにBindを使用しているのですが、
FreeDNSreport
ttp://thednsreport.com/
というサイトで、以下のようなWarningとErrorがでるのですが、何が原因でしょうか?
プライマリを自分のDNSサーバ、セカンダリをVPSサービス側で用意されたものを設定
HTTPもSMTPも特別問題なく動いているのですが、failで警告表示がでているので気になって・・・。
warnはいくつかのParentネームサーバであなたのドメインの解決はできないよって怒られていてるようなのですが。
warn Glue at parent nameservers
WARNING. The parent servers (I checked withd.dns.jp.) are not providing glue for all your nameservers.
This means that they are supplying the NS records (host.example.com), but not supplying the A records That may cause some extra miliseconds in DNS.
This will usually occur if your DNS servers are not in the same TLD as your domain
fail No NS A records at nameservers
Error: some servers does not provide A records for nameservers
At ***********.***** [***.***.***.***] ←VPSで使用しているドメインとIP
No A record for *******.**** ←VPSサービス側で用意しているセカンダリDNS
300 :名無しさん@お腹いっぱい。:2010/01/22(金) 08:57:35
公開サーバとして登録されていないサーバを指定してるんだろ。
301 :名無しさん@お腹いっぱい。:2010/01/22(金) 20:47:34
LINUX系のDNSの構築っていくら取れるんですか?
社内で別部署の偉い人から頼まれたんです。
報酬は「うちの余った予算で好きなもの買ってやる」、だそうです。
一応仮で立てまして、言われた条件は全てクリアはしたとは思っています。
社内からは4セグメント、2度ドメインACL制限と全ホストの正逆引きOK
セキュリティ(iptableでアクセス制限)とバックアップ(週一で社内サーバーに
sambaマウントでコピーするcron)
運用と保守に関してはその部署の女の子が担当だそうで。
直接config触ると多分泣いちゃうので(僕が)webminで設定変更を
可能に(イントラ、SQL、webmin、日本語化)
サーバーの監視ソフト(nagios)と緊急用メールサーバー。
グローバルは4つ。うち一つは社外からの緊急保守用。
これっていくら取れます?
つーかこんなんでいいの?全部フリーなんですけど。
別会社名で通販を始めるそうで。
素材もフリー。色々ググッて構築なんですけど。
これ本当にいいの?良いなら一台いくら取れるの?
やめたほうがいいですかね?
いや世間なんてそんなモンだよですかね?
社内で別部署の偉い人から頼まれたんです。
報酬は「うちの余った予算で好きなもの買ってやる」、だそうです。
一応仮で立てまして、言われた条件は全てクリアはしたとは思っています。
社内からは4セグメント、2度ドメインACL制限と全ホストの正逆引きOK
セキュリティ(iptableでアクセス制限)とバックアップ(週一で社内サーバーに
sambaマウントでコピーするcron)
運用と保守に関してはその部署の女の子が担当だそうで。
直接config触ると多分泣いちゃうので(僕が)webminで設定変更を
可能に(イントラ、SQL、webmin、日本語化)
サーバーの監視ソフト(nagios)と緊急用メールサーバー。
グローバルは4つ。うち一つは社外からの緊急保守用。
これっていくら取れます?
つーかこんなんでいいの?全部フリーなんですけど。
別会社名で通販を始めるそうで。
素材もフリー。色々ググッて構築なんですけど。
これ本当にいいの?良いなら一台いくら取れるの?
やめたほうがいいですかね?
いや世間なんてそんなモンだよですかね?
302 :名無しさん@お腹いっぱい。:2010/01/22(金) 20:57:33
日本語でおk
303 :名無しさん@お腹いっぱい。:2010/01/22(金) 22:54:19
フリーだからって知識がないと設定出来ないんだから金は取っていいよ
ただし設定間違えてアクセス出来なくなっても知らないよwww
損害賠償請求されたらもらった金全部返すくらいの覚悟は必要かな
責任負えるなら自信持って受ければ良いよ
ただし設定間違えてアクセス出来なくなっても知らないよwww
損害賠償請求されたらもらった金全部返すくらいの覚悟は必要かな
責任負えるなら自信持って受ければ良いよ
304 :名無しさん@お腹いっぱい。:2010/01/22(金) 22:56:00
余った予算全取りできるでしょう
305 :名無しさん@お腹いっぱい。:2010/01/23(土) 02:23:40
社内で別部署って書いてるから自分とこの会社の中の話と思ってたんだが違うのか?
そんで、>>301が作ったやつを再販するからどのくらいの金額設定すればいいのか?という話に見えたんだが。
そんで、>>301が作ったやつを再販するからどのくらいの金額設定すればいいのか?という話に見えたんだが。
DNS勉強する前に日本語勉強しる
307 :名無しさん@お腹いっぱい。:2010/01/23(土) 16:10:09
>>300
うーん、いまいち理解できません・・・。馬鹿で申し訳ない。
VPSサービス側が用意したセカンダリDNSが公開サーバとして登録されていないって
ことでしょうか? そもそも登録とはいかに・・・?
勉強不足なのはわかっておりますので、答えとは言いませんがヒントだけでも。
うーん、いまいち理解できません・・・。馬鹿で申し訳ない。
VPSサービス側が用意したセカンダリDNSが公開サーバとして登録されていないって
ことでしょうか? そもそも登録とはいかに・・・?
勉強不足なのはわかっておりますので、答えとは言いませんがヒントだけでも。
308 :名無しさん@お腹いっぱい。:2010/01/23(土) 16:19:19
知ってるがおまえには教えない(AA略
309 :名無しさん@お腹いっぱい。:2010/01/23(土) 16:37:36
>>308 × 正しくは…
○ 知らないから教えられない
○ 知らないから教えられない
310 :名無しさん@お腹いっぱい。:2010/01/23(土) 16:48:45
>>307
"DNS グルー" でググれ
"DNS グルー" でググれ
311 :名無しさん@お腹いっぱい。:2010/01/23(土) 18:13:13
>>309
煽っても何も出ませんよ
煽っても何も出ませんよ
312 :名無しさん@お腹いっぱい。:2010/01/23(土) 22:40:05
>>311
被害妄想すぎる
被害妄想すぎる
313 :名無しさん@お腹いっぱい。:2010/01/25(月) 04:37:59
WEBでドメインが弾けない場合にOpenDNSみたいに独自のエラー画面出すにはどうしたらいい?
314 :名無しさん@お腹いっぱい。:2010/01/26(火) 00:23:37
315 :名無しさん@お腹いっぱい。:2010/01/26(火) 07:15:26
316 :名無しさん@お腹いっぱい。:2010/01/26(火) 22:59:31
317 :名無しさん@お腹いっぱい。:2010/01/30(土) 03:08:18
>>316
301です。
今日偉い人同士話し合いで20万現金で付け替えで決着していました。
んで知らない間に本体も稼動していました。
全支店用のセカンダリーとしても使っていくんだそうで。
仕様書書くのが超面倒くさい
ありがとうございました
301です。
今日偉い人同士話し合いで20万現金で付け替えで決着していました。
んで知らない間に本体も稼動していました。
全支店用のセカンダリーとしても使っていくんだそうで。
仕様書書くのが超面倒くさい
ありがとうございました
318 :名無しさん@お腹いっぱい。:2010/01/30(土) 16:40:53
仕様書代も含まれちゃってるのか。追加で費用もらうべきだなあぁ。
319 :名無しさん@お腹いっぱい。:2010/01/31(日) 10:18:31
この後でサポート要請が際限なく来たりして。
レコード追加したくなる度に依頼が来るとか、PC不調になるたびに
念のため見てくれとか話が来るとか。
レコード追加したくなる度に依頼が来るとか、PC不調になるたびに
念のため見てくれとか話が来るとか。
320 :名無しさん@お腹いっぱい。:2010/01/31(日) 16:53:58
昔お客さんから「PCから変な音がするから来てくれ」って言われて
一時間掛けて逝って見たらキーボードの上に物が載ってただけだった
一時間掛けて逝って見たらキーボードの上に物が載ってただけだった
321 :名無しさん@お腹いっぱい。:2010/02/23(火) 15:55:48
DNSサーバを2台立てて
A-DNSはA-WEBのアドレスを返す
B-DNSはB-WEBのアドレスを返す
なんてことはやっていいことですか。
A-DNSはA-WEBのアドレスを返す
B-DNSはB-WEBのアドレスを返す
なんてことはやっていいことですか。
322 :名無しさん@お腹いっぱい。:2010/02/23(火) 15:57:46
googleのDNSはgoogleのアドレスを返して、
yahooのDNSはyahooのアドレスを返してるけど何か問題でも?
yahooのDNSはyahooのアドレスを返してるけど何か問題でも?
A-DNSとA-WEB、B-DNSとB-WEBはそれぞれ同じVMサーバー内で動いています。
どちらかのVMが死んでも、もう片方で運用できるかを考えています。
A-WEBとB-WEBの中身は定期的に同期させています。
どちらかのVMが死んでも、もう片方で運用できるかを考えています。
A-WEBとB-WEBの中身は定期的に同期させています。
324 :名無しさん@お腹いっぱい。:2010/02/23(火) 17:12:32
NameServerのスレで何を聞いているんだ?
325 :名無しさん@お腹いっぱい。:2010/02/23(火) 17:13:17
考えるんじゃなくて、本を読もう。バッタ本とか。
DNSの基本的な理解がまったく足りてない。
DNSの基本的な理解がまったく足りてない。
327 :名無しさん@お腹いっぱい。:2010/02/23(火) 17:39:48
そういう基本を書かずに設定ファイルの書き方だけしか載ってないような本なら捨てろ
328 :名無しさん@お腹いっぱい。:2010/02/23(火) 18:07:45
同期させないとしても君の目的は満たせない。
329 :名無しさん@お腹いっぱい。:2010/02/23(火) 21:46:05
330 :名無しさん@お腹いっぱい。:2010/02/23(火) 23:48:40
LBはロードバランサですね。
例えばDNS、サーバがある所がまるごと、大げさに言って建物全体が
停電とかルータが壊れたという事態になったときに、
あらかじめ同じ構成を離れた場所に作っておいて、そちらに向ける
ってことをしたいのです。
そんな場合でもLBは使えますか?
例えばDNS、サーバがある所がまるごと、大げさに言って建物全体が
停電とかルータが壊れたという事態になったときに、
あらかじめ同じ構成を離れた場所に作っておいて、そちらに向ける
ってことをしたいのです。
そんな場合でもLBは使えますか?
332 :名無しさん@お腹いっぱい。:2010/02/24(水) 10:18:46
そんな重要なサーバなら
ちゃんとお金かけてSIerに相談すべき。
ちゃんとお金かけてSIerに相談すべき。
サーバが重要かどうかは問題ではありません。
お金が掛けるとか掛けないかってことでもないです。
方法が可能なのかってことが知りたいのです。
お金が掛けるとか掛けないかってことでもないです。
方法が可能なのかってことが知りたいのです。
334 :名無しさん@お腹いっぱい。:2010/02/24(水) 10:55:24
>>331
GSLB
GSLB
一度名前解決ができてキャッシュが利いているなら無理ですが、
そうではないクライアントが接続するのに、一方がすべて死んでいたなら、
他方のDNSとその名前解決で接続出来そうな気がしたのですが、
実際はそうではないのですね。
そうではないクライアントが接続するのに、一方がすべて死んでいたなら、
他方のDNSとその名前解決で接続出来そうな気がしたのですが、
実際はそうではないのですね。
337 :名無しさん@お腹いっぱい。:2010/02/24(水) 13:11:58
試しにやってみたら
338 :名無しさん@お腹いっぱい。:2010/02/24(水) 14:13:27
339 :名無しさん@お腹いっぱい。:2010/02/24(水) 20:01:32
340 :名無しさん@お腹いっぱい。:2010/02/25(木) 02:16:44
お手軽ロードバランシングならDNS使うよりIPVS+keepalivedおすすめ。スレチだけど。
341 :名無しさん@お腹いっぱい。:2010/02/25(木) 07:24:15
この板的にはpfのround - robinと言って欲しいところ
LVS+keepalivedほどの機能はないがその場にあるものを使える点でずっとお手軽
LVS+keepalivedほどの機能はないがその場にあるものを使える点でずっとお手軽
342 :名無しさん@お腹いっぱい。:2010/03/05(金) 15:56:42
自宅鯖の質問スレに投下した馬鹿がいたので本人が仰るとおり無断転載しとくw
http://pc11.2ch.net/test/read.cgi/mysv/1260157258/614-619 が前置き
628 名前:615[sage] 投稿日:2010/03/05(金) 13:42:31 ID:???
シカトされるかと思ってたんですが
テスターしてもいいって人が1人はおられて、ひと安心・・・
なんで、昨晩がんばってホームページぽい説明ページを作りました。
今朝がたドメインも買い直しました。
日本語.jpを買ってあったんですが、nslookup が日本語に対応してなくて
代わりに xn--〜 と書かなくてはいけないことに買った後で発覚・・・
http://cc.wariate.jp/
です
cc は カントリーコードの略で、割り当てカントリーコード、って意味で付けました
スレチでしたら、ヨソへ無断転載いただいて構いません
http://pc11.2ch.net/test/read.cgi/mysv/1260157258/614-619 が前置き
628 名前:615[sage] 投稿日:2010/03/05(金) 13:42:31 ID:???
シカトされるかと思ってたんですが
テスターしてもいいって人が1人はおられて、ひと安心・・・
なんで、昨晩がんばってホームページぽい説明ページを作りました。
今朝がたドメインも買い直しました。
日本語.jpを買ってあったんですが、nslookup が日本語に対応してなくて
代わりに xn--〜 と書かなくてはいけないことに買った後で発覚・・・
http://cc.wariate.jp/
です
cc は カントリーコードの略で、割り当てカントリーコード、って意味で付けました
スレチでしたら、ヨソへ無断転載いただいて構いません
343 :名無しさん@お腹いっぱい。:2010/04/12(月) 21:17:30
すみません。誰か教えてください。
DNSSECの勉強中ですが、1つのドメインに対して複数のZSK公開鍵のDNSKEYレコードを
登録する理由は何でしょうか?
dig @localhost se. dnskey +dnssec
を実行すると複数出てきます。
seドメインのzsk公開鍵は1つで十分ではないでしょうか?
DNSSECの勉強中ですが、1つのドメインに対して複数のZSK公開鍵のDNSKEYレコードを
登録する理由は何でしょうか?
dig @localhost se. dnskey +dnssec
を実行すると複数出てきます。
seドメインのzsk公開鍵は1つで十分ではないでしょうか?
344 :名無しさん@お腹いっぱい。:2010/04/12(月) 21:42:09
WEPキーが4つ入力できる理由と同じのはず
345 :名無しさん@お腹いっぱい。:2010/04/14(水) 22:52:20
bind9.5でのloggingの設定について教えてください。
dns&bind5版やサイトでは、
logging {
channel "チャネル名" {
file "出力ファイル名";
severity dynamic;
};
category default {"チャネル名";};
};
を設定すれば、すべてのログがファイルに出力されると書いていましたが、
実際設定したところ、すべてでもなくまたsyslog(から/var/log/messagesへ)
にも出力されていました。
面倒でも、すべてのカテゴリに対して、
category カテゴリ {"チャネル名";};
を追加したらファイルへすべて出力され、syslogへの出力もなくなりました。
これって、本やサイトの説明が間違っているのでしょうか?
dns&bind5版やサイトでは、
logging {
channel "チャネル名" {
file "出力ファイル名";
severity dynamic;
};
category default {"チャネル名";};
};
を設定すれば、すべてのログがファイルに出力されると書いていましたが、
実際設定したところ、すべてでもなくまたsyslog(から/var/log/messagesへ)
にも出力されていました。
面倒でも、すべてのカテゴリに対して、
category カテゴリ {"チャネル名";};
を追加したらファイルへすべて出力され、syslogへの出力もなくなりました。
これって、本やサイトの説明が間違っているのでしょうか?
346 :名無しさん@お腹いっぱい。:2010/04/14(水) 23:08:15
デフォルトでsyslogに出すチャネルが存在して、
そのチャネルと同じ名前でsyslog以外に出すように
上書きしてない?
そのチャネルと同じ名前でsyslog以外に出すように
上書きしてない?
347 :名無しさん@お腹いっぱい。:2010/04/17(土) 01:24:00
>>346
named.confでデフォルトで書かれていた設定は以下の通りです(現在はコメントアウト)
#logging {
# channel default_debug {
# file "data/named.run";
# severity dynamic;
# };
#};
named.confでデフォルトで書かれていた設定は以下の通りです(現在はコメントアウト)
#logging {
# channel default_debug {
# file "data/named.run";
# severity dynamic;
# };
#};
348 :名無しさん@お腹いっぱい。:2010/04/17(土) 01:37:53
pv6対応のdns構築中なんですが、ループバックアドレス(::1)に対する逆引きだけが
どーしてもうまくいきません。
一応設定は、KDDIのHPを参考にしました。
ttp://www.kddi.com/business/customer/internet/powered/dns_ipv6.html
現在の設定は、
vi named.conf
zone "0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.ip6.arpa" IN {
type master;
file "zonefile/localhostv6.rev";
};
vi zonefile/localhostv6.rev
$TTL 1D
@ IN SOA nssv1.example.jp. root.example.jp.(
2010033002 ; serial
6H ; refresh
1H ; retry
1W ; expire
900 ) ; minimum
;
NS localhost.
;
1 PTR localhost.
どーしてもうまくいきません。
一応設定は、KDDIのHPを参考にしました。
ttp://www.kddi.com/business/customer/internet/powered/dns_ipv6.html
現在の設定は、
vi named.conf
zone "0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.ip6.arpa" IN {
type master;
file "zonefile/localhostv6.rev";
};
vi zonefile/localhostv6.rev
$TTL 1D
@ IN SOA nssv1.example.jp. root.example.jp.(
2010033002 ; serial
6H ; refresh
1H ; retry
1W ; expire
900 ) ; minimum
;
NS localhost.
;
1 PTR localhost.
349 :348のつづき:2010/04/17(土) 01:42:23
# dig @localhost -x ::1 ptr +norec
;; flags: qr aa ra; QUERY: 1, ANSWER: 0, AUTHORITY: 1, ADDITIONAL: 0
;; QUESTION SECTION:
;1.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.ip6.arpa. IN PTR
;; AUTHORITY SECTION:
1.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.ip6.arpa. 86400 IN SOA 1.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.ip6.arpa. . 0 28800 7200 604800 86400
flagsにaaがあることと、authority sectionのSOAレコードから、
自サーバ内の別の設定ファイルを見ているようなんですが、どうしてもその理由が分かりません。
同じzonefile内に置いているIPv4のループバック、グローバルの逆引き、正引き、IPv6のグローバルの逆引きは
正常に応答できています。
350 :名無しさん@お腹いっぱい。:2010/04/17(土) 01:56:36
351 :名無しさん@お腹いっぱい。:2010/04/17(土) 03:33:08
>>350
ツンデレ回答乙でした。直りました。
disable-empty-zone〜の3行追加しただけです。
ちなみに fedora9 BIND 9.5.0b2 です。
ググッたら、named.confにデフォルトで書かれているようでしたが、
自分のnamed.confにはありませんでした。
昔のログには、
automatic empty zone: 1.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.IP6.ARPA
というものが出ていました。
ツンデレ回答乙でした。直りました。
disable-empty-zone〜の3行追加しただけです。
ちなみに fedora9 BIND 9.5.0b2 です。
ググッたら、named.confにデフォルトで書かれているようでしたが、
自分のnamed.confにはありませんでした。
昔のログには、
automatic empty zone: 1.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.IP6.ARPA
というものが出ていました。
352 :名無しさん@お腹いっぱい。:2010/04/30(金) 23:59:01
助けてください!
汎用JPのdnsを書き換える方法ありませんか?
Aレコード?、CNAME?全て消えてしまいました。
サーバーへ向いていません。
今すぐ書き換えたいです!
または、別のアドレスに転送でも良いです。
ほぼ素人ですが、どなたかよろしくお願いします。
汎用JPのdnsを書き換える方法ありませんか?
Aレコード?、CNAME?全て消えてしまいました。
サーバーへ向いていません。
今すぐ書き換えたいです!
または、別のアドレスに転送でも良いです。
ほぼ素人ですが、どなたかよろしくお願いします。
353 :名無しさん@お腹いっぱい。:2010/05/01(土) 05:48:40
>>352
意味不明なんだが、ドメイン更新してなくて削除されたとか。
意味不明なんだが、ドメイン更新してなくて削除されたとか。
354 :名無しさん@お腹いっぱい。:2010/05/01(土) 05:58:59
なんで DNS の仕組みそのものを理解しないで bind とか設定しようとしてる訳?
にわかネットベンチャーの社員か?
にわかネットベンチャーの社員か?
355 :名無しさん@お腹いっぱい。:2010/05/08(土) 12:26:40
自宅サーバのcentOS5.4にbindをインストールしようと思っています。
その前に、bindというかdnsの機能を確認したいんですが、
クライアントからurlのリクエストが来る
対応するIPアドレスをdnsが返す
クライアントがそのIPアドレスに接続する
ブラウザで表示
って流れですよね?
てことは固定のグローバルIPアドレスとドメインをを持ってなければ
dnsインストールしても意味がないんでしょうか?
こんなボケた質問するのにdnsを入れようと言うのは、単にlinuxの設定本に
書いてあることを全部やってみようという理由と、
postfixでのメール送信にかかわりがあるらしいからという理由です。
初心者質問ですみませんが、お願いします。
その前に、bindというかdnsの機能を確認したいんですが、
クライアントからurlのリクエストが来る
対応するIPアドレスをdnsが返す
クライアントがそのIPアドレスに接続する
ブラウザで表示
って流れですよね?
てことは固定のグローバルIPアドレスとドメインをを持ってなければ
dnsインストールしても意味がないんでしょうか?
こんなボケた質問するのにdnsを入れようと言うのは、単にlinuxの設定本に
書いてあることを全部やってみようという理由と、
postfixでのメール送信にかかわりがあるらしいからという理由です。
初心者質問ですみませんが、お願いします。
356 :名無しさん@お腹いっぱい。:2010/05/08(土) 12:31:42
358 :名無しさん@お腹いっぱい。:2010/05/09(日) 03:49:26
>てことは固定のグローバルIPアドレスとドメインをを持ってなければ
>dnsインストールしても意味がないんでしょうか?
なんでそう思ったの?
>dnsインストールしても意味がないんでしょうか?
なんでそう思ったの?
359 :名無しさん@お腹いっぱい。:2010/05/09(日) 06:00:41
Archivo resolv conf
http://www.ajaxman.net/wp-content/uploads/2008/09/resolvconf.jpeg
resolv conf ?rne?i
http://www19.atpages.jp/imagelinkget/get.php?t=v&u=www.archlinuxtr.org/kurulum/images/kurulum026.png
kuro 09 png
http://www2.wapres.org/kuro-box/img/kuro_09.png
図3 nameserver という文字列を含むファイルの検索
http://image.gihyo.co.jp/assets/images/admin/serial/01/ubuntu-recipe/0024/thumb/TH400_0024-03.png
netconfig wbel331 png
http://www.obenri.com/_minset_wbel3/image/netconfig_wbel331.png
http://www.ajaxman.net/wp-content/uploads/2008/09/resolvconf.jpeg
resolv conf ?rne?i
http://www19.atpages.jp/imagelinkget/get.php?t=v&u=www.archlinuxtr.org/kurulum/images/kurulum026.png
kuro 09 png
http://www2.wapres.org/kuro-box/img/kuro_09.png
図3 nameserver という文字列を含むファイルの検索
http://image.gihyo.co.jp/assets/images/admin/serial/01/ubuntu-recipe/0024/thumb/TH400_0024-03.png
netconfig wbel331 png
http://www.obenri.com/_minset_wbel3/image/netconfig_wbel331.png
360 :名無しさん@お腹いっぱい。:2010/05/10(月) 15:30:08
http://www.ajaxman.net/wp-content/uploads/2008/09/resolvconf.jpeg
http://www.archlinuxtr.org/kurulum/images/kurulum026.png
http://www19.atpages.jp/imagelinkget/get.php?t=v&u=www2.wapres.org/kuro-box/img/kuro_09.png
http://www.archlinuxtr.org/kurulum/images/kurulum026.png
http://www19.atpages.jp/imagelinkget/get.php?t=v&u=www2.wapres.org/kuro-box/img/kuro_09.png
361 :名無しさん@お腹いっぱい。:2010/05/10(月) 21:56:43
>>356,357
お礼遅れました、ありがとうございます
>>358
勘違いしてました。今はローカル向けで設定の勉強してます
すみませんさらに追加の質問させてください。
今bind9で設定していて、ローカルIPの192.168.0.10にdns(bind)とhttpd, postfixその他サーバを入れています。
で、逆引き設定したのですがnslookupの検証でうまくいきません。
> 192.168.0.10
Server: 192.168.0.10
Address: 192.168.0.10#53
*** Can't find 10.0.168.192.in-addr.arpa.: No answer
というエラーが出てしまいます。
該当のゾーン設定ファイルは以下の通りです。
$TTL 86400
0.168.192.in-addr.arpa. IN SOA ns.sample.co.jp. root.sample.co.jp. (
2010050802 ;Serial
7200 ;Refresh
3600 ;Retry
604800 ;Expire
3600 ;Minimum TTL
)
IN NS ns.sample.co.jp.
10 IN PTR ns.sample.co.jp.
どこに原因があるのでしょうか?
環境の説明はもう少し続きます(次のレスへ)
お礼遅れました、ありがとうございます
>>358
勘違いしてました。今はローカル向けで設定の勉強してます
すみませんさらに追加の質問させてください。
今bind9で設定していて、ローカルIPの192.168.0.10にdns(bind)とhttpd, postfixその他サーバを入れています。
で、逆引き設定したのですがnslookupの検証でうまくいきません。
> 192.168.0.10
Server: 192.168.0.10
Address: 192.168.0.10#53
*** Can't find 10.0.168.192.in-addr.arpa.: No answer
というエラーが出てしまいます。
該当のゾーン設定ファイルは以下の通りです。
$TTL 86400
0.168.192.in-addr.arpa. IN SOA ns.sample.co.jp. root.sample.co.jp. (
2010050802 ;Serial
7200 ;Refresh
3600 ;Retry
604800 ;Expire
3600 ;Minimum TTL
)
IN NS ns.sample.co.jp.
10 IN PTR ns.sample.co.jp.
どこに原因があるのでしょうか?
環境の説明はもう少し続きます(次のレスへ)
362 :名無しさん@お腹いっぱい。:2010/05/10(月) 22:08:47
named-checkzoneとnamed-checkconfを活用せよ。
補足1)named.confでの正引き用、逆引き用ゾーン設定は以下の通りです
zone "sample.co.jp"{
type master;
file "sample.co.jp.db";
allow-transfer{none;};/*転送許可するスレーブサーバ*/
};
zone "0.168.192.in-addr.arpa" {
type master;
file "0.168.192.in-addr.arpa.db";
allow-transfer {none;};
};
※named-checkconfコマンドでエラーは表示されません。
補足2)nslookupでの検証では、正引きは正常に返ります(以下の通り)
> www.sample.co.jp
Server: 192.168.0.10
Address: 192.168.0.10#53
www.sample.co.jp canonical name = ns.sample.co.jp.
Name: ns.sample.co.jp
Address: 192.168.0.10
補足3)また、同一ローカルネットワーク上の他マシンのfirefoxでwww.sample.co.jpをブラウジングしようとすると
「www.sample.co.jp という名前のサーバが見つかりませんでした。」とエラーになります。
※実は、このドメインはインターネット上に実在してて、アクセスできるはずのものです
補足4)このbindの設定以前に、内部ネットワークのマシン(macとwin)には、192.168.0.10またはwww.hogehoge.comに
ブラウズすると、サーバ(192.168.0.10)のapache中のサイト(www.hogehoge.com)が見えるよう設定してあります。
不要な情報や補足があるかもしれませんが、関係しているのかなと思われたことを書かせていただきました。
どうして逆引きがエラーになるのか、また www.sample.co.jpへのブラウジングがなぜ失敗するのか
説明いただけたらうれしいです。長くてすみません、よろしくお願いします。
zone "sample.co.jp"{
type master;
file "sample.co.jp.db";
allow-transfer{none;};/*転送許可するスレーブサーバ*/
};
zone "0.168.192.in-addr.arpa" {
type master;
file "0.168.192.in-addr.arpa.db";
allow-transfer {none;};
};
※named-checkconfコマンドでエラーは表示されません。
補足2)nslookupでの検証では、正引きは正常に返ります(以下の通り)
> www.sample.co.jp
Server: 192.168.0.10
Address: 192.168.0.10#53
www.sample.co.jp canonical name = ns.sample.co.jp.
Name: ns.sample.co.jp
Address: 192.168.0.10
補足3)また、同一ローカルネットワーク上の他マシンのfirefoxでwww.sample.co.jpをブラウジングしようとすると
「www.sample.co.jp という名前のサーバが見つかりませんでした。」とエラーになります。
※実は、このドメインはインターネット上に実在してて、アクセスできるはずのものです
補足4)このbindの設定以前に、内部ネットワークのマシン(macとwin)には、192.168.0.10またはwww.hogehoge.comに
ブラウズすると、サーバ(192.168.0.10)のapache中のサイト(www.hogehoge.com)が見えるよう設定してあります。
不要な情報や補足があるかもしれませんが、関係しているのかなと思われたことを書かせていただきました。
どうして逆引きがエラーになるのか、また www.sample.co.jpへのブラウジングがなぜ失敗するのか
説明いただけたらうれしいです。長くてすみません、よろしくお願いします。
364 :名無しさん@お腹いっぱい。:2010/05/10(月) 23:20:54
前提条件がさっぱりわからん。
sample.co.jpはインターネット上のサイトなの?LAN上なの?
www.hogehoge.comはどうやって名前解決してたの?
コンテンツサーバとキャッシュサーバの違いは理解してる?
sample.co.jpはインターネット上のサイトなの?LAN上なの?
www.hogehoge.comはどうやって名前解決してたの?
コンテンツサーバとキャッシュサーバの違いは理解してる?
365 :名無しさん@お腹いっぱい。:2010/05/10(月) 23:26:46
質問者のレベルをみるとオライリー「DNS&BIND」を10回くらい読んで
DNSの仕組みを理解してからDNSに手を付けた方がいい気がする。
DNSの仕組みを理解してからDNSに手を付けた方がいい気がする。
366 :名無しさん@お腹いっぱい。:2010/05/10(月) 23:41:30
>>364
すみません。sample.co.jpは、本当は(本に書いてある通りだと)www.itboost.co.jpです
このドメインを取得したと言う仮の前提でやっているんですが、これってこの本を書いた会社のドメインなので
www.itboost.co.jpにアクセスすれば表示されるはずなんです(ブラウザで)
今は192.168.0.10のネームサーバでこのドメインへのIPアドレス設定をしてるけど、
まだ対応するwebサイトを設定してないから接続エラーなんでしょうか? すみません。
あと、質問する場所間違えたのがあるんですが、コピペします。
>bindのゾーンファイルを検証する、named-checkzoneがうまく動きません
>以下のようになります。
>[root@localhost named]# named-checkzone itboost.co.jp.db
>usage: named-checkzone [-djqvD] [-c class] [-o output] [-t directory] [-w directory] [-k (ignore|warn|fail)] [-n (ignore|warn|fail)] zonename filename
>何が原因なのでしょうか?
>現在の階層でls -laすると
>-rw-r----- 1 root named 270 5月 9 21:36 itboost.co.jp.db
>があるのは確認できます。
これはなぜでしょうか?
>>365
すみません、いろんなサイトや本で読んでるんですが、どうもよくわからないです…
すみません。sample.co.jpは、本当は(本に書いてある通りだと)www.itboost.co.jpです
このドメインを取得したと言う仮の前提でやっているんですが、これってこの本を書いた会社のドメインなので
www.itboost.co.jpにアクセスすれば表示されるはずなんです(ブラウザで)
今は192.168.0.10のネームサーバでこのドメインへのIPアドレス設定をしてるけど、
まだ対応するwebサイトを設定してないから接続エラーなんでしょうか? すみません。
あと、質問する場所間違えたのがあるんですが、コピペします。
>bindのゾーンファイルを検証する、named-checkzoneがうまく動きません
>以下のようになります。
>[root@localhost named]# named-checkzone itboost.co.jp.db
>usage: named-checkzone [-djqvD] [-c class] [-o output] [-t directory] [-w directory] [-k (ignore|warn|fail)] [-n (ignore|warn|fail)] zonename filename
>何が原因なのでしょうか?
>現在の階層でls -laすると
>-rw-r----- 1 root named 270 5月 9 21:36 itboost.co.jp.db
>があるのは確認できます。
これはなぜでしょうか?
>>365
すみません、いろんなサイトや本で読んでるんですが、どうもよくわからないです…
367 :名無しさん@お腹いっぱい。:2010/05/10(月) 23:45:51
sample.co.jp も www.hogehoge.com も実在するので注意。
368 :名無しさん@お腹いっぱい。:2010/05/10(月) 23:57:49
www.itboost.co.jpって引くたびに応答が違うのでちょっと調べてみたら、
ns.itboost.co.jpとdns2.itboost.co.jpはwww.itboost.co.jpのAレコードを返さない。
こんな最低な設定をしてる会社の本を信用しちゃダメ。
素直にオライリー本を買いなさい。
ns.itboost.co.jpとdns2.itboost.co.jpはwww.itboost.co.jpのAレコードを返さない。
こんな最低な設定をしてる会社の本を信用しちゃダメ。
素直にオライリー本を買いなさい。
上の投稿の named-checkzoneの質問は解決しました
お騒がせしました
関連のゾーンファイルへのnamed-checkzoneはどれもOKでした
なんで逆引きがうまくいかないのかな
お騒がせしました
関連のゾーンファイルへのnamed-checkzoneはどれもOKでした
なんで逆引きがうまくいかないのかな
370 :名無しさん@お腹いっぱい。:2010/05/11(火) 00:08:57
dns.tk.itboost.co.jpしかwww.itboost.co.jp答えてくれないね
TTLも300秒ばっか、DDNSで運用してるのかな?
TTLも300秒ばっか、DDNSで運用してるのかな?
371 :名無しさん@お腹いっぱい。:2010/05/11(火) 00:15:59
>>369
named-checkconfを-zオプション付きで走らせてみた?
named-checkconfを-zオプション付きで走らせてみた?
372 :名無しさん@お腹いっぱい。:2010/05/11(火) 01:10:40
まず、設定したサーバ上で、ゾーン自体の確認してみたら?
$ dig @127.0.0.1 0.168.192.in-addr.arpa. SOA +norec
NOERRORでANSWER SECTIONに設定したSOAレコードが確認できる?
SERVFAILとかなら、ゾーン自体ダメだと思う。
$ dig @127.0.0.1 0.168.192.in-addr.arpa. SOA +norec
NOERRORでANSWER SECTIONに設定したSOAレコードが確認できる?
SERVFAILとかなら、ゾーン自体ダメだと思う。
>>371,372
ありがとうございます、それぞれこうなりました。
[root@localhost named]# named-checkconf -z
zone localdomain/IN: loaded serial 42
zone localhost/IN: loaded serial 42
zone 0.0.127.in-addr.arpa/IN: loaded serial 1997022700
zone 0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.ip6.arpa/IN: loaded serial 1997022700
zone 255.in-addr.arpa/IN: loaded serial 42
zone 0.in-addr.arpa/IN: loaded serial 42
zone itboost.co.jp/IN: loaded serial 2010050901
zone 0.168.192.in-addr.arpa/IN: loaded serial 2010050802
zone 10.0.168.192.in-addr.arpa/IN: loaded serial 2010050802
zone itboost.co.jp/IN: loaded serial 2010050901
zone 0.168.192.in-addr.arpa/IN: loaded serial 2010050802
[root@localhost named]# dig @127.0.0.1.0.168.0192.in-addr.arpa.SOA +norec
dig: couldn't get address for '127.0.0.1.0.168.0192.in-addr.arpa.SOA': failure
digの方はおかしいですね、なんでだろう
あと、ローカルのゾーン設定用にaclを以下のように設定したところ
acl "localnets"{
192.168.0.0/24;
127.0.0.1;
};
/etc/named.conf:24: attempt to redefine builtin acl 'localnets'
と警告が出ました。既に定義済みのものを再定義してるってことだと思いますが
どこで既に定義してるんでしょうか? named.conf中には見つからなかったんですが…
ありがとうございます、それぞれこうなりました。
[root@localhost named]# named-checkconf -z
zone localdomain/IN: loaded serial 42
zone localhost/IN: loaded serial 42
zone 0.0.127.in-addr.arpa/IN: loaded serial 1997022700
zone 0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.ip6.arpa/IN: loaded serial 1997022700
zone 255.in-addr.arpa/IN: loaded serial 42
zone 0.in-addr.arpa/IN: loaded serial 42
zone itboost.co.jp/IN: loaded serial 2010050901
zone 0.168.192.in-addr.arpa/IN: loaded serial 2010050802
zone 10.0.168.192.in-addr.arpa/IN: loaded serial 2010050802
zone itboost.co.jp/IN: loaded serial 2010050901
zone 0.168.192.in-addr.arpa/IN: loaded serial 2010050802
[root@localhost named]# dig @127.0.0.1.0.168.0192.in-addr.arpa.SOA +norec
dig: couldn't get address for '127.0.0.1.0.168.0192.in-addr.arpa.SOA': failure
digの方はおかしいですね、なんでだろう
あと、ローカルのゾーン設定用にaclを以下のように設定したところ
acl "localnets"{
192.168.0.0/24;
127.0.0.1;
};
/etc/named.conf:24: attempt to redefine builtin acl 'localnets'
と警告が出ました。既に定義済みのものを再定義してるってことだと思いますが
どこで既に定義してるんでしょうか? named.conf中には見つからなかったんですが…
374 :名無しさん@お腹いっぱい。:2010/05/11(火) 07:32:29
> zone itboost.co.jp/IN: loaded serial 2010050901
> zone 0.168.192.in-addr.arpa/IN: loaded serial 2010050802
2回ずつ読まれてる。
> zone 10.0.168.192.in-addr.arpa/IN: loaded serial 2010050802
いいの?
> [root@localhost named]# dig @127.0.0.1.0.168.0192.in-addr.arpa.SOA +norec
digの使い方間違えてる。man嫁。
> zone 0.168.192.in-addr.arpa/IN: loaded serial 2010050802
2回ずつ読まれてる。
> zone 10.0.168.192.in-addr.arpa/IN: loaded serial 2010050802
いいの?
> [root@localhost named]# dig @127.0.0.1.0.168.0192.in-addr.arpa.SOA +norec
digの使い方間違えてる。man嫁。
375 :名無しさん@お腹いっぱい。:2010/05/11(火) 11:11:48
376 :名無しさん@お腹いっぱい。:2010/05/11(火) 17:52:19
>>377
127.0.0.1 と 0.168.192.in-addr.arpaの間はスペース入れれ。
そもそも
>zone itboost.co.jp/IN: loaded serial 2010050901
>zone 0.168.192.in-addr.arpa/IN: loaded serial 2010050802
>zone 10.0.168.192.in-addr.arpa/IN: loaded serial 2010050802
>zone itboost.co.jp/IN: loaded serial 2010050901
>zone 0.168.192.in-addr.arpa/IN: loaded serial 2010050802
同じゾーンが出てるぞ。named.conf内で同じゾーンファイルで
複数回ゾーン設定しちゃってるんじゃない?
127.0.0.1 と 0.168.192.in-addr.arpaの間はスペース入れれ。
そもそも
>zone itboost.co.jp/IN: loaded serial 2010050901
>zone 0.168.192.in-addr.arpa/IN: loaded serial 2010050802
>zone 10.0.168.192.in-addr.arpa/IN: loaded serial 2010050802
>zone itboost.co.jp/IN: loaded serial 2010050901
>zone 0.168.192.in-addr.arpa/IN: loaded serial 2010050802
同じゾーンが出てるぞ。named.conf内で同じゾーンファイルで
複数回ゾーン設定しちゃってるんじゃない?
377 :名無しさん@お腹いっぱい。:2010/05/11(火) 20:38:13
ITBoostが運営してるっぽいSTACK*とかいうサイトもDNSの設定が腐ってるな…
378 :名無しさん@お腹いっぱい。:2010/05/11(火) 22:19:23
NSのうち片方のDNS、co.jpをjpに変えたんだろうけど、NS変えるの忘れてるな。
元のドメインは放棄しているみたいだからやろうと思えば簡単に乗っ取れそう。
JPNICが気をつけろ、と必死に宣伝してるのにこの有様。
元のドメインは放棄しているみたいだからやろうと思えば簡単に乗っ取れそう。
JPNICが気をつけろ、と必死に宣伝してるのにこの有様。
皆さん詳しいですね。本当にありがとうございます。
以前買ったbindの本があるの思い出したので、皆さんの回答とあわせて読み直してます。
>>376
うっかりしてました、ありがとう。やり直したらこうなりました。
[root@localhost named]# dig @127.0.0.1 0.168.0192.in-addr.arpa.SOA
; <<>> DiG 9.3.6-P1-RedHat-9.3.6-4.P1.el5_4.2 <<>> @127.0.0.1 0.168.0192.in-addr.arpa.SOA
; (1 server found)
;; global options: printcmd
;; connection timed out; no servers could be reached
複数回ゾーン設定してるんじゃないかという件ですが、してました。
view "localhost_resolver"{}とview "internal"{}の中で同じものを設定していました。
本の説明では、DNS自身とローカルネットワーク上のwinから確認するためにそうすると
書いてあります。
調べたら、多分ここの設定と同じかな。問題あるんでしょうか?(読んで勉強し直します。)
ttp://d.hatena.ne.jp/japanrock_pg/20090723/1248359871
bind難しいですね… ほんとお世話になります、すみません
以前買ったbindの本があるの思い出したので、皆さんの回答とあわせて読み直してます。
>>376
うっかりしてました、ありがとう。やり直したらこうなりました。
[root@localhost named]# dig @127.0.0.1 0.168.0192.in-addr.arpa.SOA
; <<>> DiG 9.3.6-P1-RedHat-9.3.6-4.P1.el5_4.2 <<>> @127.0.0.1 0.168.0192.in-addr.arpa.SOA
; (1 server found)
;; global options: printcmd
;; connection timed out; no servers could be reached
複数回ゾーン設定してるんじゃないかという件ですが、してました。
view "localhost_resolver"{}とview "internal"{}の中で同じものを設定していました。
本の説明では、DNS自身とローカルネットワーク上のwinから確認するためにそうすると
書いてあります。
調べたら、多分ここの設定と同じかな。問題あるんでしょうか?(読んで勉強し直します。)
ttp://d.hatena.ne.jp/japanrock_pg/20090723/1248359871
bind難しいですね… ほんとお世話になります、すみません
380 :名無しさん@お腹いっぱい。:2010/05/12(水) 00:37:51
381 :名無しさん@お腹いっぱい。:2010/05/13(木) 18:59:03
BINDが入ってるローカル鯖で
[root@localhost named]# dig @127.0.0.1 0.168.0192.in-addr.arpa.SOA
を実行したところ、以下の結果が出ました。
これは逆引き設定がうまくいってると考えて良いのでしょうか?
NXDOMAINというのが気になるんですが
(ドメインを指定した正引きの場合、問題なのはわかるんですが)
; <<>> DiG 9.3.6-P1-RedHat-9.3.6-4.P1.el5_4.2 <<>> @127.0.0.1 0.168.192.in-addr.arpa.SOA +norec
; (1 server found)
;; global options: printcmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NXDOMAIN, id: 25808
;; flags: qr ra; QUERY: 1, ANSWER: 0, AUTHORITY: 1, ADDITIONAL: 0
;; QUESTION SECTION:
;0.168.192.in-addr.arpa.SOA. IN A
;; AUTHORITY SECTION:
. 9796 IN SOA a.root-servers.net. nstld.verisign-grs.com. 2010051201 1800 900 604800 86400
;; Query time: 0 msec
;; SERVER: 127.0.0.1#53(127.0.0.1)
;; WHEN: Thu May 13 02:55:54 2010
;; MSG SIZE rcvd: 119
[root@localhost named]# dig @127.0.0.1 0.168.0192.in-addr.arpa.SOA
を実行したところ、以下の結果が出ました。
これは逆引き設定がうまくいってると考えて良いのでしょうか?
NXDOMAINというのが気になるんですが
(ドメインを指定した正引きの場合、問題なのはわかるんですが)
; <<>> DiG 9.3.6-P1-RedHat-9.3.6-4.P1.el5_4.2 <<>> @127.0.0.1 0.168.192.in-addr.arpa.SOA +norec
; (1 server found)
;; global options: printcmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NXDOMAIN, id: 25808
;; flags: qr ra; QUERY: 1, ANSWER: 0, AUTHORITY: 1, ADDITIONAL: 0
;; QUESTION SECTION:
;0.168.192.in-addr.arpa.SOA. IN A
;; AUTHORITY SECTION:
. 9796 IN SOA a.root-servers.net. nstld.verisign-grs.com. 2010051201 1800 900 604800 86400
;; Query time: 0 msec
;; SERVER: 127.0.0.1#53(127.0.0.1)
;; WHEN: Thu May 13 02:55:54 2010
;; MSG SIZE rcvd: 119
382 :名無しさん@お腹いっぱい。:2010/05/13(木) 20:26:36
383 :名無しさん@お腹いっぱい。:2010/05/13(木) 20:43:56
>>382
うまくいきました! ありがとうございました
うまくいきました! ありがとうございました
384 :名無しさん@お腹いっぱい。:2010/05/17(月) 07:56:17
動けばいい、っていうんじゃなくて、動作の理解をしなさいよ。
385 :名無しさん@お腹いっぱい。:2010/06/01(火) 04:35:23
unboundでGoogle Public DNS使おうと思って、
forward-zone:
name: "."
forward-addr: 8.8.8.8
forward-addr: 8.8.4.4
を設定したけれど、解決できないドメインがある
# drill example.com @127.0.0.1
だと解決できないが、
# drill example.com @8.8.8.8
とすると解決できる。
恐らくウチの環境(or設定)が悪いだけ、と思ってるけれど、
解決できるドメインもあるので原因が分からない・・
forward-zone:
name: "."
forward-addr: 8.8.8.8
forward-addr: 8.8.4.4
を設定したけれど、解決できないドメインがある
# drill example.com @127.0.0.1
だと解決できないが、
# drill example.com @8.8.8.8
とすると解決できる。
恐らくウチの環境(or設定)が悪いだけ、と思ってるけれど、
解決できるドメインもあるので原因が分からない・・
386 :名無しさん@お腹いっぱい。:2010/06/01(火) 11:01:16
>>385
そのドメインの設定が腐ってる可能性もあると思うよ。
そのドメインの設定が腐ってる可能性もあると思うよ。
387 :名無しさん@お腹いっぱい。:2010/06/01(火) 23:53:10
>>368みたいな腐った設定はゴマンとあるしな
stack*は相変わらずlameっぽ
stack*は相変わらずlameっぽ
388 :名無しさん@お腹いっぱい。:2010/06/02(水) 00:26:34
>>385
日本でGooglePublicDNS使うとAkamai他のCDN関係を全部日本以外に転送されてしまうから
ウェブブラウズなどが遅くなるだけでうれしいことはなにもないぞ。OpenDNSでも同様。
あれを日本から使ってうれしいのは「自組織以外からDNS参照をおこなったらどうみえるか」を
手軽に検証できることだけ。
日本でGooglePublicDNS使うとAkamai他のCDN関係を全部日本以外に転送されてしまうから
ウェブブラウズなどが遅くなるだけでうれしいことはなにもないぞ。OpenDNSでも同様。
あれを日本から使ってうれしいのは「自組織以外からDNS参照をおこなったらどうみえるか」を
手軽に検証できることだけ。
389 :名無しさん@お腹いっぱい。:2010/06/02(水) 00:47:16
>>388
1月末に提案されたドラフトは01になったね。
ttp://tools.ietf.org/id/draft-vandergaast-edns-client-ip-01.txt
検証目的であればここも便利
ttp://www.dns-oarc.net/oarc/services/odvr
1月末に提案されたドラフトは01になったね。
ttp://tools.ietf.org/id/draft-vandergaast-edns-client-ip-01.txt
検証目的であればここも便利
ttp://www.dns-oarc.net/oarc/services/odvr
390 :名無しさん@お腹いっぱい。:2010/06/11(金) 00:51:08
BINDの動的なインターフェースなどのアドレスを一定時間毎に動的にListenする機能って
rootで動かしていないとうまく機能しないのかな?
rootで動かしていないとうまく機能しないのかな?
391 :名無しさん@お腹いっぱい。:2010/06/11(金) 01:18:10
0.0.0.0:53にbindしていただくという方法での回避はできなかったから
やっぱりrootで動かすしかないかなぁ。
やっぱりrootで動かすしかないかなぁ。
392 :名無しさん@お腹いっぱい。:2010/06/11(金) 03:05:30
393 :名無しさん@お腹いっぱい。:2010/06/15(火) 03:17:52
>>392
ありがとうございます。
reconfigでもやっぱりpermission deniedという理由でbindさせてもらえてませんでした。
restartしてしまえばいいのかな?コストがアレですけど。
ありがとうございます。
reconfigでもやっぱりpermission deniedという理由でbindさせてもらえてませんでした。
restartしてしまえばいいのかな?コストがアレですけど。
394 :名無しさん@お腹いっぱい。:2010/06/16(水) 20:49:00
この板のスーパーハカー様方に質問です。
hamusoku.com. IN NS ns1.domain.livedoor.com
IN NS ns1.domain.livedoor.com
IN CNAME blog-01.livedoor.jp
これってRFC違反だと思うのですがどうでしょう。
ちなみにWIN2008R2のDNSサーバだとエラーになって引けません。
最近のBINDではどうですか?
hamusoku.com. IN NS ns1.domain.livedoor.com
IN NS ns1.domain.livedoor.com
IN CNAME blog-01.livedoor.jp
これってRFC違反だと思うのですがどうでしょう。
ちなみにWIN2008R2のDNSサーバだとエラーになって引けません。
最近のBINDではどうですか?
395 :名無しさん@お腹いっぱい。:2010/06/16(水) 21:07:18
396 :名無しさん@お腹いっぱい。:2010/06/16(水) 21:20:58
おかしいね。
とりあえず bind 9.6.1-P1 と unbound 1.4.3 では引けちゃったけど、
エラーにするキャッシュ DNS があったとしても不思議ではない。
ただ、bind ならこういう腐ったゾーンはエラーにして読み込まなかったような。
……と思ったら、なんか nsd っぽいなぁ。
nsd って bind よりゾーンファイルのバリデーションが緩いんだよなぁ。
とりあえず bind 9.6.1-P1 と unbound 1.4.3 では引けちゃったけど、
エラーにするキャッシュ DNS があったとしても不思議ではない。
ただ、bind ならこういう腐ったゾーンはエラーにして読み込まなかったような。
……と思ったら、なんか nsd っぽいなぁ。
nsd って bind よりゾーンファイルのバリデーションが緩いんだよなぁ。
397 :名無しさん@お腹いっぱい。:2010/06/16(水) 22:14:21
394です。
ありがとうございます。
ライブドアにこんなん引けねーよと言ってみたのですが
「問題を認識できません」て返されました。
こういうお馬鹿さんはどうすればいいんでしょうね。
ありがとうございます。
ライブドアにこんなん引けねーよと言ってみたのですが
「問題を認識できません」て返されました。
こういうお馬鹿さんはどうすればいいんでしょうね。
398 :名無しさん@お腹いっぱい。:2010/06/17(木) 00:28:12
相手にするおまえがおバカさんだ
日本はこういう国になっちまったんだ諦めろもう終わり
日本はこういう国になっちまったんだ諦めろもう終わり
399 :名無しさん@お腹いっぱい。:2010/06/17(木) 09:40:04
DNSOPSあたりで話題に出せば誰か反応するかも。
400 :名無しさん@お腹いっぱい。:2010/06/17(木) 12:28:36
TwitterでLivedoorの技術系の中の人に直接つっこんでみるとか
401 :名無しさん@お腹いっぱい。:2010/06/18(金) 00:07:12
402 :名無しさん@お腹いっぱい。:2010/06/18(金) 03:58:34
403 :名無しさん@お腹いっぱい。:2010/06/18(金) 20:04:56
404 :名無しさん@お腹いっぱい。:2010/06/21(月) 08:14:22
JANOGに投げて空気変えてほしいな。
405 :名無しさん@お腹いっぱい。:2010/07/01(木) 12:35:08
るーと更新おめでとう!!
.o゜*。o
/⌒ヽ*゜*
∧_∧ /ヽ )。*o ッパ
(・ω・)丿゛ ̄ ̄' ゜
. ノ/ /
ノ ̄ゝ
406 :名無しさん@お腹いっぱい。:2010/07/01(木) 21:37:27
windowsでもdjbdns使いたいのだが駄目かな
407 :名無しさん@お腹いっぱい。:2010/07/01(木) 23:38:26
>>406
変態
変態
408 :名無しさん@お腹いっぱい。:2010/07/02(金) 02:23:48
409 :名無しさん@お腹いっぱい。:2010/07/03(土) 00:47:26
>>406
DJ本人乙
DJ本人乙
410 :名無しさん@お腹いっぱい。:2010/07/03(土) 21:09:28
愛が感じられるような
411 :名無しさん@お腹いっぱい。:2010/07/16(金) 23:29:13
ルートサーバーがDNSSEC対応したらしいが、
お主らのキャッシュサーバーは対応やった?
お主らのキャッシュサーバーは対応やった?
412 :名無しさん@お腹いっぱい。:2010/07/17(土) 10:25:37
413 :名無しさん@お腹いっぱい。:2010/07/17(土) 11:58:15
bindは9.7じゃないとsha-2が使えないから、9.6だとそっちが引っかかる。
414 :名無しさん@お腹いっぱい。:2010/07/17(土) 12:10:42
415 :名無しさん@お腹いっぱい。:2010/07/17(土) 18:17:22
>>413
そこは気になったけど、9.6.2rc1で9.7からバックポートされたので問題ないよね?
ttp://lists.isc.org/pipermail/bind-announce/2010-February/000621.html
そこは気になったけど、9.6.2rc1で9.7からバックポートされたので問題ないよね?
ttp://lists.isc.org/pipermail/bind-announce/2010-February/000621.html
416 :名無しさん@お腹いっぱい。:2010/07/17(土) 18:32:19
>>414
それなら導入しても大丈夫そうだな。
KSK変わるときはニュースになりそうですし。
ところで、現時点でルートゾーンは署名されたけど、
既にDNSSEC導入済みのTLDへの署名はまだだよね?
これは次のセレモニー以降でZSKの更新の際に行われるのかな。
スケジュールでてる?
それなら導入しても大丈夫そうだな。
KSK変わるときはニュースになりそうですし。
ところで、現時点でルートゾーンは署名されたけど、
既にDNSSEC導入済みのTLDへの署名はまだだよね?
これは次のセレモニー以降でZSKの更新の際に行われるのかな。
スケジュールでてる?
いくつかのccTLDにDSが入っています。
418 :名無しさん@お腹いっぱい。:2010/07/17(土) 22:40:06
>>417
確かに8個ほど入ってた。.CATなんてあったんだ。
http://www.root-dnssec.org/faq/
dig . AXFR @xfr.lax.dns.icann.org
自ドメインが検証できるようになるまではまだ時間がかかりそうだ。
確かに8個ほど入ってた。.CATなんてあったんだ。
http://www.root-dnssec.org/faq/
dig . AXFR @xfr.lax.dns.icann.org
自ドメインが検証できるようになるまではまだ時間がかかりそうだ。
419 :名無しさん@お腹いっぱい。:2010/07/18(日) 00:05:24
設定方法・・・ってほどでもないけど。
"9.6 or higher"は誤りで"9.6.2 or higher"に訂正予定とのこと。
ttp://www.isc.org/community/blog/201007/using-root-dnssec-key-bind-9-resolvers
keyはコッチで確認すること。
ttps://data.iana.org/root-anchors/
"9.6 or higher"は誤りで"9.6.2 or higher"に訂正予定とのこと。
ttp://www.isc.org/community/blog/201007/using-root-dnssec-key-bind-9-resolvers
keyはコッチで確認すること。
ttps://data.iana.org/root-anchors/
420 :名無しさん@お腹いっぱい。:2010/08/12(木) 10:42:04
>>394
この件と同種?で okwave に質問してる椰子がいるが
「普通のことです。違反でもなんでもありません。」って回答くらってるぞ
どっちが正しいんだ?
http://okwave.jp/qa/q6101868.html
この件と同種?で okwave に質問してる椰子がいるが
「普通のことです。違反でもなんでもありません。」って回答くらってるぞ
どっちが正しいんだ?
http://okwave.jp/qa/q6101868.html
421 :名無しさん@お腹いっぱい。:2010/08/12(木) 10:48:17
okwave の回答が間違ってる。
その回答に対する質問主のフォローが正解。
その回答に対する質問主のフォローが正解。
422 :名無しさん@お腹いっぱい。:2010/08/12(木) 11:01:57
そうか
いやなに、俺が立ててる DNS サーバーでも
ライブドアのあれみたいな書き方やってるんだw
ホスト名なしのドメイン名を別ホストへcnameさせてる。
A レコード書くと、ホスト引っ越しのときに不便なんだが。。
今のところクレーム来てないが、バレる前に直しておいたほうがいいのか
いやなに、俺が立ててる DNS サーバーでも
ライブドアのあれみたいな書き方やってるんだw
ホスト名なしのドメイン名を別ホストへcnameさせてる。
A レコード書くと、ホスト引っ越しのときに不便なんだが。。
今のところクレーム来てないが、バレる前に直しておいたほうがいいのか
423 :名無しさん@お腹いっぱい。:2010/08/12(木) 11:59:26
質問の仕方がまずいんだと思う。
「Aの別名にBを使っているけどいいの?」って読みとられてしまっているよね
「Aの別名にBを使っているけどいいの?」って読みとられてしまっているよね
424 :名無しさん@お腹いっぱい。:2010/10/14(木) 01:08:48
DNS障害でYahooのほとんどのサービスが落ちてたね
425 :名無しさん@お腹いっぱい。:2010/10/14(木) 01:44:18
具体的にはどーだったの?
hostやdigで単純に引くとaレコードが帰ってこなくて
明示的にaレコードを指定すると戻ってきたみたいだけど
hostやdigで単純に引くとaレコードが帰ってこなくて
明示的にaレコードを指定すると戻ってきたみたいだけど
426 :名無しさん@お腹いっぱい。:2010/10/14(木) 10:02:45
primary name server = yahoo.co.jp
responsible mail addr = postmaster.yahoo.co.jp
serial = 2010101401
refresh = 1800 (30 mins)
retry = 900 (15 mins)
expire = 86400 (1 day)
default TTL = 900 (15 mins)
丸1日は途中のDNSがキャッシュ値を返してくれるの?
responsible mail addr = postmaster.yahoo.co.jp
serial = 2010101401
refresh = 1800 (30 mins)
retry = 900 (15 mins)
expire = 86400 (1 day)
default TTL = 900 (15 mins)
丸1日は途中のDNSがキャッシュ値を返してくれるの?
427 :名無しさん@お腹いっぱい。:2010/10/15(金) 14:06:25
自分が参照してるキャッシュのタイミング次第だろ。
expire直前にヤフーが死ねばすぐにアウトになる。
なんか、負荷分散サーバの障害とかいうてるみたいだけど、
権威サーバをIPAnycast化とかしてたんかな?
それともYahooクラスだと権威サーバでもロードバランサ
入れないとダメポなくらい負荷高いのかね?
expire直前にヤフーが死ねばすぐにアウトになる。
なんか、負荷分散サーバの障害とかいうてるみたいだけど、
権威サーバをIPAnycast化とかしてたんかな?
それともYahooクラスだと権威サーバでもロードバランサ
入れないとダメポなくらい負荷高いのかね?
428 :名無しさん@お腹いっぱい。:2010/10/15(金) 18:27:53
普通はBindで困ることって特にないよな。
DNS運用業者やってたときは、10万ドメイン以上あったから色々考えることあったけども。
DNS運用業者やってたときは、10万ドメイン以上あったから色々考えることあったけども。
429 :名無しさん@お腹いっぱい。:2010/10/18(月) 11:37:39
「BIND」な。
430 :名無しさん@お腹いっぱい。:2010/10/25(月) 18:53:45
2008R2 な DNS 鯖だと
recruit.co.jp のドメイン情報が全く読めないんだが
SOA レコードすら引けない。
なんでだ!?
2003 な DNS 鯖で引くと大丈夫
recruit.co.jp のドメイン情報が全く読めないんだが
SOA レコードすら引けない。
なんでだ!?
2003 な DNS 鯖で引くと大丈夫
>>394 と同じ理由?
とりあえず、2008R2 の DNS 鯖で ISP の DNS にフォワーダかけたらうまくいく。
とりあえず、2008R2 の DNS 鯖で ISP の DNS にフォワーダかけたらうまくいく。
432 :名無しさん@お腹いっぱい。:2010/10/25(月) 19:02:45
Windowsの話はよそでやったら。
433 :名無しさん@お腹いっぱい。:2010/10/25(月) 19:03:13
>>430
ポートが開いてないんだろ
ポートが開いてないんだろ
434 :名無しさん@お腹いっぱい。:2010/10/25(月) 20:01:58
他は引けるからポートの問題じゃないよ
435 :名無しさん@お腹いっぱい。:2010/10/25(月) 20:24:37
recruit.co.jp が特定の環境下で名前解決できないという話は別の所でもでていたような…
janogだったかdnsopsだったか
janogだったかdnsopsだったか
436 :名無しさん@お腹いっぱい。:2010/10/26(火) 00:30:25
512バイト超えてるんだろう
437 :名無しさん@お腹いっぱい。:2010/10/26(火) 22:07:15
recruit.co.jpはこれと同じ原因だよ
ttp://www.vwnet.jp/Windows/WS08R2/EDNS0/EDNS0.htm
ttp://www.vwnet.jp/Windows/WS08R2/EDNS0/EDNS0.htm
438 :名無しさん@お腹いっぱい。:2010/11/06(土) 03:43:18
BIND10使ってるひとどのくらいいますか?
439 :名無しさん@お腹いっぱい。:2010/11/08(月) 11:16:37
20人くらい。
440 :名無しさん@お腹いっぱい。:2010/11/26(金) 11:36:45
政府によるDNSポイゾニングっていよいよ本格的に始まったんじゃない?
検出した気がする
先日の法相更迭はサインを渋ったからだとみた
検出した気がする
先日の法相更迭はサインを渋ったからだとみた
DNSSEC対応どーすんべ。。。
442 :名無しさん@お腹いっぱい。:2010/11/27(土) 17:31:50
>>441
慌てる必要はないよ。必要になったらやればいい。
慌てる必要はないよ。必要になったらやればいい。
443 :名無しさん@お腹いっぱい。:2010/12/02(木) 00:57:02
眺めている段階
444 :名無しさん@お腹いっぱい。:2010/12/02(木) 16:15:10
BIND: cache incorrectly allows a ncache entry and a rrsig for the same type
Versions affected: 9.6.2 - 9.6.2-P2, 9.6-ESV - 9.6-ESV-R2, 9.7.0 - 9.7.2-P2
Severity: High
https://www.isc.org/software/bind/advisories/cve-2010-3613
BIND: Key algorithm rollover bug in bind9
Versions affected: 9.0.x to 9.7.2-P2, 9.4-ESV to 9.4-ESV-R3, 9.6-ESV to 9.6-ESV-R2
Severity: Low
https://www.isc.org/software/bind/advisories/cve-2010-3614
BIND: allow-query processed incorrectly
Versions affected: 9.7.2-P2
Severity: High
https://www.isc.org/software/bind/advisories/cve-2010-3615
Versions affected: 9.6.2 - 9.6.2-P2, 9.6-ESV - 9.6-ESV-R2, 9.7.0 - 9.7.2-P2
Severity: High
https://www.isc.org/software/bind/advisories/cve-2010-3613
BIND: Key algorithm rollover bug in bind9
Versions affected: 9.0.x to 9.7.2-P2, 9.4-ESV to 9.4-ESV-R3, 9.6-ESV to 9.6-ESV-R2
Severity: Low
https://www.isc.org/software/bind/advisories/cve-2010-3614
BIND: allow-query processed incorrectly
Versions affected: 9.7.2-P2
Severity: High
https://www.isc.org/software/bind/advisories/cve-2010-3615
445 :名無しさん@お腹いっぱい。:2010/12/02(木) 16:37:31
446 :名無しさん@お腹いっぱい。:2010/12/02(木) 16:55:57
http://blog.livedoor.jp/techblog/archives/65340720.html
> ライブドアドメインではこれまでdjbdnsを使用していましたが、
> 今年の11月1日にNSDというソフトウェアにリニューアルしまして、
> 新機能と同時にこのCNAME問題に対応しました。
やっと対応したって事かな。
> ライブドアドメインではこれまでdjbdnsを使用していましたが、
> 今年の11月1日にNSDというソフトウェアにリニューアルしまして、
> 新機能と同時にこのCNAME問題に対応しました。
やっと対応したって事かな。
447 :名無しさん@お腹いっぱい。:2010/12/03(金) 01:23:19
localhost.livedoor.jp has address 127.0.0.1
localhost.livedoor.com has address 127.0.0.1
この設定はよろしくないらしいけど削除するとまずいことでもあるのかな。
http://www.securityfocus.com/archive/1/486606
localhost.livedoor.com has address 127.0.0.1
この設定はよろしくないらしいけど削除するとまずいことでもあるのかな。
http://www.securityfocus.com/archive/1/486606
448 :名無しさん@お腹いっぱい。:2010/12/03(金) 10:35:56
/etc/hosts に localhost がなかったり、
あっても hosts を参照せずいきなり DNS に聞く実装でも、
resolv.conf に search livedoor.jp と書いてあれば
localhost を問い合わせても 127.0.0.1 がちゃんと返ってくる。
……というメリットはあるけど、たいしたメリットでもないので
消してもいいと思う。
あっても hosts を参照せずいきなり DNS に聞く実装でも、
resolv.conf に search livedoor.jp と書いてあれば
localhost を問い合わせても 127.0.0.1 がちゃんと返ってくる。
……というメリットはあるけど、たいしたメリットでもないので
消してもいいと思う。
449 :名無しさん@お腹いっぱい。:2010/12/03(金) 10:59:18
デメリットを聞いてるんだが
450 :名無しさん@お腹いっぱい。:2010/12/03(金) 11:20:17
だからそういう環境で localhost の名前解決ができなくなるんだってば。
FQDN じゃなかったら勝手にドメイン名を補完してしまうものもあるので、
localhost. のゾーンを作っておけば済むという話じゃないんだな。
FQDN じゃなかったら勝手にドメイン名を補完してしまうものもあるので、
localhost. のゾーンを作っておけば済むという話じゃないんだな。
451 :名無しさん@お腹いっぱい。:2010/12/03(金) 19:53:34
searchオプションの恩恵うける場面てそんなに多いのかな?
外の人にとっては意味ないし、中の人にしたってプログラムがsearch依存で名前解決するのも気持ち悪いだろうし。
外の人にとっては意味ないし、中の人にしたってプログラムがsearch依存で名前解決するのも気持ち悪いだろうし。
452 :名無しさん@お腹いっぱい。:2010/12/03(金) 20:19:29
>だからそういう環境で localhost の名前解決ができなくなるんだってば。
つまりそれ以外のデメリットは無いということですね。
それならば削除する必要はないですね。
つまりそれ以外のデメリットは無いということですね。
それならば削除する必要はないですね。
453 :名無しさん@お腹いっぱい。:2010/12/03(金) 21:18:51
454 :名無しさん@お腹いっぱい。:2010/12/03(金) 21:22:34
なるほど!
455 :名無しさん@お腹いっぱい。:2010/12/03(金) 21:51:53
ローカルPCで個人用ブックマークの検索サーバを立てた人がいるとする。
Referer: http://your.private.pc/search?q=hoge
からこの検索サーバのURLを知った攻撃者は、
こりゃ脆弱そうなURLだわいと何らかの方法で
http://localhost.livedoor.jp/search?q=<script>...</script>
を本人に踏まさせて、実際に脆弱でかつlivedoor利用者であれば
livedoor.jpのCookieの詐取に成功する。
CUPSのような広く知られたものがあれば後半だけでいい。
こんなとこ?
Referer: http://your.private.pc/search?q=hoge
からこの検索サーバのURLを知った攻撃者は、
こりゃ脆弱そうなURLだわいと何らかの方法で
http://localhost.livedoor.jp/search?q=<script>...</script>
を本人に踏まさせて、実際に脆弱でかつlivedoor利用者であれば
livedoor.jpのCookieの詐取に成功する。
CUPSのような広く知られたものがあれば後半だけでいい。
こんなとこ?
456 :名無しさん@お腹いっぱい。:2010/12/05(日) 13:02:44
あとはNXDOMAIN連発とか?
457 :名無しさん@お腹いっぱい。:2010/12/06(月) 00:59:34
こういうの一度書いちゃうとなかなか消せないんだよね。
副作用が怖くて。
副作用が怖くて。
458 :名無しさん@お腹いっぱい。:2010/12/06(月) 09:19:43
なくなって困るのは中の人くらいじゃないの?
中からの問い合わせからだけ名前解決するんじゃだめなん?
中からの問い合わせからだけ名前解決するんじゃだめなん?
459 :名無しさん@お腹いっぱい。:2010/12/07(火) 02:47:47
AmazonのDNS これいいんじゃない?
http://aws.amazon.com/route53/
http://aws.typepad.com/aws_japan/2010/12/amazon-route-53-the-aws-domain-name-service.html
http://aws.amazon.com/route53/
http://aws.typepad.com/aws_japan/2010/12/amazon-route-53-the-aws-domain-name-service.html
460 :名無しさん@お腹いっぱい。:2010/12/07(火) 03:47:54
Wikileaksをホスティングしていることでもおなじみの信頼と実績だな
461 :名無しさん@お腹いっぱい。:2010/12/07(火) 08:07:03
アタックされたから追放したんじゃなかったのか
462 :名無しさん@お腹いっぱい。:2010/12/10(金) 00:21:00
>>459
まだこんな馬鹿がいるのか
まだこんな馬鹿がいるのか
463 :名無しさん@お腹いっぱい。:2010/12/10(金) 21:27:40
>>459
-DDoSを喰らったときの課金のありよう
-名前参照が終わるまで多段*4の参照が発生する
等を考えると若干首を傾げる。
Amazonにしては詰めの甘さを感じずにいられない。
Amazonがわのメンテナンスの都合でネームサーバのIPアドレスを
任意につけかえられるように設計するとこうなるのはわかるけれど。
-DDoSを喰らったときの課金のありよう
-名前参照が終わるまで多段*4の参照が発生する
等を考えると若干首を傾げる。
Amazonにしては詰めの甘さを感じずにいられない。
Amazonがわのメンテナンスの都合でネームサーバのIPアドレスを
任意につけかえられるように設計するとこうなるのはわかるけれど。
464 :名無しさん@お腹いっぱい。:2011/01/07(金) 02:19:48
2010年はBIND9の脆弱性が多くて嫌になった
でもUnboundとかnsdに移行する勇気がないヘタレ
でもUnboundとかnsdに移行する勇気がないヘタレ
465 :名無しさん@お腹いっぱい。:2011/01/07(金) 10:07:11
数としてはたしかに多かったけど、dnssec を有効にしてなければ
放置しても問題ないものがほとんどだった気が。
dnssec はまだ本格的に使われてないからコードが枯れてないんだよね。
とはいえ、nsd/unbound は問題を起こしてないからそれを言い訳にはできないけど。
放置しても問題ないものがほとんどだった気が。
dnssec はまだ本格的に使われてないからコードが枯れてないんだよね。
とはいえ、nsd/unbound は問題を起こしてないからそれを言い訳にはできないけど。
466 :名無しさん@お腹いっぱい。:2011/01/07(金) 10:11:13
見つかってないだけかも。
467 :名無しさん@お腹いっぱい。:2011/01/07(金) 16:09:39
Unboundはキャッシュとして使う限りはBIND9と遜色ない
機能はあると思う。DNSSEC validatorとしては最新の仕様に
追従してるし、ローカルデータもフォワーディングゾーンも設定できる。
Unboundに無い機能ってviewくらい?
機能はあると思う。DNSSEC validatorとしては最新の仕様に
追従してるし、ローカルデータもフォワーディングゾーンも設定できる。
Unboundに無い機能ってviewくらい?
468 :名無しさん@お腹いっぱい。:2011/01/07(金) 21:21:11
469 :名無しさん@お腹いっぱい。:2011/01/07(金) 22:03:15
最新の1.4.7でもラウンドロビンしないよ
権威サーバから教えてもらった順番のまま答える
> dig +short @localhost www.l.google.com
66.249.89.104
66.249.89.99
> dig +short @localhost www.l.google.com
66.249.89.104
66.249.89.99
> dig +short @localhost www.l.google.com
66.249.89.104
66.249.89.99
> dig +short @localhost www.l.google.com
66.249.89.104
66.249.89.99
権威サーバから教えてもらった順番のまま答える
> dig +short @localhost www.l.google.com
66.249.89.104
66.249.89.99
> dig +short @localhost www.l.google.com
66.249.89.104
66.249.89.99
> dig +short @localhost www.l.google.com
66.249.89.104
66.249.89.99
> dig +short @localhost www.l.google.com
66.249.89.104
66.249.89.99
470 :名無しさん@お腹いっぱい。:2011/01/07(金) 22:17:59
権威サーバから得たデータは変にいじらずにそのまま
クライアントに返すべきだ、DNSの仕様にもラウンドロビンなんて
定義されてない、というのがUnbound側としての立場だったはず。
とはいえ、ラウンドロビンは必要な機能なんだろうなぁ
Windows Vista は複数Aレコードを得ると
RFC 3484 Rule 9 にしたがって特定のIPを選択
するのでラウンドロビンが効かないんだけど、
Win7 はラウンドロビンが効くように変更されたりしてるし
クライアントに返すべきだ、DNSの仕様にもラウンドロビンなんて
定義されてない、というのがUnbound側としての立場だったはず。
とはいえ、ラウンドロビンは必要な機能なんだろうなぁ
Windows Vista は複数Aレコードを得ると
RFC 3484 Rule 9 にしたがって特定のIPを選択
するのでラウンドロビンが効かないんだけど、
Win7 はラウンドロビンが効くように変更されたりしてるし
471 :名無しさん@お腹いっぱい。:2011/01/07(金) 22:21:23
UNIXの getaddrinfo()もラウンドロビンが効くように変更してください!
472 :名無しさん@お腹いっぱい。:2011/01/14(金) 01:17:03
BSDやglibc派生のスマフォンは
DNSラウンドロビン的にどう動くんだろ?
DNSラウンドロビン的にどう動くんだろ?
いよいよjpドメインでもDNSSEC使えるようになりましたが、
おまえらDNSSEC使いますか?
おまえらDNSSEC使いますか?
474 :名無しさん@お腹いっぱい。:2011/01/19(水) 18:03:47
いやべつに
475 :名無しさん@お腹いっぱい。:2011/01/19(水) 19:35:29
そのうち対応しないととは思っているが検証が面倒くさい
今のところキャッシュDNS鯖の負荷が無駄にあがってるだけだな
今のところキャッシュDNS鯖の負荷が無駄にあがってるだけだな
476 :anonymous:2011/01/19(水) 19:56:58
DNSSECは効果の割に苦労が大きすぎるから普及は難しいんじゃないか
キャッシュはともかく、権威サーバの運用がとっても面倒だからなー
だいたいDNSSECなしのDNSだってちゃんと運用できてねーし
DNSSECがまともに運用できるとはおもえない
キャッシュはともかく、権威サーバの運用がとっても面倒だからなー
だいたいDNSSECなしのDNSだってちゃんと運用できてねーし
DNSSECがまともに運用できるとはおもえない
477 :名無しさん@お腹いっぱい。:2011/01/19(水) 20:15:30
なんか IA64(itanium) の大風呂敷を広げたけど受け入れられず、
中庸な AMD64 が受け入れられるような感じ。
だれか DNSSEC よりもうちょっと手軽な仕組みを考えないかな
今思いついたアイデア:
署名の連鎖を考えず、
1.ドメイン(例:example.jp)の管理者は、自分の権威サーバに各種レコードと一緒に、証明書を意味するレコード(Xとする)も登録する
2.ドメイン管理者は、ベリサインから証明書を取得したとする。
3.リゾルバは、example.jp ゾーンの問い合わせをしたときに、ベリサインにも証明書の鍵? みたいなの(Yとする)を取得する。
4.XとYをつじつまが合えば、ドメイン example.jp はクラックされていないと判断する。
SSL みたいにすれば、署名の連鎖とか考えなくてすむんだけどどうでしょう。
中庸な AMD64 が受け入れられるような感じ。
だれか DNSSEC よりもうちょっと手軽な仕組みを考えないかな
今思いついたアイデア:
署名の連鎖を考えず、
1.ドメイン(例:example.jp)の管理者は、自分の権威サーバに各種レコードと一緒に、証明書を意味するレコード(Xとする)も登録する
2.ドメイン管理者は、ベリサインから証明書を取得したとする。
3.リゾルバは、example.jp ゾーンの問い合わせをしたときに、ベリサインにも証明書の鍵? みたいなの(Yとする)を取得する。
4.XとYをつじつまが合えば、ドメイン example.jp はクラックされていないと判断する。
SSL みたいにすれば、署名の連鎖とか考えなくてすむんだけどどうでしょう。
478 :anonymous:2011/01/19(水) 20:35:41
とりあえずはTXIDを128ビットとかに
増やすだけでよかったんじゃね
source port randomizationや0x20のやってることの本質は
それだし
増やすだけでよかったんじゃね
source port randomizationや0x20のやってることの本質は
それだし
479 :名無しさん@お腹いっぱい。:2011/01/19(水) 20:54:39
>>477
それをやると証明書屋さんばっかり儲かっちゃうのよね。
SSL って netscape の独自規格が元になってるので、
政治的な話とは無関係に仕様が決まっちゃったけど、
インターネットのガバナンスってそういう特定の誰かに
集中/依存する仕組みを嫌うんだよね。
そうはいってもすべてを分散管理できる仕組みなんて作れないので、
IANA とか ICANN とかの組織にそういうのまかせるようにしてあるんだけど、
それでもなお不満がある人も多いわけで。
これが営利の私企業だったらどうなっていたことか、と。
SSL 証明書ってインターネットにおいては営利企業が牛耳ってる数少ない例外なんですよ。
それをやると証明書屋さんばっかり儲かっちゃうのよね。
SSL って netscape の独自規格が元になってるので、
政治的な話とは無関係に仕様が決まっちゃったけど、
インターネットのガバナンスってそういう特定の誰かに
集中/依存する仕組みを嫌うんだよね。
そうはいってもすべてを分散管理できる仕組みなんて作れないので、
IANA とか ICANN とかの組織にそういうのまかせるようにしてあるんだけど、
それでもなお不満がある人も多いわけで。
これが営利の私企業だったらどうなっていたことか、と。
SSL 証明書ってインターネットにおいては営利企業が牛耳ってる数少ない例外なんですよ。
480 :名無しさん@お腹いっぱい。:2011/01/19(水) 21:16:02
>>476
DNSSEC は付け焼き刃の勉強ではすぐにボロが出て失敗するので、
よほど自信あるかよほどの物好きでなければはじめから手を出さない方がいい。
概要だけ理解して、必要だと思えば信頼できる業者にアウトソースする、
つまり手間はかけずに金をかけるのが正しい道だと思う。
もっとも、信頼できる業者がどれだけ存在するのかはなはだ疑問ではあるが。
DNSSEC は付け焼き刃の勉強ではすぐにボロが出て失敗するので、
よほど自信あるかよほどの物好きでなければはじめから手を出さない方がいい。
概要だけ理解して、必要だと思えば信頼できる業者にアウトソースする、
つまり手間はかけずに金をかけるのが正しい道だと思う。
もっとも、信頼できる業者がどれだけ存在するのかはなはだ疑問ではあるが。
481 :名無しさん@お腹いっぱい。:2011/01/19(水) 21:22:08
482 :名無しさん@お腹いっぱい。:2011/01/20(木) 12:24:39
下のはフィッシング用?のコピーサイトなんだけど
正引きしても本家のウォルマートのIP返す
これって技術的にどうやってんの?
ちなみにトップページだけコピーしてるみたいでaguseでチェックしても安全と判定される
http://walmart.f8f8.us/
正引きしても本家のウォルマートのIP返す
これって技術的にどうやってんの?
ちなみにトップページだけコピーしてるみたいでaguseでチェックしても安全と判定される
http://walmart.f8f8.us/
483 :名無しさん@お腹いっぱい。:2011/01/22(土) 16:11:45
484 :名無しさん@お腹いっぱい。:2011/01/22(土) 23:02:12
ただの設定ミスのような気がする
485 :名無しさん@お腹いっぱい。:2011/01/23(日) 17:27:29
walldnsみたいなことができる。
486 :名無しさん@お腹いっぱい。:2011/01/24(月) 07:58:25
ネームサーバがin-bailiwickにできるから、逆引きにかかる手間が減ったりする
487 :名無しさん@お腹いっぱい。:2011/01/24(月) 21:45:56
なるほど、わからん。
488 :名無しさん@お腹いっぱい。:2011/01/24(月) 23:52:17
http://www.e-ontap.com/internet/nagoya-u/img46.html
に書いてある、コンテンツサーバがキャッシュサーバを兼ねていると
DDos に弱い、ということについて質問です。
自分がDNSサーバやサイトを構築する場合、いちおうコンテンツサーバと
キャッシュサーバは分けて構築していますが、上記のように
兼ねているとDDosに弱い(→ 兼ねていなければ強い?)というのがわかりません。
私が example.jp というドメインを持っているとして、
コンテンツサーバとキャッシュサーバは分けているとする。
分けていても、コンテンツサーバに直接 DDosアタックを掛ければ、
コンテンツサーバは応答が遅くなったりできなくなると思うのですが。
上記の資料では、DNS への DDos 攻撃はキャッシュサーバへ行われることが多い
という前提がある?
に書いてある、コンテンツサーバがキャッシュサーバを兼ねていると
DDos に弱い、ということについて質問です。
自分がDNSサーバやサイトを構築する場合、いちおうコンテンツサーバと
キャッシュサーバは分けて構築していますが、上記のように
兼ねているとDDosに弱い(→ 兼ねていなければ強い?)というのがわかりません。
私が example.jp というドメインを持っているとして、
コンテンツサーバとキャッシュサーバは分けているとする。
分けていても、コンテンツサーバに直接 DDosアタックを掛ければ、
コンテンツサーバは応答が遅くなったりできなくなると思うのですが。
上記の資料では、DNS への DDos 攻撃はキャッシュサーバへ行われることが多い
という前提がある?
489 :名無しさん@お腹いっぱい。:2011/01/25(火) 01:23:06
キャッシュサーバの足回りは動的IPで済む
コンテンツサーバはどうしても固定IPでないと運営が辛い
コンテンツサーバはどうしても固定IPでないと運営が辛い
490 :名無しさん@お腹いっぱい。:2011/01/25(火) 08:32:08
djb教の教えが微妙に混ざっていると思う。経典にあたれば考えがわかると思うよ。
>>489-490
レスどうもありがとうございます。
教典とは以下のことでしょうか?
http://djbdns.qmail.jp/djbdns/separation.html
ここに書いてあることは感覚的には納得がいきます。
外に晒しているDNSサーバがキャッシュサーバの場合、再起検索も受け付ける
↓
再起検索は、再起検索でない検索より負荷が掛かる
↓
検索を多数受け付けるとサーバの負荷が上がる
一方、コンテンツサーバは再起検索を受け付けないように設定する
↓
DDoS(多数の再起検索)が投げられた
↓
再起検索を拒否するように設定されたDNSサーバは、超多数のDNSクエリを
受け付けても、拒否するだけならなんとか耐えられる
こんな感じでしょうか。
レスどうもありがとうございます。
教典とは以下のことでしょうか?
http://djbdns.qmail.jp/djbdns/separation.html
ここに書いてあることは感覚的には納得がいきます。
外に晒しているDNSサーバがキャッシュサーバの場合、再起検索も受け付ける
↓
再起検索は、再起検索でない検索より負荷が掛かる
↓
検索を多数受け付けるとサーバの負荷が上がる
一方、コンテンツサーバは再起検索を受け付けないように設定する
↓
DDoS(多数の再起検索)が投げられた
↓
再起検索を拒否するように設定されたDNSサーバは、超多数のDNSクエリを
受け付けても、拒否するだけならなんとか耐えられる
こんな感じでしょうか。
492 :名無しさん@お腹いっぱい。:2011/01/25(火) 10:24:35
DDoS 攻撃を受ける、というよりも、
DDos 攻撃の踏み台に使われることがあるんでやめた方がいい。
# 詳細は dns amp でぐぐれ
allow-recursive で再帰検索の acl をかければ防げるけど、
権威サーバと共用してるようなところではどうせそんなことしてないだろう。
DDos 攻撃の踏み台に使われることがあるんでやめた方がいい。
# 詳細は dns amp でぐぐれ
allow-recursive で再帰検索の acl をかければ防げるけど、
権威サーバと共用してるようなところではどうせそんなことしてないだろう。
>>492
dns amp でググってヒットした記事をいくつか読みました。
なるほど、自分で管理しているDNSサーバのレスポンスよりも、
誰でも使えてしまうキャッシュサーバをインターネット上に置いてしまうことが問題ですね。
(http での open proxy を、インターネット上に置くな、というのと同じか)。
どうもありがとうございました。
dns amp でググってヒットした記事をいくつか読みました。
なるほど、自分で管理しているDNSサーバのレスポンスよりも、
誰でも使えてしまうキャッシュサーバをインターネット上に置いてしまうことが問題ですね。
(http での open proxy を、インターネット上に置くな、というのと同じか)。
どうもありがとうございました。
494 :名無しさん@お腹いっぱい。:2011/01/26(水) 00:18:44
そろそろBINDも再帰検索受付不可をデフォルトとして
ACL書いた先だけ可能にするという設定になっていいと思うんだよな
9.8あたりでそうしていただきたい
ACL書いた先だけ可能にするという設定になっていいと思うんだよな
9.8あたりでそうしていただきたい
495 :名無しさん@お腹いっぱい。:2011/01/26(水) 01:16:06
496 :名無しさん@お腹いっぱい。:2011/01/28(金) 00:10:26
BIND9 のクエリ制限の設定って
allow-query
allow-query-cache
allow-recursion
っていう3つの項目あるけど、この3つの相互作用は
とても分かりづらいよね
9.7.2-P2のallow-queryが効かないバグとか見てると開発者さえ
理解してるか怪しいんじゃないか
allow-query
allow-query-cache
allow-recursion
っていう3つの項目あるけど、この3つの相互作用は
とても分かりづらいよね
9.7.2-P2のallow-queryが効かないバグとか見てると開発者さえ
理解してるか怪しいんじゃないか
497 :名無しさん@お腹いっぱい。:2011/01/28(金) 00:37:41
セキュリティホールもいつになっても止まらないし、
もう BIND の時代は終わりだと思う
sendmail が Postfix になったように、BIND に取って代わるソフトウェアは出てこないのだろうか
コンテンツサーバ→NDS、キャッシュサーバ→unbound がいちおうあるけど。
MyDNS、maraDNS ってどうなの?
もう BIND の時代は終わりだと思う
sendmail が Postfix になったように、BIND に取って代わるソフトウェアは出てこないのだろうか
コンテンツサーバ→NDS、キャッシュサーバ→unbound がいちおうあるけど。
MyDNS、maraDNS ってどうなの?
498 :名無しさん@お腹いっぱい。:2011/01/28(金) 01:28:35
>>497
そこで、BIND X・・・じゃなくてBIND 10ですよ。
そこで、BIND X・・・じゃなくてBIND 10ですよ。
499 :名無しさん@お腹いっぱい。:2011/01/28(金) 02:18:20
売店
500 :名無しさん@お腹いっぱい。:2011/01/30(日) 21:44:27
PowerDNSは?
501 :名無しさん@お腹いっぱい。:2011/01/30(日) 22:41:55
え?
502 :名無しさん@お腹いっぱい。:2011/01/31(月) 14:00:59
え?
503 :名無しさん@お腹いっぱい。:2011/02/02(水) 21:13:27
>>500
フルリゾルバの PowerDNS recursor は2年くらい前から使っているが問題なく動いている
hosts に書いた情報も一緒に混ぜてクライアントに返してくれる機能がなにげに便利
ゾーンサーバ側(PowerDNS Authoritative Server)は使ってないのでわからん
DNSSEC関係については、ゾーンサーバ側が試験中、フルリゾルバ側はまだ
フルリゾルバの PowerDNS recursor は2年くらい前から使っているが問題なく動いている
hosts に書いた情報も一緒に混ぜてクライアントに返してくれる機能がなにげに便利
ゾーンサーバ側(PowerDNS Authoritative Server)は使ってないのでわからん
DNSSEC関係については、ゾーンサーバ側が試験中、フルリゾルバ側はまだ
504 :名無しさん@お腹いっぱい。:2011/02/04(金) 03:37:28
PowerDNSよさげだなぁ
いまさらながら評価してみるか
いまさらながら評価してみるか
505 :名無しさん@お腹いっぱい。:2011/03/04(金) 13:06:12.13
運用方法について聞きたいんだけど、
例えば2台のDNS(dns1とdns2)と、2台のwwwサーバ(www1とwww2)を用意して、
dns1に問い合わせが来たときはwww1を返す
dns2に問い合わせが来たときはwww2を返す
ということは普通にやってもいいことですか。
例えば2台のDNS(dns1とdns2)と、2台のwwwサーバ(www1とwww2)を用意して、
dns1に問い合わせが来たときはwww1を返す
dns2に問い合わせが来たときはwww2を返す
ということは普通にやってもいいことですか。
506 :名無しさん@お腹いっぱい。:2011/03/04(金) 13:30:44.57
dns1はwww IN CNAME www1
dns2はwww IN CNAME www2
みたいに。
dns2はwww IN CNAME www2
みたいに。
507 :名無しさん@お腹いっぱい。:2011/03/04(金) 14:01:55.88
>>505
普通はやらない。
普通はやらない。
508 :名無しさん@お腹いっぱい。:2011/03/04(金) 14:05:57.46
>>505
普通にAレコード2つ書くんじゃだめなの?
普通にAレコード2つ書くんじゃだめなの?
509 :名無しさん@お腹いっぱい。:2011/03/04(金) 14:20:42.81
>>505
負荷分散とリダンダント両立できないからやめとけ。
負荷分散とリダンダント両立できないからやめとけ。
510 :名無しさん@お腹いっぱい。:2011/03/04(金) 14:21:04.06
だな
両方のDNS鯖で
www IN CNAME www1
www IN CNAME www2
って書いとけばラウンドロビンする
両方のDNS鯖で
www IN CNAME www1
www IN CNAME www2
って書いとけばラウンドロビンする
511 :名無しさん@お腹いっぱい。:2011/03/04(金) 14:59:11.03
CNAMEはさむ必要ないと思うけどな。
直接Aでいいじゃん。
直接Aでいいじゃん。
512 :名無しさん@お腹いっぱい。:2011/03/04(金) 15:39:33.87
DNSって鯖の死活なんて分からないよね?
仮にwww1が死んでもそのままアドレスは返すってことかな。
仮にwww1が死んでもそのままアドレスは返すってことかな。
513 :名無しさん@お腹いっぱい。:2011/03/04(金) 15:47:04.73
そうだよ。
514 :名無しさん@お腹いっぱい。:2011/03/04(金) 18:52:10.35
名前解決するだけ
515 :名無しさん@お腹いっぱい。:2011/03/04(金) 20:17:53.27
>>510
CNAMEの多重指定はRFC違反じゃ?
書くならAを2行書くべきだろう。
クライアントの地理情報によって返すアドレスを変えるという手法ならどこかの会社が特許取ってたな。
8.8.8.8とか使われるとアウトだが。
CNAMEの多重指定はRFC違反じゃ?
書くならAを2行書くべきだろう。
クライアントの地理情報によって返すアドレスを変えるという手法ならどこかの会社が特許取ってたな。
8.8.8.8とか使われるとアウトだが。
516 :名無しさん@お腹いっぱい。:2011/03/04(金) 20:23:11.04
え、あれ特許なの?
どこの会社?
どこの会社?
517 :名無しさん@お腹いっぱい。:2011/03/04(金) 21:31:22.95
HTTP限定でいいならredirect使ってふりわけた方がいいと思う。
518 :名無しさん@お腹いっぱい。:2011/03/05(土) 02:57:53.56
>>517
詳しく
詳しく
519 :名無しさん@お腹いっぱい。:2011/03/05(土) 08:23:05.12
DNSで負荷分散を解決するんじゃなくて、HTTPフロントエンドで解決するということだろう
520 :名無しさん@お腹いっぱい。:2011/03/05(土) 18:15:55.95
webサーバを二重化したいのにそれをwebサーバにやらせてもしょうがなくね。
リダイレクタが落ちたら終わりじゃん。
リダイレクタが落ちたら終わりじゃん。
521 :名無しさん@お腹いっぱい。:2011/03/05(土) 18:56:09.72
ではリダイレクタも二重化するということで
522 :名無しさん@お腹いっぱい。:2011/03/05(土) 19:00:32.90
大元の人の話は全然二重化の話じゃないんだけど
523 :名無しさん@お腹いっぱい。:2011/03/05(土) 20:02:40.65
なら何がしたかったんだろう。
524 :名無しさん@お腹いっぱい。:2011/03/05(土) 21:09:43.50
開発環境向け、イントラ向け、または、フィッシング詐欺
525 :名無しさん@お腹いっぱい。:2011/03/06(日) 11:50:38.39
>>505
CNAMEじゃなくてAならやったことあるよ。
DNSラウンドロビンの負荷分散が効かないクライアント
向けに負荷分散したかったので(冗長性は別のしくみで確保)
CNAMEだとダメな理由は思いつかない
DNSラウンドロビン効かないクライアント向けに負荷分散して、
かつ冗長性を持たせたいなら、www1とwww2でDNSサーバ動かす
というテクニックもあるぞ
CNAMEじゃなくてAならやったことあるよ。
DNSラウンドロビンの負荷分散が効かないクライアント
向けに負荷分散したかったので(冗長性は別のしくみで確保)
CNAMEだとダメな理由は思いつかない
DNSラウンドロビン効かないクライアント向けに負荷分散して、
かつ冗長性を持たせたいなら、www1とwww2でDNSサーバ動かす
というテクニックもあるぞ
526 :名無しさん@お腹いっぱい。:2011/03/07(月) 10:37:01.48
>CNAMEだとダメな理由は思いつかない
CNAMEは1個だけ、ってRFCに明記されてるから。
そうするとうまく動かないとかそういうことじゃなく。
CNAMEは1個だけ、ってRFCに明記されてるから。
そうするとうまく動かないとかそういうことじゃなく。
527 :名無しさん@お腹いっぱい。:2011/03/07(月) 11:08:15.00
DNSサーバそれぞれに1個だけ書くんでしょ。
dns1とwww1、dns2とwww2をそれぞれセットにして、
2台の仮想サーバーに入れようと考えたのですが、
片側の仮想がダウンしたときでも、この方法ならサービスが継続できるかと思いまして。
2台の仮想サーバーに入れようと考えたのですが、
片側の仮想がダウンしたときでも、この方法ならサービスが継続できるかと思いまして。
529 :名無しさん@お腹いっぱい。:2011/03/07(月) 13:29:13.46
レコードがキャッシュされちゃってたら意味なくね?
それともダウンしたイベント契機とかでちゃんとシリアル上げるようにするの?
それともダウンしたイベント契機とかでちゃんとシリアル上げるようにするの?
530 :名無しさん@お腹いっぱい。:2011/03/07(月) 13:33:31.63
TTLを短くしとけばいける気もするな。
シリアルは別に上げなくてもいい。
まぁ、普通のやり方ではないけど。
シリアルは別に上げなくてもいい。
まぁ、普通のやり方ではないけど。
531 :名無しさん@お腹いっぱい。:2011/03/07(月) 20:11:09.20
TTL無視するクライアントあるからね。Internet ExplorerはDNSレコードを引いた結果を
TTLにかかわらず1800秒キャッシュするし(一度IE落とせばOK)、某携帯電話屋の
プロクシサーバは3600秒だった。某サーバソフトは起動時にDNS引いて
その結果を死ぬまで保持する。
それでもOKな用途なら、
> dns1とwww1、dns2とwww2をそれぞれセットにして、
> 2台の仮想サーバーに入れようと考えたのですが、
> 片側の仮想がダウンしたときでも、この方法ならサービスが継続できるかと思いまして。
同じようなようなことをやってるところは知ってる。
そこでは仮想サーバを分離せずに、ApacheとBIND を同時に動かす
サーバを2台用意して、
・どっちかのサーバのネットワークが落ちれば、そのサーバのBINDには
到達できなくなるので、そのサーバのApacheのアクセスは無くなる。
・Webサーバプロセスの応答を自分自身で監視して、応答に異常があればBINDも停止させることで
そのサーバのApacheへのアクセスを無くす。
・メンテで片方のサーバ止めたい時はBINDを止めるだけでいい。
ということをやってた。今でも動いてるけど、問題が起きたという話は聞いてないです。
TTLにかかわらず1800秒キャッシュするし(一度IE落とせばOK)、某携帯電話屋の
プロクシサーバは3600秒だった。某サーバソフトは起動時にDNS引いて
その結果を死ぬまで保持する。
それでもOKな用途なら、
> dns1とwww1、dns2とwww2をそれぞれセットにして、
> 2台の仮想サーバーに入れようと考えたのですが、
> 片側の仮想がダウンしたときでも、この方法ならサービスが継続できるかと思いまして。
同じようなようなことをやってるところは知ってる。
そこでは仮想サーバを分離せずに、ApacheとBIND を同時に動かす
サーバを2台用意して、
・どっちかのサーバのネットワークが落ちれば、そのサーバのBINDには
到達できなくなるので、そのサーバのApacheのアクセスは無くなる。
・Webサーバプロセスの応答を自分自身で監視して、応答に異常があればBINDも停止させることで
そのサーバのApacheへのアクセスを無くす。
・メンテで片方のサーバ止めたい時はBINDを止めるだけでいい。
ということをやってた。今でも動いてるけど、問題が起きたという話は聞いてないです。
532 :名無しさん@お腹いっぱい。:2011/03/08(火) 10:19:19.62
ちょっと教えて。
ゾーンファイルを変更した後に適用させるのは、
/etc/init.d/bind9 restart でいいかな。
ゾーンファイルを変更した後に適用させるのは、
/etc/init.d/bind9 restart でいいかな。
533 :名無しさん@お腹いっぱい。:2011/03/08(火) 10:53:26.13
reload でいいんじゃないの。
その /etc/init.d/bind9 ってスクリプト読んでみ。
その /etc/init.d/bind9 ってスクリプト読んでみ。
534 :名無しさん@お腹いっぱい。:2011/03/08(火) 11:00:05.70
ごめん、reloadあった。
どうもです。
どうもです。
535 :名無しさん@お腹いっぱい。:2011/03/08(火) 11:18:09.59
rndc reload example.com の方がよい。
ゾーンを指定しないと全ゾーンが読み直されるので、
大量のドメインを収容してる場合は非常に重くなる。
数ゾーン程度ならたいして変わらんけどさ。
ゾーンを指定しないと全ゾーンが読み直されるので、
大量のドメインを収容してる場合は非常に重くなる。
数ゾーン程度ならたいして変わらんけどさ。
536 :名無しさん@お腹いっぱい。:2011/03/08(火) 12:08:53.36
ありがとう。覚えとく。
537 :名無しさん@お腹いっぱい。:2011/03/08(火) 12:26:24.23
ああ、
viewで内外を分けたとき、外ゾーンの転送が使えないことがいま分かったよ...
viewで内外を分けたとき、外ゾーンの転送が使えないことがいま分かったよ...
538 :名無しさん@お腹いっぱい。:2011/03/09(水) 00:57:18.88
539 :名無しさん@お腹いっぱい。:2011/03/09(水) 16:44:19.87
メンテで片方のサーバ止めたい時はBINDを止め
た瞬間からlame delegationです
た瞬間からlame delegationです
540 :名無しさん@お腹いっぱい。:2011/03/09(水) 16:52:57.11
541 :名無しさん@お腹いっぱい。:2011/03/09(水) 18:02:54.65
lameっちゃlameだけど、ゾーンに複数ある権威サーバのどれかが故障で
止まってる状態に過ぎないわな。
普通にあり。
止まってる状態に過ぎないわな。
普通にあり。
542 :名無しさん@お腹いっぱい。:2011/03/09(水) 18:07:12.73
計画メンテならちゃんとTTLを調整してレコードを書き換えてやれば良いだけ
必要もないのに故意に権威サーバを障害状態にして世のキャッシュに被害を与える
どこがありなのか明快に説明してほしい
必要もないのに故意に権威サーバを障害状態にして世のキャッシュに被害を与える
どこがありなのか明快に説明してほしい
543 :名無しさん@お腹いっぱい。:2011/03/09(水) 18:48:07.92
複数ある権威サーバのうちどれかが故障して応答返せなかったり、
ネットワーク障害で到達できなかったり、パケロスで応答が帰らな
かったりは、普通にDNSで想定されてるし、しょっちゅう起こってる。
その時のキャッシュサーバ(フルリゾルバ)の動作も
RFC 1034の時代から明確に決められてる(別のNSを選択する)ので
lameを放置したりしない限り問題ないというのが俺の認識なんだけども。
> 計画メンテならちゃんとTTLを調整してレコードを書き換えてやれば良いだけ
そういう生真面目な態度は嫌いじゃないし、それが正しいことは同意する。
でも、自ゾーンの権威サーバのメンテのために、上位ゾーンの
レジストラにメンテ対象のNSレコード消してもらってメンテ終わったら
復活してもらうのか?(2台あったらそれを2回やるのか?)
NSレコードの変更に金がかかるレジストラもあるというのに。
ネットワーク障害で到達できなかったり、パケロスで応答が帰らな
かったりは、普通にDNSで想定されてるし、しょっちゅう起こってる。
その時のキャッシュサーバ(フルリゾルバ)の動作も
RFC 1034の時代から明確に決められてる(別のNSを選択する)ので
lameを放置したりしない限り問題ないというのが俺の認識なんだけども。
> 計画メンテならちゃんとTTLを調整してレコードを書き換えてやれば良いだけ
そういう生真面目な態度は嫌いじゃないし、それが正しいことは同意する。
でも、自ゾーンの権威サーバのメンテのために、上位ゾーンの
レジストラにメンテ対象のNSレコード消してもらってメンテ終わったら
復活してもらうのか?(2台あったらそれを2回やるのか?)
NSレコードの変更に金がかかるレジストラもあるというのに。
544 :名無しさん@お腹いっぱい。:2011/03/11(金) 07:23:55.68
DNSSECできないね
545 :名無しさん@お腹いっぱい。:2011/03/11(金) 07:27:18.08
そうでもないか・・・
2台のサーバで同じZSKとKSK使えばOK?
2台のサーバで同じZSKとKSK使えばOK?
546 :名無しさん@お腹いっぱい。:2011/03/11(金) 09:06:04.28
2台でZSK/KSKが違っても問題なし
どちらも有効な署名があって両方のDSレコードが
親ゾーンに登録されていればいい
どうせDNSSECなんか難しすぎて誰も運用できないが
どちらも有効な署名があって両方のDSレコードが
親ゾーンに登録されていればいい
どうせDNSSECなんか難しすぎて誰も運用できないが
547 :名無しさん@お腹いっぱい。:2011/03/15(火) 10:21:50.44
SOAレコードのアドレスってAレコードに書いてないといけないんだよね?
ttp://www.atmarkit.co.jp/flinux/rensai/bind02/bind02.html
のサンプルはそう書かれてないし、むしろ最後にはCNAMEに書いてるんだけど、
これは間違い?
ttp://www.atmarkit.co.jp/flinux/rensai/bind02/bind02.html
のサンプルはそう書かれてないし、むしろ最後にはCNAMEに書いてるんだけど、
これは間違い?
548 :名無しさん@お腹いっぱい。:2011/03/15(火) 11:27:57.50
そもそもあれ使われることあんのかな。
549 :名無しさん@お腹いっぱい。:2011/03/15(火) 11:36:12.39
SOAよりNSのホスト名がCNAMEされてるのが気になるな。
RFC1912の7ページあたり。
RFC1912の7ページあたり。
550 :名無しさん@お腹いっぱい。:2011/03/15(火) 18:40:27.76
素人はCNAME使うなと言いたい
551 :名無しさん@お腹いっぱい。:2011/03/19(土) 15:26:20.92
bind9とheartbeatの組み合わせで片側を再起動したりすると
起動後に名前解決できなくなるってことある?
bind9をリスタートさせれば戻るんだけど。
起動後に名前解決できなくなるってことある?
bind9をリスタートさせれば戻るんだけど。
552 :名無しさん@お腹いっぱい。:2011/03/19(土) 16:08:34.94
553 :名無しさん@お腹いっぱい。:2011/03/19(土) 16:27:01.63
554 :名無しさん@お腹いっぱい。:2011/03/19(土) 23:06:13.53
555 :名無しさん@お腹いっぱい。:2011/03/22(火) 12:15:08.53
今まであまり意識したことなかったが、
BINDって 0.0.0.0 や :: に bind(2)できないのか……
BINDって 0.0.0.0 や :: に bind(2)できないのか……
556 :名無しさん@お腹いっぱい。:2011/04/03(日) 01:52:48.53
.comドメインもDNSSEC対応か
verisign.comさえ署名してないのに誰が使ってるのかね
verisign.comさえ署名してないのに誰が使ってるのかね
557 :名無しさん@お腹いっぱい。:2011/04/06(水) 22:21:17.21
お名前で取得したドメインを、さくらのサーバーで使用するためにNSの設定を完了し、数分後にwhoisで確認するとNSはしっかりさくらになっており、サーバーのIPもさくらになっています。
aguseなどで確認したり、関東の友人数人に確認してもらうと、しっかり反映されてページが表示されるのですが、自分の住んでいる地域だけは、ISPを変えてもPCを変えても、お名前のドメインパーキングページが表示されます。pingで確認しても、IPはお名前のままです。
もちろん24時間ほどでしっかり見れるようになるのですが、なぜ自分の住んでいる地域だけが、反映が遅いのでしょうか…?
ちなみに、GMO系列以外で取得したドメインは、即反映されて自分の地域でも普通に閲覧できます。
何年もずっと疑問なのですが、説明してくれるようなサイト等はありませんか?
aguseなどで確認したり、関東の友人数人に確認してもらうと、しっかり反映されてページが表示されるのですが、自分の住んでいる地域だけは、ISPを変えてもPCを変えても、お名前のドメインパーキングページが表示されます。pingで確認しても、IPはお名前のままです。
もちろん24時間ほどでしっかり見れるようになるのですが、なぜ自分の住んでいる地域だけが、反映が遅いのでしょうか…?
ちなみに、GMO系列以外で取得したドメインは、即反映されて自分の地域でも普通に閲覧できます。
何年もずっと疑問なのですが、説明してくれるようなサイト等はありませんか?
558 :名無しさん@お腹いっぱい。:2011/04/07(木) 00:28:25.23
浸透いうな、の類?
559 :名無しさん@お腹いっぱい。:2011/04/07(木) 00:43:07.12
単にネガティブキャッシュヒットしてただけだろ。
「ISPを変えても」が実際にはアクセス網のOEM提供で実態は一緒だったりもするし。
「ISPを変えても」が実際にはアクセス網のOEM提供で実態は一緒だったりもするし。
560 :名無しさん@お腹いっぱい。:2011/04/07(木) 10:55:12.13
キャッシュサーバーなんぞ、自分で立てるなりgoogleのを使うなりすればいーんでね?
561 :名無しさん@お腹いっぱい。:2011/04/07(木) 10:59:50.53
そもそも板違いじゃね。
562 :名無しさん@お腹いっぱい。:2011/04/07(木) 11:11:04.43
あ
563 :名無しさん@お腹いっぱい。:2011/04/07(木) 11:13:21.89
564 :名無しさん@お腹いっぱい。:2011/04/07(木) 11:26:57.69
ネットワーク管理者に聞いてください。
565 :名無しさん@お腹いっぱい。:2011/04/07(木) 12:09:54.12
566 :名無しさん@お腹いっぱい。:2011/04/07(木) 18:33:25.81
turbolinuxをDNSに設定しろて…。
誰かおすすめサイト教えてくだちぃ
誰かおすすめサイト教えてくだちぃ
567 :名無しさん@お腹いっぱい。:2011/04/07(木) 18:42:57.73
そんなのどうでもいいじゃん
568 :名無しさん@お腹いっぱい。:2011/04/07(木) 19:00:11.72
turbolinuxってまだ生きてるのか
570 :名無しさん@お腹いっぱい。:2011/04/08(金) 10:27:48.03
死んでます
>>556
exanames.com
infoblox.com
jasadvisors.com
verisignlabs.com
jpドメインは iij.ad.jp と jprs.co.jp くらいしかなさそう?
exanames.com
infoblox.com
jasadvisors.com
verisignlabs.com
jpドメインは iij.ad.jp と jprs.co.jp くらいしかなさそう?
572 :名無しさん@お腹いっぱい。:2011/04/10(日) 22:15:24.72
どのDNSを選べばいいんよ
iwayuru設定ファイルコピペと文字列置換だけで手軽に運用してえのよ
iwayuru設定ファイルコピペと文字列置換だけで手軽に運用してえのよ
573 :名無しさん@お腹いっぱい。:2011/04/11(月) 08:10:13.21
それなら設定ファイルを引っ張ってくるところにあわせればー
574 :名無しさん@お腹いっぱい。:2011/04/11(月) 10:00:30.88
>>572
そういう人はサーバ運用しない方がいい。
そういう人はサーバ運用しない方がいい。
575 :名無しさん@お腹いっぱい。:2011/04/11(月) 10:23:18.39
>>571
jp だと、sannet のレンサバを使ってるドメインがほとんどすべて DNSSEC 化してる。
ユーザーがやめてくれと申し出ないかぎりデフォでやるという、
神対応なんだかひどい仕打ちなんだかよくわからんことになってる。
jp だと、sannet のレンサバを使ってるドメインがほとんどすべて DNSSEC 化してる。
ユーザーがやめてくれと申し出ないかぎりデフォでやるという、
神対応なんだかひどい仕打ちなんだかよくわからんことになってる。
576 :アクロンなら毛糸洗いに自信が持てます:2011/04/11(月) 17:07:32.91
地震に強い、DNSの設定方法を教えてください
577 :名無しさん@お腹いっぱい。:2011/04/11(月) 20:57:07.50
578 :名無しさん@お腹いっぱい。:2011/04/15(金) 03:24:38.58
>>575
おー本当だ
おー本当だ
579 :名無しさん@お腹いっぱい。:2011/04/16(土) 20:09:23.45
プロバイダー自らDNSポイズニングする日が来るとは思ってもいなかった・・・
8.8.8.8に逃げるか
でも遅いんだよな
8.8.8.8に逃げるか
でも遅いんだよな
580 :名無しさん@お腹いっぱい。:2011/04/16(土) 20:32:49.86
別にブロッキング回避する目的ではないが、俺はUnboundのWin32版を動かしてるよ
インストールするだけで127.0.0.1でDNSSEC Validator付き
DNSサービス起動するので便利。
http://www.unbound.net/download.html
このやり方が普及するとDNS権威サーバの負荷が上がっちゃうな
インストールするだけで127.0.0.1でDNSSEC Validator付き
DNSサービス起動するので便利。
http://www.unbound.net/download.html
このやり方が普及するとDNS権威サーバの負荷が上がっちゃうな
581 :名無しさん@お腹いっぱい。:2011/04/21(木) 23:49:15.12
ブロッキング始まったか
DNSポイゾニング方式ってどうやってるんだ?
BINDとかで簡単にできるのかな?
DNSポイゾニング方式ってどうやってるんだ?
BINDとかで簡単にできるのかな?
582 :名無しさん@お腹いっぱい。:2011/04/22(金) 00:13:01.19
プロバイダにブロッキングされるこんな世の中じゃ
583 :名無しさん@お腹いっぱい。:2011/04/22(金) 00:43:55.43
>>581
RPZ
RPZ
584 :名無しさん@お腹いっぱい。:2011/04/22(金) 00:49:42.62
RPZってBIND9.8の機能だからプロバイダはまだ使ってないんじゃね
普通に named.confに zone "blocked.example.com" { ... }
を延々と書いてるはず
普通に named.confに zone "blocked.example.com" { ... }
を延々と書いてるはず
585 :名無しさん@お腹いっぱい。:2011/04/24(日) 16:36:54.93
DNSでフィルタリングなのか
Privoxyみたいなソフトを仲介させて全体か一部を逐一弾くめんどい形式なのかと思ってた
Privoxyみたいなソフトを仲介させて全体か一部を逐一弾くめんどい形式なのかと思ってた
586 :名無しさん@お腹いっぱい。:2011/04/24(日) 17:17:24.65
実施している所ってgoogleなどの8.8.8.8は使えないのかな
外部へのudp53は止めてるのかねえ
外部へのudp53は止めてるのかねえ
587 :名無しさん@お腹いっぱい。:2011/04/24(日) 21:01:06.36
>>585
DNSが多いらしい
>>586
8.8.8.8では今のところフィルタリング無しみたいだ
googleってブロッキングリストの供給受けているのに
http://www.netsafety.or.jp/about/003.html
うちのISPが提供してるDNSサーバでは問題のドメインは
ブロックされてるが(Aを問い合わせるとニセのIPが返る)、
53/udpは素通しみたいなので、8.8.8.8やローカルのBINDを
使えばブロックされない
なんというザル。。。。
DNSが多いらしい
>>586
8.8.8.8では今のところフィルタリング無しみたいだ
googleってブロッキングリストの供給受けているのに
http://www.netsafety.or.jp/about/003.html
うちのISPが提供してるDNSサーバでは問題のドメインは
ブロックされてるが(Aを問い合わせるとニセのIPが返る)、
53/udpは素通しみたいなので、8.8.8.8やローカルのBINDを
使えばブロックされない
なんというザル。。。。
588 :名無しさん@お腹いっぱい。:2011/04/24(日) 21:22:20.08
100%はムリでも、8割9割の人をブロックできればいいんじゃね
参照DNSを8.8.8.8に設定変更できる人がどれだけいるのかと
……エロの力は絶大だからわからんな
参照DNSを8.8.8.8に設定変更できる人がどれだけいるのかと
……エロの力は絶大だからわからんな
589 :名無しさん@お腹いっぱい。:2011/04/25(月) 11:50:28.04
ISPのコールセンターにロリエロサイトを見れない問い合わせが相次いでたりすんのかな
590 :名無しさん@お腹いっぱい。:2011/04/25(月) 12:25:41.19
591 :名無しさん@お腹いっぱい。:2011/04/25(月) 13:39:36.31
検索結果じゃなくGoogle Public DNSの話でしょ?
592 :名無しさん@お腹いっぱい。:2011/04/25(月) 13:46:54.60
間違えて見てはいけないので、リストください。
593 :名無しさん@お腹いっぱい。:2011/04/25(月) 14:40:43.30
594 :名無しさん@お腹いっぱい。:2011/04/25(月) 14:49:28.59
8.8.8.8ってグローバルサービスだからなぁ
一国内でしか有効でないフィルタかけても
って事なんでしょう
それともviewみたいにソースIPによってフィルタ変える?
一国内でしか有効でないフィルタかけても
って事なんでしょう
それともviewみたいにソースIPによってフィルタ変える?
595 :名無しさん@お腹いっぱい。:2011/04/25(月) 16:54:59.96
通信の秘密を侵害しない方法としちゃ上策?
596 :名無しさん@お腹いっぱい。:2011/04/26(火) 09:19:21.01
第二十一条 2
検閲は、これをしてはならない。通信の秘密は、これを侵してはならない。
検閲は、これをしてはならない。通信の秘密は、これを侵してはならない。
597 :名無しさん@お腹いっぱい。:2011/04/26(火) 10:27:36.72
598 :名無しさん@お腹いっぱい。:2011/04/26(火) 10:36:12.72
(検閲の禁止)
第三条 電気通信事業者の取扱中に係る通信は、検閲してはならない。
第三条 電気通信事業者の取扱中に係る通信は、検閲してはならない。
599 :名無しさん@お腹いっぱい。:2011/04/26(火) 10:43:36.74
話それてますよー。
600 :名無しさん@お腹いっぱい。:2011/04/26(火) 14:41:52.76
逸らさせたんだよ
計画通り・・・ククク
計画通り・・・ククク
601 :名無しさん@お腹いっぱい。:2011/04/30(土) 04:59:32.93
602 :名無しさん@お腹いっぱい。:2011/05/06(金) 21:14:59.67
DNSSECについて教えてください。
たぶん何年か後にルートゾーンのトラストアンカー(DNSKEY)が更新されるタイミングがあると思いますが、そのときDNSキャッシュサーバ側の対応ってどうなるんでしょう?
1. ルートゾーンの署名に使われるDNSKEYが新しくなる瞬間にいっせーので世界中のキャッシュにセットするトラストアンカーを更新してキャッシュもクリアする
⇒まさかそんなはずはない
2. ルートゾーンの新しいDNSKEYは実際に署名に使われるまで十分長い期間をもって周知されるので、世界各地のキャッシュサーバには事前にそれをセットしておく(ルートゾーンのトラストアンカーが2つセットされている状態になる)
⇒たぶんこれ? 新旧のトラストアンカーを区別できるの?
3. RFC5011で自動更新なので素人は心配すんな
⇒だったらいいなぁ
たぶん何年か後にルートゾーンのトラストアンカー(DNSKEY)が更新されるタイミングがあると思いますが、そのときDNSキャッシュサーバ側の対応ってどうなるんでしょう?
1. ルートゾーンの署名に使われるDNSKEYが新しくなる瞬間にいっせーので世界中のキャッシュにセットするトラストアンカーを更新してキャッシュもクリアする
⇒まさかそんなはずはない
2. ルートゾーンの新しいDNSKEYは実際に署名に使われるまで十分長い期間をもって周知されるので、世界各地のキャッシュサーバには事前にそれをセットしておく(ルートゾーンのトラストアンカーが2つセットされている状態になる)
⇒たぶんこれ? 新旧のトラストアンカーを区別できるの?
3. RFC5011で自動更新なので素人は心配すんな
⇒だったらいいなぁ
603 :名無しさん@お腹いっぱい。:2011/05/07(土) 23:20:47.80
更新するまでDNSSECが廃れないといいですね
604 :名無しさん@お腹いっぱい。:2011/05/09(月) 10:35:29.61
> ⇒たぶんこれ? 新旧のトラストアンカーを区別できるの?
yes
複数ある鍵のいずれかで検証成功すれば OK、ということになってる。
>3. RFC5011で自動更新なので素人は心配すんな
パーミッションがあいてなくて更新すべきファイルに書き込めなかったという
未来が見えるよ……
yes
複数ある鍵のいずれかで検証成功すれば OK、ということになってる。
>3. RFC5011で自動更新なので素人は心配すんな
パーミッションがあいてなくて更新すべきファイルに書き込めなかったという
未来が見えるよ……
605 :名無しさん@お腹いっぱい。:2011/05/10(火) 02:12:35.91
606 :名無しさん@お腹いっぱい。:2011/05/15(日) 13:30:46.00
DNSポイゾニングでブロックと聞いて久々にISPのDNS使ってみたら
行きつけのサイトが見れなかった
ウウウウウウウウウウウンン
行きつけのサイトが見れなかった
ウウウウウウウウウウウンン
607 :名無しさん@お腹いっぱい。:2011/05/15(日) 16:41:14.71
>>606
話題のぷららですか。
話題のぷららですか。
608 :名無しさん@お腹いっぱい。:2011/05/15(日) 17:03:45.96
ぷららならばしょうがないがさてどこだろう
609 :名無しさん@お腹いっぱい。:2011/05/15(日) 18:19:53.16
ぷららってDNSポイゾニングじゃないんだな
610 :名無しさん@お腹いっぱい。:2011/05/15(日) 20:47:40.60
コンテンツフィルタですた
611 :名無しさん@お腹いっぱい。:2011/05/17(火) 19:16:59.44
DNS鯖陥落したの
PC側実害無しでけど、飛ばし先ヤバイよ!
このドメイン名は、ICEに襲われました - 国土安全保障調査(タイトル18 U.S.C2254.の当局の下で米国地方裁判所によって出されるseizre warratに基づく)
PC側実害無しでけど、飛ばし先ヤバイよ!
このドメイン名は、ICEに襲われました - 国土安全保障調査(タイトル18 U.S.C2254.の当局の下で米国地方裁判所によって出されるseizre warratに基づく)
612 :611:2011/05/17(火) 19:27:02.78
児童ポルノのAdvertisement,distribution,transpotration,receipt,and所有は、最初に対するそのキャリー処罰が連邦prison,aで30年、犯罪者の時間を計る連邦犯罪を250,000ドルのfine,forfeitureと賠償に任命します。
Windowsだとカード番号入力画面出るのか
250ドル 250000ドルなら米韓政府グルだな
欧州串経由では、404
Windowsだとカード番号入力画面出るのか
250ドル 250000ドルなら米韓政府グルだな
欧州串経由では、404
613 :名無しさん@お腹いっぱい。:2011/05/18(水) 01:00:31.62
日本語でおk(英語でもおk)
614 :名無しさん@お腹いっぱい。:2011/05/18(水) 02:51:38.66
中学生レベルの英語を機械翻訳にかけて
日本語になっていない文字の羅列を貼って喜んでいる奴は何をしたいんだ
日本語になっていない文字の羅列を貼って喜んでいる奴は何をしたいんだ
615 :名無しさん@お腹いっぱい。:2011/05/18(水) 09:53:39.01
prison,a
プリゾン・ア
と読めばいいのかコレ
プリゾン・ア
と読めばいいのかコレ
616 :名無しさん@お腹いっぱい。:2011/05/27(金) 15:39:41.53
617 :名無しさん@お腹いっぱい。:2011/05/27(金) 15:43:28.23
618 :名無しさん@お腹いっぱい。:2011/05/27(金) 15:49:15.37
穴多すぎだよなぁ。
根本的になんとかならんのかね。
根本的になんとかならんのかね。
619 :名無しさん@お腹いっぱい。:2011/05/27(金) 18:00:46.63
皆でnsd+unboundかPowerDNSとかに移行するしかないのか?
620 :名無しさん@お腹いっぱい。:2011/05/28(土) 04:46:42.58
( ´∀`)つ Microsoft DNS server
621 :名無しさん@お腹いっぱい。:2011/05/28(土) 16:59:40.56
ラウンドロビンしてくれるのってBINDだけだっけ
622 :名無しさん@お腹いっぱい。:2011/05/30(月) 07:50:51.95
今週はパッチ入りバージョンの検証で残業予定、めんどくせー
623 :名無しさん@お腹いっぱい。:2011/05/30(月) 12:34:53.75
おめ
624 :名無しさん@お腹いっぱい。:2011/05/31(火) 00:50:44.47
unboundの assertionで落ちるのは DoSというのかね
コンパイル時に--enable-checking や --enable-debug つけて
ないと当たらないし
コンパイル時に--enable-checking や --enable-debug つけて
ないと当たらないし
625 :名無しさん@お腹いっぱい。:2011/05/31(火) 00:57:26.85
BINDの脆弱性はまたDNSSEC絡みか
DNSSECのために脆弱性増えてるなら
なんのためDNSSECかわからんぞ
DNSSECのために脆弱性増えてるなら
なんのためDNSSECかわからんぞ
626 :名無しさん@お腹いっぱい。:2011/05/31(火) 11:47:07.98
クライアント側実装も怪しいもんだな>DNSSEC
で、banスクリプトどこにあんの?
で、banスクリプトどこにあんの?
627 :名無しさん@お腹いっぱい。:2011/06/07(火) 13:11:35.95
BIND9の内向き解決にIPv6アドレスを登録するときって
リンクローカルアドレスでいい?
リンクローカルアドレスでいい?
628 :名無しさん@お腹いっぱい。:2011/06/07(火) 15:22:19.72
DNS 的には登録することに問題はないと思うけど、
それを参照するアプリに問題が起きないかどうかは別の話。
少なくともリンクローカルじゃルータを越えられない。
内向きじゃルータとか気にしなくてもいいかもしれないけど、
そういうプライベート用途であればリンクローカルアドレスではなく
ユニークローカルアドレスを使った方がいいと思う。
それを参照するアプリに問題が起きないかどうかは別の話。
少なくともリンクローカルじゃルータを越えられない。
内向きじゃルータとか気にしなくてもいいかもしれないけど、
そういうプライベート用途であればリンクローカルアドレスではなく
ユニークローカルアドレスを使った方がいいと思う。
629 :名無しさん@お腹いっぱい。:2011/06/07(火) 16:29:52.48
リンクローカルな名前解決はmDNS使ってしまいたい
630 :名無しさん@お腹いっぱい。:2011/06/08(水) 09:04:58.89
AAAA遮断したったwwwwwww
631 :名無しさん@お腹いっぱい。:2011/06/08(水) 14:58:24.50
アッー
632 :名無しさん@お腹いっぱい。:2011/06/16(木) 12:10:00.95
recursion って副作用があるね
633 :名無しさん@お腹いっぱい。:2011/06/16(木) 13:34:05.70
というと?
634 :名無しさん@お腹いっぱい。:2011/06/29(水) 22:25:09.38
janogで話がでてるが、
jpゾーンのnsがBIND 9.7.3-P3という版に
なってる
公開されてる最新版はP1
セキュリティホール来るか?
> dig @a.dns.jp version.bind chaos txt
"9.7.3-P2"
jpゾーンのnsがBIND 9.7.3-P3という版に
なってる
公開されてる最新版はP1
セキュリティホール来るか?
> dig @a.dns.jp version.bind chaos txt
"9.7.3-P2"
635 :634:2011/06/29(水) 22:28:34.86
>>634
ああまちがえた9.7.3-P2ね
ああまちがえた9.7.3-P2ね
c.dns.jpで使っているultradnsってなに?
637 :名無しさん@お腹いっぱい。:2011/07/03(日) 00:11:06.46
638 :名無しさん@お腹いっぱい。:2011/07/05(火) 22:33:14.39
639 :名無しさん@お腹いっぱい。:2011/07/05(火) 23:38:23.42
強烈だねぇ
allow-queryでも防げないとか
どんだけだよこれ
allow-queryでも防げないとか
どんだけだよこれ
640 :名無しさん@お腹いっぱい。:2011/07/06(水) 12:56:33.03
定期脆弱性
641 :名無しさん@お腹いっぱい。:2011/07/06(水) 20:15:21.17
allow-***の見直しをしてほしい。
わかりにくいったらありゃしない。
わかりにくいったらありゃしない。
642 :名無しさん@お腹いっぱい。:2011/07/06(水) 20:18:40.00
むしろ見直しをしたら訳がわからなくなったと思われ
643 :名無しさん@お腹いっぱい。:2011/07/06(水) 20:54:44.90
さすが9.4だ、何ともないぜ
644 :名無しさん@お腹いっぱい。:2011/07/06(水) 21:00:02.24
645 :名無しさん@お腹いっぱい。:2011/07/06(水) 22:55:33.70
BINDここまで品質悪いのは何でだぜ?
BIND10になれば良くなるんだろうか
BIND10になれば良くなるんだろうか
646 :名無しさん@お腹いっぱい。:2011/07/06(水) 23:44:52.33
月刊『重複をお許しください』
647 :名無しさん@お腹いっぱい。:2011/07/07(木) 07:36:11.78
なんでtar玉が7M近くも有る、そこまで複雑なことやってるか?
修正箇所を含めてコメントがさっぱり無いので検証が面倒い
しかし代替品も中途半端なものばかり
修正箇所を含めてコメントがさっぱり無いので検証が面倒い
しかし代替品も中途半端なものばかり
648 :名無しさん@お腹いっぱい。:2011/07/07(木) 10:15:38.26
bind捨てれば幸せ
かも
かも
649 :名無しさん@お腹いっぱい。:2011/07/07(木) 10:19:06.05
tar 玉の中身を見ればわかるけど、ソース以外のものがほとんどだよ。
ドキュメントだけで10MBとか、テストツールだけで5MBとか。
ドキュメントだけで10MBとか、テストツールだけで5MBとか。
650 :名無しさん@お腹いっぱい。:2011/07/07(木) 14:03:42.61
以下のやりとりの中で、「9.4以下はコード上に脆弱性はあるけど、 攻撃方法が見つかっていないし、安全そうだから、発表しない んだよ。」っという結論に達していいのだろうか。
ttps://lists.isc.org/pipermail/bind-users/2011-July/084368.html
ttps://lists.isc.org/pipermail/bind-users/2011-July/084368.html
651 :名無しさん@お腹いっぱい。:2011/07/07(木) 16:26:21.08
潜在的に穴はあるけど、外からはその穴をつつけないから危険ではない。
……というところまではいいけど、発表しないんじゃなくて、
その穴を直した修正版をそのうちリリースする、とあるね。
たぶんそれが 9.4 の最終版になるのかな。
……というところまではいいけど、発表しないんじゃなくて、
その穴を直した修正版をそのうちリリースする、とあるね。
たぶんそれが 9.4 の最終版になるのかな。
652 :名無しさん@お腹いっぱい。:2011/07/07(木) 22:20:42.19
で、実証コードは?
653 :名無しさん@お腹いっぱい。:2011/07/07(木) 22:34:38.76
実証できていないから安全ですw
安全だから対応しなくていいんですw
安全だから対応しなくていいんですw
654 :名無しさん@お腹いっぱい。:2011/07/07(木) 23:09:45.19
実際問題として修正されたのは9.4には無い部分のコードだからな
というわけで本当に>>643
というわけで本当に>>643
655 :名無しさん@お腹いっぱい。:2011/07/08(金) 11:41:30.14
656 :名無しさん@お腹いっぱい。:2011/07/08(金) 15:53:43.75
657 :名無しさん@お腹いっぱい。:2011/07/08(金) 16:53:05.84
658 :名無しさん@お腹いっぱい。:2011/07/08(金) 17:10:44.31
>>657
http://www.isc.org/software/bind/security/matrix
redhatがパッチをバックポートしてるだろうから最新のRPMを使ってるかぎりは
たぶん大丈夫だろうけど、少なくとも素の 9.2 はとても使えたもんじゃない。
http://www.isc.org/software/bind/security/matrix
redhatがパッチをバックポートしてるだろうから最新のRPMを使ってるかぎりは
たぶん大丈夫だろうけど、少なくとも素の 9.2 はとても使えたもんじゃない。
659 :名無しさん@お腹いっぱい。:2011/07/08(金) 21:03:47.52
>>655
キリッ!
キリッ!
660 :名無しさん@お腹いっぱい。:2011/07/09(土) 09:32:02.50
>>656
いやいや、cve-2011-2464,2425関係ないアップデートじゃないか?changelogに何も書いてないし
いやいや、cve-2011-2464,2425関係ないアップデートじゃないか?changelogに何も書いてないし
661 :名無しさん@お腹いっぱい。:2011/07/09(土) 09:32:59.64
>>654
が正しいのかな?
が正しいのかな?
662 :名無しさん@お腹いっぱい。:2011/07/09(土) 09:55:53.36
663 :名無しさん@お腹いっぱい。:2011/07/09(土) 09:56:59.72
>>661 今回の穴だけに限って言えばね
664 :名無しさん@お腹いっぱい。:2011/07/09(土) 17:32:29.29
>>660
節穴ですか?
ttp://ftp.isc.org/isc/bind9/9.4-ESV-R5rc1/RELEASE-NOTES-BIND-9.4-ESV.html
Bug Fixes
9.4-ESV-R5rc1
? Improved the mechanism for flagging database entries as negative cache records;
the former method, RR type 0, could be ambiguous. [RT #24777]
節穴ですか?
ttp://ftp.isc.org/isc/bind9/9.4-ESV-R5rc1/RELEASE-NOTES-BIND-9.4-ESV.html
Bug Fixes
9.4-ESV-R5rc1
? Improved the mechanism for flagging database entries as negative cache records;
the former method, RR type 0, could be ambiguous. [RT #24777]
665 :名無しさん@お腹いっぱい。:2011/07/09(土) 17:36:24.11
BUGではあるがSECURITYでないのがみそということね。
666 :名無しさん@お腹いっぱい。:2011/07/09(土) 18:58:49.07
>>665
正解
正解
667 :名無しさん@お腹いっぱい。:2011/07/11(月) 09:19:02.46
>>663
いや、validator.cに同等の修正が入ってる
いや、validator.cに同等の修正が入ってる
668 :名無しさん@お腹いっぱい。:2011/07/11(月) 21:26:30.75
>>644にすべて書いてあるのに何ごちゃごちゃ言ってんだよ。
DNS Invalid Compress DoS とか
670 :名無しさん@お腹いっぱい。:2011/07/12(火) 22:54:06.65
高尚な話題の所、しょうもないこと聞いていい?
host.a.example.com, host.b.example.com の両方によくアクセスするので、
検索ドメインの設定を example.com にしておいて、
host.a や host.b の名前でアクセスするのは、
スタブリゾルバやOS・アプリの実装に依存した方法?
host.a.example.com, host.b.example.com の両方によくアクセスするので、
検索ドメインの設定を example.com にしておいて、
host.a や host.b の名前でアクセスするのは、
スタブリゾルバやOS・アプリの実装に依存した方法?
671 :名無しさん@お腹いっぱい。:2011/07/16(土) 06:35:27.68
ホスト名が一段深いのはどうなのかってこと?
672 :名無しさん@お腹いっぱい。:2011/07/16(土) 12:41:15.10
673 :名無しさん@お腹いっぱい。:2011/08/01(月) 21:37:17.56
質問があるのですがbomd9.4.3から
最新のbind9.8.0-p4に更新したら
名前解決が遅くなりました。
解決方法はありますか?
最新のbind9.8.0-p4に更新したら
名前解決が遅くなりました。
解決方法はありますか?
674 :名無しさん@お腹いっぱい。:2011/08/01(月) 21:38:55.02
間違えました。
bind9.4.3から9.8.0-p4でした
bind9.4.3から9.8.0-p4でした
675 :名無しさん@お腹いっぱい。:2011/08/01(月) 22:14:09.31
named -4
で起動
で起動
676 :名無しさん@お腹いっぱい。:2011/08/19(金) 07:05:31.69
bomd 9.4.3 はいいね
677 :名無しさん@お腹いっぱい。:2011/08/19(金) 08:13:12.20
何それ
678 :名無しさん@お腹いっぱい。:2011/08/19(金) 08:30:02.96
中だけ(右手だけ?)ずれている感じか
679 :名無しさん@お腹いっぱい。:2011/08/19(金) 10:57:35.48
なんかバクハツしそうだね
680 :名無しさん@お腹いっぱい。:2011/08/23(火) 12:07:48.65
しかもdaemonっぽい
681 :名無しさん@お腹いっぱい。:2011/08/31(水) 18:27:32.12
NSレコードがよく分からないので教えてください
ドメイン業者のレンタルDNSレコードを使わずに自分でDNS鯖を立てたいのですが、
mydomain.comというドメインを取得し、ns1.mydomain.comとns2.mydomain.comというDNS鯖を立てるとき
mydomain.comのNSレコードにns1.mydomain.comとns2.mydomain.comを指定しますよね
その場合ns1.mydomain.comとns2.mydomain.comはAレコードを持っていなければいけないようですが、
そのns1のAレコードはどこで設定するのでしょう?
ns1はmydomain.comの下位にあるのでそれを管理するのはmydomain.comのNSレコードで設定したns1mydomain.com…
となって名前解決できなくならないのはなぜですか?
ドメイン業者のレンタルDNSレコードを使わずに自分でDNS鯖を立てたいのですが、
mydomain.comというドメインを取得し、ns1.mydomain.comとns2.mydomain.comというDNS鯖を立てるとき
mydomain.comのNSレコードにns1.mydomain.comとns2.mydomain.comを指定しますよね
その場合ns1.mydomain.comとns2.mydomain.comはAレコードを持っていなければいけないようですが、
そのns1のAレコードはどこで設定するのでしょう?
ns1はmydomain.comの下位にあるのでそれを管理するのはmydomain.comのNSレコードで設定したns1mydomain.com…
となって名前解決できなくならないのはなぜですか?
682 :名無しさん@お腹いっぱい。:2011/08/31(水) 18:36:54.53
683 :名無しさん@お腹いっぱい。:2011/08/31(水) 18:39:52.24
いや、例えで出しただけです
実在するドメインだったんですかすみません
実在するドメインだったんですかすみません
684 :名無しさん@お腹いっぱい。:2011/08/31(水) 19:33:38.40
このスレには昔から「例示のドメインには example.com とか使え」教のキチガイが棲みついてて
嫌がらせだけが目的の何の役にも立たない >>682みたいなレスしてくるから気をつけるんだな
>>681 それを解決するのがglue レコード。
http://ja.wikipedia.org/wiki/Glue_Record
良い説明が見つからんなぁ
嫌がらせだけが目的の何の役にも立たない >>682みたいなレスしてくるから気をつけるんだな
>>681 それを解決するのがglue レコード。
http://ja.wikipedia.org/wiki/Glue_Record
良い説明が見つからんなぁ
685 :名無しさん@お腹いっぱい。:2011/08/31(水) 20:13:19.22
>>684
それ系のメーリングリストも一緒に購読しておくと
名無しでもそれをやってるのが誰なのか見当が付いてくるw
まぁ他人のドメインを使っちゃうのはまずいとは思うけどね。
Hoge Lumber Companyさんのドメインとかw
それ系のメーリングリストも一緒に購読しておくと
名無しでもそれをやってるのが誰なのか見当が付いてくるw
まぁ他人のドメインを使っちゃうのはまずいとは思うけどね。
Hoge Lumber Companyさんのドメインとかw
686 :名無しさん@お腹いっぱい。:2011/08/31(水) 20:19:43.64
Glueレコードですか、なるほど
その設定をレジストラのサイトで探せばいいわけですね、わかりました
ありがとうございます
その設定をレジストラのサイトで探せばいいわけですね、わかりました
ありがとうございます
687 :名無しさん@お腹いっぱい。:2011/08/31(水) 20:24:04.38
688 :名無しさん@お腹いっぱい。:2011/08/31(水) 21:08:12.43
運用上はどうでもいい疑問かもしれませんが、
NSレコードの設定ってTLDを管理してるネームサーバに直接記録されるんですか?
それともレジストラのネームサーバに記録されるんですか?
NSレコードの設定ってTLDを管理してるネームサーバに直接記録されるんですか?
それともレジストラのネームサーバに記録されるんですか?
689 :名無しさん@お腹いっぱい。:2011/08/31(水) 23:07:19.92
690 :名無しさん@お腹いっぱい。:2011/08/31(水) 23:42:34.03
実在するドメインを例示に使わないのは当然のマナー。
example教は俺も嫌いだが、主張は全く正しい。
example教は俺も嫌いだが、主張は全く正しい。
691 :名無しさん@お腹いっぱい。:2011/09/01(木) 00:06:41.26
爺か?爺なのか!?
692 :名無しさん@お腹いっぱい。:2011/09/01(木) 00:22:57.66
マナー(笑)
693 :名無しさん@お腹いっぱい。:2011/09/01(木) 00:24:01.05
若さしか取り柄のないDQNが開き直りですか
694 :名無しさん@お腹いっぱい。:2011/09/01(木) 00:48:19.25
example教が「DNS & BIND」とか見れば発狂するよなー
movie.eduとか何だよwww
第4版まではこの体たらくだが
第5版では直ってるのかな?
movie.eduとか何だよwww
第4版まではこの体たらくだが
第5版では直ってるのかな?
695 :名無しさん@お腹いっぱい。:2011/09/01(木) 03:35:43.46
example教の糞なところは、example.なんとかを使えとでしゃばるくせに
質問にはノータッチなところだろ。
質問に答えられないほどの無能なのに何やってんの?みたいなw
質問にはノータッチなところだろ。
質問に答えられないほどの無能なのに何やってんの?みたいなw
696 :名無しさん@お腹いっぱい。:2011/09/01(木) 09:34:09.39
第5版でも movie.eduだよ >>694
突っ込むなら先にこっちだよね
突っ込むなら先にこっちだよね
697 :名無しさん@お腹いっぱい。:2011/09/01(木) 19:27:45.59
俺はおっさんなのでacme.comが好きだ
698 :名無しさん@お腹いっぱい。:2011/09/01(木) 23:51:54.41
699 :名無しさん@お腹いっぱい。:2011/09/02(金) 03:41:59.64
Plan9のエディタかと思ってどきどきしちゃった
700 :名無しさん@お腹いっぱい。:2011/09/02(金) 07:38:11.63
打ち合わせでマニュアルの例示見ながら皆でacme連呼してたな〜
701 :名無しさん@お腹いっぱい。:2011/09/02(金) 09:46:41.52
電話番号の例示にも 0×0-1234-5678 っていうのがよく使われるが、
実在するぞ。さぞ迷惑だろうな。
実在するぞ。さぞ迷惑だろうな。
702 :名無しさん@お腹いっぱい。:2011/09/02(金) 09:54:01.85
懸賞の当選者名の例示にも セシウムさん っていうのがよく使われるが、
実在するぞ。さぞ迷惑だろうな。
実在するぞ。さぞ迷惑だろうな。
703 :名無しさん@お腹いっぱい。:2011/09/02(金) 10:16:36.43
>>701
それは実在しないだろ。
それは実在しないだろ。
704 :名無しさん@お腹いっぱい。:2011/09/02(金) 12:04:35.28
続きはこちらで
くだらない質問はここに書き込め!なんでもアリ24
http://pc.2ch.net/test/read.cgi/unix/1053748966/
BIND その2
http://pc.2ch.net/test/read.cgi/unix/1042989999/
djb(3)
http://pc.2ch.net/test/read.cgi/unix/1047117464/
くだらない質問はここに書き込め!なんでもアリ24
http://pc.2ch.net/test/read.cgi/unix/1053748966/
BIND その2
http://pc.2ch.net/test/read.cgi/unix/1042989999/
djb(3)
http://pc.2ch.net/test/read.cgi/unix/1047117464/
706 :名無しさん@お腹いっぱい。:2011/09/21(水) 19:07:13.05
8.8.8.8でiPhoneが速くなった!と言ってる人がそれなりにいるということは
余程グダグダなDNSキャッシュサーバが多いってことなのかのう
余程グダグダなDNSキャッシュサーバが多いってことなのかのう
707 :名無しさん@お腹いっぱい。:2011/09/21(水) 22:34:19.67
禿携帯のインフラがクソなのは鉄板じゃないか
708 :名無しさん@お腹いっぱい。:2011/09/22(木) 01:24:08.18
>>707
3G回線のDNS変更じゃないぞ
3G回線のDNS変更じゃないぞ
709 :名無しさん@お腹いっぱい。:2011/09/22(木) 07:40:12.28
8.8.8.8とか結構改善されているかも
710 :名無しさん@お腹いっぱい。:2011/09/22(木) 12:22:51.45
711 :名無しさん@お腹いっぱい。:2011/09/22(木) 20:03:36.76
8.8.8.8であるCDNサーバ引くとRTT倍増キタコレw
相変わらず使えねーじゃん
相変わらず使えねーじゃん
712 :名無しさん@お腹いっぱい。:2011/09/23(金) 01:40:20.25
>>706
十分にユーザ数があれば、メジャーなサイトは大体キャッシュ済み
になるので8.8.8.8がやってるプリフェッチの優位性も薄れるし、まともに
運用されているISPのDNSキャッシュのほうが総合的に良い結果になるはず
なんだけど、やっぱりまともでないキャッシュが多いんだろうなぁ
十分にユーザ数があれば、メジャーなサイトは大体キャッシュ済み
になるので8.8.8.8がやってるプリフェッチの優位性も薄れるし、まともに
運用されているISPのDNSキャッシュのほうが総合的に良い結果になるはず
なんだけど、やっぱりまともでないキャッシュが多いんだろうなぁ
713 :名無しさん@お腹いっぱい。:2011/09/23(金) 10:01:59.85
児ポトラップがかなりのオーバーヘッドになってそうw
あとIPv6関連か。
最近一発目はアドレスが存在しないエラーが出るサイトが時々ある。
あとIPv6関連か。
最近一発目はアドレスが存在しないエラーが出るサイトが時々ある。
714 :名無しさん@お腹いっぱい。:2011/10/10(月) 19:05:31.08
unboundのprefechって、キャッシュにヒットしたレコードの
TTLが残り少なくなってたら裏で問い合わせをしてTTLを更新するってものなんだな
"popular items"じゃわからんつーの > マニュアル
さすがに放っておいても勝手に問い合わせして
キャッシュを維持するようにしたら怒られるか。
TTLが残り少なくなってたら裏で問い合わせをしてTTLを更新するってものなんだな
"popular items"じゃわからんつーの > マニュアル
さすがに放っておいても勝手に問い合わせして
キャッシュを維持するようにしたら怒られるか。
715 :名無しさん@お腹いっぱい。:2011/10/11(火) 09:49:28.93
716 :名無しさん@お腹いっぱい。:2011/10/11(火) 16:36:12.33
DNSのプリフェッチは、キャッシュサーバがやるにしろクライアントが
やるにしろデメリットが大きい割にメリット少ないのでやめてほしいところ。
Unboundのプリフェッチはまだお行儀がいいほうだが、
FirefoxやChromeがやってるプリフェッチはISPのDNSキャッシュサーバの
負荷を無駄に上げるだけで、結果的に悪くなる方向に誘導しているに等しい。
ベンチマークで勝つためには必要かもしれないが。
やるにしろデメリットが大きい割にメリット少ないのでやめてほしいところ。
Unboundのプリフェッチはまだお行儀がいいほうだが、
FirefoxやChromeがやってるプリフェッチはISPのDNSキャッシュサーバの
負荷を無駄に上げるだけで、結果的に悪くなる方向に誘導しているに等しい。
ベンチマークで勝つためには必要かもしれないが。
717 :名無しさん@お腹いっぱい。:2011/10/12(水) 09:58:20.03
>>716
ブラウザのプリフェッチとキャッシュサーバの
プリフェッチは少し意味合いが違うんじゃ?
キャッシュのは、ちゃんとTTLが切れてから普通
に1回聞きに来るだけだし、googleのだと使用頻度
に応じて、キャッシュを維持する候補から外れる
みたいだし。
ブラウザのはたしかにキャッシュに負担が掛かる
ので、はた迷惑だけどね。
ブラウザのプリフェッチとキャッシュサーバの
プリフェッチは少し意味合いが違うんじゃ?
キャッシュのは、ちゃんとTTLが切れてから普通
に1回聞きに来るだけだし、googleのだと使用頻度
に応じて、キャッシュを維持する候補から外れる
みたいだし。
ブラウザのはたしかにキャッシュに負担が掛かる
ので、はた迷惑だけどね。
718 :名無しさん@お腹いっぱい。:2011/10/12(水) 17:41:00.76
UnboundはTTLが10%を切ったキャッシュ済みレコードにクエリが
あったときにそのレコードをプリフェッチする。すべての
DNSキャッシュサーバがUnboundのプリフェッチをするようになると
人気があるドメインのDNS権威サーバの負荷が10%上がる。
Unboundのプリフェッチはデフォルトでオフだし、unboundあまり
普及していないから問題にはならないけど、同じことをBIND9でデフォルトで
オンで実装されると困る人が出てくるかも。
ブラウザのプリフェッチほどひどくないけど。
あったときにそのレコードをプリフェッチする。すべての
DNSキャッシュサーバがUnboundのプリフェッチをするようになると
人気があるドメインのDNS権威サーバの負荷が10%上がる。
Unboundのプリフェッチはデフォルトでオフだし、unboundあまり
普及していないから問題にはならないけど、同じことをBIND9でデフォルトで
オンで実装されると困る人が出てくるかも。
ブラウザのプリフェッチほどひどくないけど。
719 :名無しさん@お腹いっぱい。:2011/10/13(木) 10:23:16.97
>>718
たしかに負荷はあがるけど、自分が管理してる
ドメインへのクエリのレスポンス速度が他人の
キャッシュでも上がると考えれば、うれしい人
もいるかも?
キャッシュが落ちてる時の初回応答ってかなり
時間掛かったりするから、その辺が改善される
ならば、自分的にはうれしい。
たしかに負荷はあがるけど、自分が管理してる
ドメインへのクエリのレスポンス速度が他人の
キャッシュでも上がると考えれば、うれしい人
もいるかも?
キャッシュが落ちてる時の初回応答ってかなり
時間掛かったりするから、その辺が改善される
ならば、自分的にはうれしい。
720 :名無しさん@お腹いっぱい。:2011/10/13(木) 13:03:54.36
プリフェッチの恩恵あるのは、そのレコードのTTLのexpire直後に同じクエリを
出すことになる最初のユーザのみ。2人目以降は、
人気があるドメインやキャッシュサーバならキャッシュ済み、
そうでなければやっぱりexpireしてるかのどちらか。
Unboundのプリフェッチの実装は悪くは無いと思うけど、そのTTL切れ
直後の1ユーザのためだけに、キャッシュ・権威双方で10%の負荷を
上げてまでやるほどのメリットがあるかは微妙だと思う。
もう少し厳密に評価はしたほうがいいけど。
出すことになる最初のユーザのみ。2人目以降は、
人気があるドメインやキャッシュサーバならキャッシュ済み、
そうでなければやっぱりexpireしてるかのどちらか。
Unboundのプリフェッチの実装は悪くは無いと思うけど、そのTTL切れ
直後の1ユーザのためだけに、キャッシュ・権威双方で10%の負荷を
上げてまでやるほどのメリットがあるかは微妙だと思う。
もう少し厳密に評価はしたほうがいいけど。
721 :名無しさん@お腹いっぱい。:2011/10/13(木) 19:00:00.60
負荷の高いキャッシュだと、初回応答の遅れが
他への影響が大きくなるパターンとかがあった
希ガス。
BINDだと、スレッドの大半がそのサイトの応答
待ちになって他のクエリが…とか、dnscacheだと
シングルスレッドの待ち行列が詰まるとかそんな
話を聞いたような?
いずれにせよ、聞いた話なので、確かに厳密な
検証は必要ですね。
つーか、そろそろUnboundを真面目に検証する
時間が欲しい。いい加減業務でも使ってみたい。
他への影響が大きくなるパターンとかがあった
希ガス。
BINDだと、スレッドの大半がそのサイトの応答
待ちになって他のクエリが…とか、dnscacheだと
シングルスレッドの待ち行列が詰まるとかそんな
話を聞いたような?
いずれにせよ、聞いた話なので、確かに厳密な
検証は必要ですね。
つーか、そろそろUnboundを真面目に検証する
時間が欲しい。いい加減業務でも使ってみたい。
722 :名無しさん@お腹いっぱい。:2011/10/13(木) 19:56:48.10
づぴぴwwづぐうぃwちゆうぃwぴうぃw
723 :名無しさん@お腹いっぱい。:2011/10/14(金) 03:29:52.55
昔のことはあまり知らないけど、数万qpsのクエリを処理するキャッシュサーバ
運用してる立場から言わせてもらえば、パケット再送やlame delegationで再帰
問い合わせに時間がかかるケースは頻発するので、それくらいで待ち行列が
溢れて黙りこんでしまうキャッシュサーバは今時有り得ないですね。
Unboundは速いしセキュリティホール少なくていいんだけど、
BINDでは引けるがUnboundで引けないドメインが何個か見つかっているのが心配。
だいたい権威サーバ側の問題なんだけど、BINDは権威サーバの問題に
寛容であの手この手で頑張って引いてくれる。Unboundはかなり
厳格で引けなかったりする。いくら権威サーバ側の問題でも、
お客さんにとっては引けないよりも引けるほうがいいからね。
たとえば Unbound users MLでも出てるけど、BINDとUnboundの
DNSSEC規格解釈の差が原因で、DNSSEC ONのUnboundでは faa.gov が
引けない (BINDでは引ける) 問題は絶賛進行中。
運用してる立場から言わせてもらえば、パケット再送やlame delegationで再帰
問い合わせに時間がかかるケースは頻発するので、それくらいで待ち行列が
溢れて黙りこんでしまうキャッシュサーバは今時有り得ないですね。
Unboundは速いしセキュリティホール少なくていいんだけど、
BINDでは引けるがUnboundで引けないドメインが何個か見つかっているのが心配。
だいたい権威サーバ側の問題なんだけど、BINDは権威サーバの問題に
寛容であの手この手で頑張って引いてくれる。Unboundはかなり
厳格で引けなかったりする。いくら権威サーバ側の問題でも、
お客さんにとっては引けないよりも引けるほうがいいからね。
たとえば Unbound users MLでも出てるけど、BINDとUnboundの
DNSSEC規格解釈の差が原因で、DNSSEC ONのUnboundでは faa.gov が
引けない (BINDでは引ける) 問題は絶賛進行中。
724 :名無しさん@お腹いっぱい。:2011/10/14(金) 10:29:29.88
dnscacheは同時クエリー上限がUDP 200、TCP 20になってる。
この程度は大規模なキャッシュサーバだとわりと簡単に溢れる。
この値はハードコーディングされてて設定ではいじれない。
この程度は大規模なキャッシュサーバだとわりと簡単に溢れる。
この値はハードコーディングされてて設定ではいじれない。
寛容というかいいかげんだからおかしなドメインが溢れかえるし、毒入れなんかもおきやすくなる。
BINDが寛容にみえるのは、過去仕様をころころかえている自分を許すため。
過去には、バグで毒入れできるのをDNSの仕様が悪いなんて嘘をついてもいるし。
これについてはまだ真相は表では語られていない。
BINDが寛容にみえるのは、過去仕様をころころかえている自分を許すため。
過去には、バグで毒入れできるのをDNSの仕様が悪いなんて嘘をついてもいるし。
これについてはまだ真相は表では語られていない。
726 :名無しさん@お腹いっぱい。:2011/10/14(金) 14:35:26.00
>>724
dnscacheっていうかdjbの思想として、
1台のDNSキャッシュに多数のクライアントぶら下げるんじゃなくて
各自ローカルのキャッシュ動かせ、というのがあった気がする
大規模キャッシュという使い方はあまり想定していないように見える
>>725
その真相を語ってくれよ先生
dnscacheっていうかdjbの思想として、
1台のDNSキャッシュに多数のクライアントぶら下げるんじゃなくて
各自ローカルのキャッシュ動かせ、というのがあった気がする
大規模キャッシュという使い方はあまり想定していないように見える
>>725
その真相を語ってくれよ先生
727 :名無しさん@お腹いっぱい。:2011/10/14(金) 18:47:12.00
マルチスレッド動作のBINDだと、キャッシュExpire後の
初回問い合わせが応答遅いと、他のスレッドで同じクエリ
を出してて応答待ち状態なのに、クエリを出しちゃうとか
はあったかも。
あと、Windowsなんかだと、優先DNSの応答が遅いとすぐに
代替DNS側にもクエリが行くので、代替に負荷が溜まりや
すかった気がする。特にネガティブキャッシュになるレコ
ードだと顕著だったかと…
まあ、ささいな話なんだふが。
>>724
昔どっかのMLでソースを改変してる人を見たような気が
したけど、何かの理由であまり効果がなくてうんぬん
とか話してた気がする。
初回問い合わせが応答遅いと、他のスレッドで同じクエリ
を出してて応答待ち状態なのに、クエリを出しちゃうとか
はあったかも。
あと、Windowsなんかだと、優先DNSの応答が遅いとすぐに
代替DNS側にもクエリが行くので、代替に負荷が溜まりや
すかった気がする。特にネガティブキャッシュになるレコ
ードだと顕著だったかと…
まあ、ささいな話なんだふが。
>>724
昔どっかのMLでソースを改変してる人を見たような気が
したけど、何かの理由であまり効果がなくてうんぬん
とか話してた気がする。
そのうち語る予定。
一端 orz
731 :名無しさん@お腹いっぱい。:2011/10/20(木) 18:29:27.61
トリップつけてblogのどこかに書いておきなよ先生
ここID出ないんだから
ここID出ないんだから
732 :名無しさん@お腹いっぱい。:2011/10/20(木) 19:04:32.57
こういところで自サイトの宣伝する奴はカスだな
733 :名無しさん@お腹いっぱい。:2011/10/20(木) 20:50:12.60
書かれてることはウソではないんだろうが、
3年後にドヤ顔で言われてもなぁ
「DNSプロトコルの脆弱性てはない」
というところは議論の余地はありそうだが
議論しても何も生産的なことはなさそうなんで何も言わない
3年後にドヤ顔で言われてもなぁ
「DNSプロトコルの脆弱性てはない」
というところは議論の余地はありそうだが
議論しても何も生産的なことはなさそうなんで何も言わない
734 :名無しさん@お腹いっぱい。:2011/10/22(土) 21:48:20.54
ほげー
735 :名無しさん@お腹いっぱい。:2011/10/23(日) 19:38:53.40
崩壊→浸透→移行の次は
「Kaminsky attackはウソだった!」ですか
売名も大変ですね 私大教員も楽じゃない
「Kaminsky attackはウソだった!」ですか
売名も大変ですね 私大教員も楽じゃない
ウォッチしていてくれてありがとう ;-)
737 :名無しさん@お腹いっぱい。:2011/10/26(水) 00:26:02.00
BIND 9.7.3-P3なんだけど、forwarders経由の情報を
ネガティブキャッシュしないっぽいんだけど設定がおかしいのかな?
NXDOMAINもNXRRSET(Aしかないドメイン大してAAAAを引いた場合)
もキャッシュしないみたいなんですが。
// named.conf はこれだけです↓
options {
forwarders { 10.0.0.1;}; // プロバイダのキャッシュサーバ
forward only;
};
ネガティブキャッシュしないっぽいんだけど設定がおかしいのかな?
NXDOMAINもNXRRSET(Aしかないドメイン大してAAAAを引いた場合)
もキャッシュしないみたいなんですが。
// named.conf はこれだけです↓
options {
forwarders { 10.0.0.1;}; // プロバイダのキャッシュサーバ
forward only;
};
738 :名無しさん@お腹いっぱい。:2011/10/26(水) 00:28:21.10
ネガティブキャッシュしないというのは、
NXDOMAIN/NXRRSETになるパターンだと必ずプロバイダのキャッシュサーバ
に聞きに行ってるということです。ポジティブキャッシュは効いてるみたい。
NXDOMAIN/NXRRSETになるパターンだと必ずプロバイダのキャッシュサーバ
に聞きに行ってるということです。ポジティブキャッシュは効いてるみたい。
739 :名無しさん@お腹いっぱい。:2011/10/26(水) 19:31:34.97
ほんとだ。何か理由があるのかな。
740 :名無しさん@お腹いっぱい。:2011/10/26(水) 20:15:55.47
ちょうど上でKaminsky attackの話が出てきたので思ったんだけど...
ポジティブキャッシュするけどネガティブキャッシュしないってことは
Aしかないドメインに、ニセのAAAAレコードを追加する攻撃が成功する
確率が上がるんじゃね
ポジティブキャッシュするけどネガティブキャッシュしないってことは
Aしかないドメインに、ニセのAAAAレコードを追加する攻撃が成功する
確率が上がるんじゃね
良いところに気がつきましたね ;-)
742 :名無しさん@お腹いっぱい。:2011/10/27(木) 00:04:49.70
あんたいつも上から目線だな
743 :名無しさん@お腹いっぱい。:2011/10/30(日) 01:14:35.72
タイムスタンプみればわかるだろ
寂しいんだよ
寂しいんだよ
744 :名無しさん@お腹いっぱい。:2011/10/30(日) 17:16:01.51
「浸透いうな」が言葉狩り扱いされて残念でしたね先生
その上から目線の態度じゃ仕方ないけどね
その上から目線の態度じゃ仕方ないけどね
745 :名無しさん@お腹いっぱい。:2011/10/30(日) 18:36:26.37
なんで最近「浸透言うな」ネタがはやってるん?
タイムラグが起きる事を端的に表した良い言葉だと思うんだけど
TTL調整は当たり前だろうに
タイムラグが起きる事を端的に表した良い言葉だと思うんだけど
TTL調整は当たり前だろうに
746 :名無しさん@お腹いっぱい。:2011/10/30(日) 19:36:38.26
言葉狩り、とレッテル貼るだけ、ってのも言葉狩り
同じ穴の貉なんだけどなw
同じ穴の貉なんだけどなw
747 :名無しさん@お腹いっぱい。:2011/10/30(日) 19:50:24.92
>>745
今騒がれてる「浸透」問題はTTLはほとんど関係ない 言葉の問題でもない
DNS権威サーバの構成や設定や変更手順がまずくて、権威サーバでDNSレコードを変更しても、
TTLが経過しても、世間のキャッシュサーバのデータが新レコードに
なかなか更新されない現象に関する問題
ただ何だか知らんがtss先生が上から目線で「浸透いうな」とtweetしまくって
くれたせいで世間には言葉の問題と捉えられてしまった
(あの文書長くて読む気しないし)
さらにどういう意図か知らないがオレンジ氏が先日の講演で
「浸透という言葉は技術的におかしい」という話だけに終始して言葉の
問題であることを強調してしまった。オレンジ氏ってJPRS広報担当だそうだが
どいつもこいつもオhルな……
今騒がれてる「浸透」問題はTTLはほとんど関係ない 言葉の問題でもない
DNS権威サーバの構成や設定や変更手順がまずくて、権威サーバでDNSレコードを変更しても、
TTLが経過しても、世間のキャッシュサーバのデータが新レコードに
なかなか更新されない現象に関する問題
ただ何だか知らんがtss先生が上から目線で「浸透いうな」とtweetしまくって
くれたせいで世間には言葉の問題と捉えられてしまった
(あの文書長くて読む気しないし)
さらにどういう意図か知らないがオレンジ氏が先日の講演で
「浸透という言葉は技術的におかしい」という話だけに終始して言葉の
問題であることを強調してしまった。オレンジ氏ってJPRS広報担当だそうだが
どいつもこいつもオhルな……
748 :名無しさん@お腹いっぱい。:2011/10/30(日) 20:41:03.02
「浸透」という言葉を当てるなということ?
Virtualが仮想ではないということのように。
Virtualが仮想ではないということのように。
749 :名無しさん@お腹いっぱい。:2011/10/30(日) 21:16:27.04
>>748
DNSの仕組みがわかっていれば「浸透」と表現することはない。
DNSの仕組みがわかっていれば「浸透」と表現することはない。
750 :名無しさん@お腹いっぱい。:2011/10/30(日) 21:47:21.11
クライアントが問うまでレコードは一切流れないもんね。
751 :名無しさん@お腹いっぱい。:2011/10/30(日) 22:02:19.49
わかってる人がどう言ってるのか教えてください
ボクもわかってるフリをしたいです
ボクもわかってるフリをしたいです
752 :名無しさん@お腹いっぱい。:2011/10/30(日) 22:23:59.74
地球に天体が衝突しそう!
NASA「地球はよく小惑星が落ちてくるんで仕方ないですわー」(本当は軌道を変える方法があるのに)
tss「小惑星いうな」
Orange「あれを小惑星と呼ぶのは技術的におかしい。小惑星の定義とは……」
こうですかわかりません><
NASA「地球はよく小惑星が落ちてくるんで仕方ないですわー」(本当は軌道を変える方法があるのに)
tss「小惑星いうな」
Orange「あれを小惑星と呼ぶのは技術的におかしい。小惑星の定義とは……」
こうですかわかりません><
753 :名無しさん@お腹いっぱい。:2011/10/31(月) 01:32:50.05
それクスッともこないんだけど
754 :名無しさん@お腹いっぱい。:2011/11/03(木) 23:12:21.80
教授達も、PacketiX VPNでネットワーク作るなり
DNSの経験を積ませればいいのに・・・
すでに日本にはマシな技術者がいないという事か・・・
DNSの経験を積ませればいいのに・・・
すでに日本にはマシな技術者がいないという事か・・・
755 :名無しさん@お腹いっぱい。:2011/11/04(金) 00:16:02.07
なぜSoftEther
756 :名無しさん@お腹いっぱい。:2011/11/04(金) 00:26:07.59
同じリスト&キャッシュポイズニング的な意味で
「qmail.jp」「e-ontap.com」は要注意ですね
「qmail.jp」「e-ontap.com」は要注意ですね
757 :名無しさん@お腹いっぱい。:2011/11/04(金) 01:14:37.80
大学准教が多数のDNSサーバを攻撃中!(ソースはニュー速)
ってtwitterにデマ流せばいいのか
ってtwitterにデマ流せばいいのか
758 :名無しさん@お腹いっぱい。:2011/11/04(金) 01:36:33.07
次のテンプレで閲覧注意が丁度よいかと
さすがに攻撃はせんでしょ
さすがに攻撃はせんでしょ
759 :名無しさん@お腹いっぱい。:2011/11/04(金) 01:38:11.93
くだらねーことしてる暇があったらRFC1912をupdateする活動してくれよ先生
760 :名無しさん@お腹いっぱい。:2011/11/04(金) 09:54:56.03
>>759
RFC1912って何かマズいの?
RFC1912って何かマズいの?
761 :名無しさん@お腹いっぱい。:2011/11/04(金) 10:36:46.56
762 :名無しさん@お腹いっぱい。:2011/11/04(金) 22:00:47.52
>>760
RFC1912の内容がさすがに古いんじゃねってこと
Informational RFCのupdateってあるのかどうかしらんけど、
オープンリゾルバやソースポート固定や「浸透」の問題を明示的に
書いたRFCも無いと思うので、そういうのを盛り込んで更新するのがいいと思う
日本国内だけの問題じゃないしね
RFC1912の内容がさすがに古いんじゃねってこと
Informational RFCのupdateってあるのかどうかしらんけど、
オープンリゾルバやソースポート固定や「浸透」の問題を明示的に
書いたRFCも無いと思うので、そういうのを盛り込んで更新するのがいいと思う
日本国内だけの問題じゃないしね
763 :名無しさん@お腹いっぱい。:2011/11/04(金) 22:07:41.49
open resolverはRFC5358があるか
764 :名無しさん@お腹いっぱい。:2011/11/07(月) 15:42:13.05
DNSが「浸透」するものならinfiltrationとかpenetrationとか言われてるんだろうけど、
実際にはpropagationと言われてるからそれは伝播だろうということだな?
実際にはpropagationと言われてるからそれは伝播だろうということだな?
765 :名無しさん@お腹いっぱい。:2011/11/07(月) 19:25:15.63
tssさんの調査かと思った
named[1822]: client 74.115.28.50#10053: query (cache) 'dankaminsky.com/A/IN' denied
named[1822]: client 74.115.28.50#10053: query (cache) 'dankaminsky.com/A/IN' denied
propagation いうな
>>729
盛り上がって?ますな
jinmeiさんの言うとおり、Kaminskyの発表自体には誤りはあったけど、
原理は依然有効で、BINDのバグが無くてもニセ委任情報の毒入れ
(の確率を上げること)は可能だしその議論も既出なんだよね。それでよくね?
もう屁理屈モードに入ってきてるけど、あんまり人に絡むもんじゃないよ先生
それにKaminsky attackは間違いだったということをあまり強調しすぎると、
port randomizationみたいな対策しなくていいよという話にもなり
かねんと思う。先生も良くご存じのように、どうせちゃんと説明しても
理解する人は少数なんだし。
ちなみに、DNSSECディスりたくて仕方ないようだけど、誰がプロモしようが
今のままのDNSSECは運用が難しすぎてディスるまでもなく
普及しないから無視していいと思います。まぁ、スペック表に○を増やしたい
人もいるのは見逃してやれよ。DNSなんて差別化できなくて久しくて、
リストラの危機に常にさらされてるわけだから。
盛り上がって?ますな
jinmeiさんの言うとおり、Kaminskyの発表自体には誤りはあったけど、
原理は依然有効で、BINDのバグが無くてもニセ委任情報の毒入れ
(の確率を上げること)は可能だしその議論も既出なんだよね。それでよくね?
もう屁理屈モードに入ってきてるけど、あんまり人に絡むもんじゃないよ先生
それにKaminsky attackは間違いだったということをあまり強調しすぎると、
port randomizationみたいな対策しなくていいよという話にもなり
かねんと思う。先生も良くご存じのように、どうせちゃんと説明しても
理解する人は少数なんだし。
ちなみに、DNSSECディスりたくて仕方ないようだけど、誰がプロモしようが
今のままのDNSSECは運用が難しすぎてディスるまでもなく
普及しないから無視していいと思います。まぁ、スペック表に○を増やしたい
人もいるのは見逃してやれよ。DNSなんて差別化できなくて久しくて、
リストラの危機に常にさらされてるわけだから。
768 :名無しさん@お腹いっぱい。:2011/11/12(土) 22:31:16.29
あの攻撃的な論調にもかかわらず当事者と言っていい人からコメントもらえたのに何が不満なんだか
かまってちゃんだな
かまってちゃんだな
769 :名無しさん@お腹いっぱい。:2011/11/12(土) 23:37:04.96
上から目線で思わせぶりにうそぶいたところで
痛いお馬鹿さんにしか見えないって気付いてほしいw
痛いお馬鹿さんにしか見えないって気付いてほしいw
770 :名無しさん@お腹いっぱい。:2011/11/13(日) 00:47:19.44
いつも核心を書かないよね。
話長引くだけなのに。
話長引くだけなのに。
771 :名無しさん@お腹いっぱい。:2011/11/13(日) 01:30:15.96
ていうか、早く「論文」とやらを書けよw
772 :名無しさん@お腹いっぱい。:2011/11/13(日) 19:40:55.20
仕方ないよ、VISA.co.jpを救ったという実績だけで
天狗になってんだもん。
次の実績は、キャッシュポイズニングって事。
ちなみに、
http://www.aguse.jp/
を使うと、whoisだとかマルウエアだとかチェックしてくれるよ
天狗になってんだもん。
次の実績は、キャッシュポイズニングって事。
ちなみに、
http://www.aguse.jp/
を使うと、whoisだとかマルウエアだとかチェックしてくれるよ
773 :名無しさん@お腹いっぱい。:2011/11/14(月) 11:13:18.09
DNSSECやDNSCurveが守るのはDNS仕様の穴による
キャッシュポイズニングだけじゃないんだけど、
disってる人はそこのところわかってるのかしら。
DNSSECやDNSCurveは、DNSの穴だけでなく、その穴に頼らず
通信経路上でパケット書き換えするような攻撃に対しても防御する。
telnetやHTTPというプロトコル自体に穴があるわけじゃないけど、
経路上での盗聴を防ぐためにsshやHTTPSを使うのと同じ発想。
port randomizationはあくまでDNSの穴をふさぐためだけのもので、
経路上でなされる攻撃に対してはまったく効果がない。
DNSSECをdisるのは別に好きにすればいいと思うけど、
kaminsky attackはそれほど脅威じゃない、port randomizationだけやってれば
十分だからDNSSECはいらない、って方向から攻めるつもりなら
見当違いだからやめた方がいいよ。同時にDNSCurveもdisることになるし。
経路乗っ取りなんてありえないからdnssecもsshもsslもいらない、
というつもりなら止めないけど。
キャッシュポイズニングだけじゃないんだけど、
disってる人はそこのところわかってるのかしら。
DNSSECやDNSCurveは、DNSの穴だけでなく、その穴に頼らず
通信経路上でパケット書き換えするような攻撃に対しても防御する。
telnetやHTTPというプロトコル自体に穴があるわけじゃないけど、
経路上での盗聴を防ぐためにsshやHTTPSを使うのと同じ発想。
port randomizationはあくまでDNSの穴をふさぐためだけのもので、
経路上でなされる攻撃に対してはまったく効果がない。
DNSSECをdisるのは別に好きにすればいいと思うけど、
kaminsky attackはそれほど脅威じゃない、port randomizationだけやってれば
十分だからDNSSECはいらない、って方向から攻めるつもりなら
見当違いだからやめた方がいいよ。同時にDNSCurveもdisることになるし。
経路乗っ取りなんてありえないからdnssecもsshもsslもいらない、
というつもりなら止めないけど。
誰だかわかりますよ ;-)
DNSSEC の問題は DNSSEC自体にあるのではなくて、その推進によってそれ以外の対策が疎かにされていることにあります。
port固定もまだまだ多いし、オープンリゾルバもなかなか減らない。
そのあたりの読解よろしく。
DNSSEC の問題は DNSSEC自体にあるのではなくて、その推進によってそれ以外の対策が疎かにされていることにあります。
port固定もまだまだ多いし、オープンリゾルバもなかなか減らない。
そのあたりの読解よろしく。
そうそう。Kaminskyの説明は間違いですが毒入れは簡単です。誤解なきよう。
776 :名無しさん@お腹いっぱい。:2011/11/14(月) 14:16:24.24
DNSSECが無かったからといってそれ以外の対策が今よりも
進んでたかというとそうじゃないだろ。むしろDNSSECを
採用してるオペレータのほうが比較的進んでるでしょ(あくまで「比較的」だが)。
これに関してはdisる対象はDNSSECじゃないと思う。
進んでたかというとそうじゃないだろ。むしろDNSSECを
採用してるオペレータのほうが比較的進んでるでしょ(あくまで「比較的」だが)。
これに関してはdisる対象はDNSSECじゃないと思う。
777 :名無しさん@お腹いっぱい。:2011/11/14(月) 15:47:42.60
>>774
で、相変わらずまともな周知活動やるつもりないんですか?
で、相変わらずまともな周知活動やるつもりないんですか?
778 :名無しさん@お腹いっぱい。:2011/11/14(月) 17:23:44.46
もしも、てぃんぽにIPがあったら
毒入れこわいです;;
毒入れこわいです;;
779 :名無しさん@お腹いっぱい。:2011/11/14(月) 19:44:13.69
お前らなんだかんだでtss先生にやさしいじゃねぇか
780 :名無しさん@お腹いっぱい。:2011/11/14(月) 21:36:12.30
べ、べつにあんたのために書いてるわけじゃないんだからね
781 :名無しさん@お腹いっぱい。:2011/11/15(火) 16:32:52.71
アレな人はコントロールできる範囲でコントロールしておかないと余計に面倒くさいからだろ。
782 :名無しさん@お腹いっぱい。:2011/11/15(火) 20:49:46.13
コントロールできると思ってるのかい?
783 :名無しさん@お腹いっぱい。:2011/11/15(火) 22:17:00.79
嘘大げさ紛らわしいデマ発言は片っ端から否定していけばよかろう
784 :名無しさん@お腹いっぱい。:2011/11/16(水) 01:06:51.89
>>782
コントロールできる範囲でならコントロールできるだろう。
コントロールできる範囲でならコントロールできるだろう。
785 :名無しさん@お腹いっぱい。:2011/11/16(水) 13:14:44.18
同じ上から目線 ってのは
qmail.jpも同じなんだけどねw
qmail.jpも同じなんだけどねw
786 :名無しさん@お腹いっぱい。:2011/11/16(水) 20:17:33.09
おまえらアップしとけよ
787 :名無しさん@お腹いっぱい。:2011/11/16(水) 20:18:57.10
788 :名無しさん@お腹いっぱい。:2011/11/16(水) 21:08:07.93
メール使えば外からでも撃ち落されるかもってことでFA?
https://lists.isc.org/pipermail/bind-users/2011-November/thread.html
https://lists.isc.org/pipermail/bind-users/2011-November/thread.html
789 :名無しさん@お腹いっぱい。:2011/11/16(水) 21:47:27.26
パッチまだかな
790 :名無しさん@お腹いっぱい。:2011/11/17(木) 11:33:13.04
791 :名無しさん@お腹いっぱい。:2011/11/17(木) 12:45:27.24
パッチは出たけど、とりあえず落ちないようにしただけで穴はふさがれていない。
もしかしたら、素直に落ちてくれた方がまだマシだったという可能性もありうるので要注意。
もしかしたら、素直に落ちてくれた方がまだマシだったという可能性もありうるので要注意。
792 :名無しさん@お腹いっぱい。:2011/11/17(木) 13:23:58.36
原因わかってないんだよね
パッチって言えるのかあれ
パッチって言えるのかあれ
793 :名無しさん@お腹いっぱい。:2011/11/17(木) 13:26:07.54
パッチとは言えるだろ。
794 :名無しさん@お腹いっぱい。:2011/11/17(木) 13:44:23.70
CHANGESのとおりだろ?
--- 9.8.1-P1 released ---
3218. [security]
Cache lookup could return RRSIG data associated
with nonexistent records, leading to an assertion
failure. [RT #26590]
--- 9.8.1-P1 released ---
3218. [security]
Cache lookup could return RRSIG data associated
with nonexistent records, leading to an assertion
failure. [RT #26590]
795 :名無しさん@お腹いっぱい。:2011/11/18(金) 05:55:31.05
796 :名無しさん@お腹いっぱい。:2011/11/18(金) 07:04:42.30
商用機に当てる前の検証やってるんだけど
終わった頃に新パッチが出そうで虚しい
終わった頃に新パッチが出そうで虚しい
797 :名無しさん@お腹いっぱい。:2011/11/18(金) 09:53:59.23
次の仕事加が出来てよかったじゃん
N関連で
N関連で
798 :名無しさん@お腹いっぱい。:2011/11/18(金) 11:20:58.12
うちのbind-9.2.4ちゃんは元気だよ?
799 :名無しさん@お腹いっぱい。:2011/11/20(日) 01:08:08.05
>>798
よかったな、カツ丼食うか?
よかったな、カツ丼食うか?
800 :名無しさん@お腹いっぱい。:2011/11/20(日) 17:57:05.72
BIND9はバグが多くてダメだな
うちのBIND8.4ちゃんは4年アップしないで済んでるぜ
うちのBIND8.4ちゃんは4年アップしないで済んでるぜ
801 :名無しさん@お腹いっぱい。:2011/11/20(日) 18:04:14.75
8のバグは周知されないだけ。
802 :名無しさん@お腹いっぱい。:2011/11/20(日) 18:13:33.19
マジレスされてもな…
でもBIND8や初期のBIND9のままって所けっこうあるよね
脆弱性発表されないから大丈夫と誤解してる奴もいるんじゃないか
でもBIND8や初期のBIND9のままって所けっこうあるよね
脆弱性発表されないから大丈夫と誤解してる奴もいるんじゃないか
803 :名無しさん@お腹いっぱい。:2011/11/20(日) 18:30:43.58
客先で古いSolarisでBIND4動いてるよ
保守範囲じゃないから知らないふりしてる
保守範囲じゃないから知らないふりしてる
804 :名無しさん@お腹いっぱい。:2011/11/21(月) 07:41:32.42
bindで
zone "in-addr.arpa" {
type slave;
file "in-addr.arpa.slave";
masters {
192.5.5.241; // F.ROOT-SERVERS.NET.
};
notify no;
};
で動かしていたのですが
named[???]: zone in-addr.arpa/IN: expired
になっています
やめた理由等が書いてあるページ等
これに関する情報ありますでしょうか?
zone "in-addr.arpa" {
type slave;
file "in-addr.arpa.slave";
masters {
192.5.5.241; // F.ROOT-SERVERS.NET.
};
notify no;
};
で動かしていたのですが
named[???]: zone in-addr.arpa/IN: expired
になっています
やめた理由等が書いてあるページ等
これに関する情報ありますでしょうか?
805 :名無しさん@お腹いっぱい。:2011/11/21(月) 08:25:43.88
そんな設定どこでおぼえたんだ。
806 :名無しさん@お腹いっぱい。:2011/11/21(月) 10:15:30.58
理由を知ってどうしたいのか知りたい。
807 :名無しさん@お腹いっぱい。:2011/11/21(月) 14:14:30.74
>>806
そりゃ晒し上げにゃ、元ネタを聞くのが一番w
そりゃ晒し上げにゃ、元ネタを聞くのが一番w
808 :名無しさん@お腹いっぱい。:2011/11/21(月) 15:15:34.22
809 :名無しさん@お腹いっぱい。:2011/11/21(月) 17:00:48.15
root name server がaxfr受け付けない根拠は RFC 2870と思われる。
>>804 の謎設定の由来はなんとなく分からんでもないが、
今じゃ何の利益もなく害ばかりなのでやめとけ
一応こんな情報はあるけどね
http://dns.icann.org/services/axfr/
>>804 の謎設定の由来はなんとなく分からんでもないが、
今じゃ何の利益もなく害ばかりなのでやめとけ
一応こんな情報はあるけどね
http://dns.icann.org/services/axfr/
810 :名無しさん@お腹いっぱい。:2011/11/21(月) 17:02:10.96
まぁ受け付ける必要ないよね。
811 :名無しさん@お腹いっぱい。:2011/11/21(月) 17:07:10.31
どっかのサンプル設定ファイルに埋まってんのかな。
812 :名無しさん@お腹いっぱい。:2011/11/21(月) 17:48:21.31
FreeBSDの設定サンプルで発見
http://svnweb.freebsd.org/base/head/etc/namedb/named.conf?revision=170914&view=markup
最新だとさすがにコメントアウトされてるが。。。。。
http://svnweb.freebsd.org/base/head/etc/namedb/named.conf?revision=170914&view=markup
最新だとさすがにコメントアウトされてるが。。。。。
813 :名無しさん@お腹いっぱい。:2011/11/21(月) 18:03:25.07
814 :名無しさん@お腹いっぱい。:2011/11/21(月) 22:14:33.38
「気になりました。」w
root server axfr できますよ〜
816 :名無しさん@お腹いっぱい。:2011/11/23(水) 00:15:11.42
817 :名無しさん@お腹いっぱい。:2011/12/05(月) 12:03:59.95
浸透でも伝播でもなく単に正規の手順を踏んでないことによるデッドロックなだけなのね。
818 :名無しさん@お腹いっぱい。:2011/12/05(月) 12:07:37.84
スレーブなんかやめて ttp://www.internic.net/zones/ あたりにある物使って
. のマスターになっちゃえよw
. のマスターになっちゃえよw
819 :名無しさん@お腹いっぱい。:2011/12/06(火) 21:36:33.13
JPRSは minimal-responses yes というworkaroundを省略するのは何でだぜ?
https://deepthought.isc.org/article/AA-00549
https://deepthought.isc.org/article/AA-00549
820 :名無しさん@お腹いっぱい。:2011/12/06(火) 22:09:46.44
>>818
究極の浸透問題状態だろそれwww
究極の浸透問題状態だろそれwww
821 :名無しさん@お腹いっぱい。:2011/12/07(水) 10:25:52.42
>>819
権威サーバと混在してる場合は軽減できるけど完全な解決策にはならないからでは。
キャッシュDNSでもlocalhostやAS112ゾーンは持つのがふつーだから、
純粋にキャッシュ専用で動いてるところなんてまずないと思う。
権威サーバと混在してる場合は軽減できるけど完全な解決策にはならないからでは。
キャッシュDNSでもlocalhostやAS112ゾーンは持つのがふつーだから、
純粋にキャッシュ専用で動いてるところなんてまずないと思う。
822 :名無しさん@お腹いっぱい。:2011/12/07(水) 18:22:16.28
>>819
更新されたね。
更新されたね。
823 :名無しさん@お腹いっぱい。:2011/12/19(月) 20:23:43.55
JPRSはさっさとDNSSECで使うDSレコードを
外部から登録するためのプロトコルを実装して公開して欲しい。
DSレコードの登録が手動とか、面倒くさくてDNSSECを導入できない。
外部から登録するためのプロトコルを実装して公開して欲しい。
DSレコードの登録が手動とか、面倒くさくてDNSSECを導入できない。
824 :名無しさん@お腹いっぱい。:2011/12/19(月) 20:55:14.04
1年〜数年に1回やれば済むような作業をめんどくさいというのは
「自分にはできない」のを「自分がやらない」理由としてごまかしてるだけ。
SSLの証明書更新とかに比べればずっと手間が少ないのに。
NSの登録だって昔からJPRSに直接はできず、指定事業者経由でしかできないんだから、
DSでそれをできるようにするとはとても思えん。
「自分にはできない」のを「自分がやらない」理由としてごまかしてるだけ。
SSLの証明書更新とかに比べればずっと手間が少ないのに。
NSの登録だって昔からJPRSに直接はできず、指定事業者経由でしかできないんだから、
DSでそれをできるようにするとはとても思えん。
825 :名無しさん@お腹いっぱい。:2011/12/19(月) 21:05:12.34
ネームサーバーのセキュリティパッチは必要な時に都度当てられるけど、
DSレコードは任意のタイミングで更新するわけにはいかないから自動化したいんだよ。
JPDirectのサービスとして始めればいいよ。
他の事業者は自分で実装すればいいだろ。IIJは出来るようにしたみたいだし。
http://www.iij.ad.jp/company/development/tech/activities/dnssec/index.html
DSレコードは任意のタイミングで更新するわけにはいかないから自動化したいんだよ。
JPDirectのサービスとして始めればいいよ。
他の事業者は自分で実装すればいいだろ。IIJは出来るようにしたみたいだし。
http://www.iij.ad.jp/company/development/tech/activities/dnssec/index.html
826 :名無しさん@お腹いっぱい。:2011/12/20(火) 18:13:16.11
827 :名無しさん@お腹いっぱい。:2011/12/20(火) 19:27:52.85
>DSレコードは任意のタイミングで更新するわけにはいかないから自動化したいんだよ。
??? いつでも好きなときにできるけど?
DNSSECの仕様の話ではなく、客の都合に合わせてやらなきゃいかんとかいう話なら知らないけど。
外部からDS登録するAPIが存在しないわけではなく、指定事業者(レジストラ)には公開されてると思うよ。
sannetはjpがdnssec対応した初日にレンサバサービスで契約されている全ドメインの
DSを登録したらしいけど、ひとつずつ手でやったとはとても思えない。sannetは指定事業者なので
それ用のAPIを使ったと考えるのが妥当。
ただ、そのAPIを一般に公開できるかというと、ドメインの取得に際して
jprsから認証用のID/PWなどがドメイン所有者に渡されるわけではないので、
認証のしようがない。甘い認証でDSを更新させたらDNSSECの意味がない。
そのへんの認証情報を持ってる指定事業者を経由させるのもしかたないかと。
jpに限らず他のTLDでもレジストラを経由せずにDSを登録できないところばっかり。
自動化できるAPIを作れと言うなら、相手はjprsではなく自分がドメイン管理に使ってる事業者かと。
ちなみに、DS登録用のプロトコルとしてはRFC5910というのがあって、opendnssecはこれに対応してたはず。
>>826
jprsは最近jpだけでなくgTLDも売りはじめたよ。
??? いつでも好きなときにできるけど?
DNSSECの仕様の話ではなく、客の都合に合わせてやらなきゃいかんとかいう話なら知らないけど。
外部からDS登録するAPIが存在しないわけではなく、指定事業者(レジストラ)には公開されてると思うよ。
sannetはjpがdnssec対応した初日にレンサバサービスで契約されている全ドメインの
DSを登録したらしいけど、ひとつずつ手でやったとはとても思えない。sannetは指定事業者なので
それ用のAPIを使ったと考えるのが妥当。
ただ、そのAPIを一般に公開できるかというと、ドメインの取得に際して
jprsから認証用のID/PWなどがドメイン所有者に渡されるわけではないので、
認証のしようがない。甘い認証でDSを更新させたらDNSSECの意味がない。
そのへんの認証情報を持ってる指定事業者を経由させるのもしかたないかと。
jpに限らず他のTLDでもレジストラを経由せずにDSを登録できないところばっかり。
自動化できるAPIを作れと言うなら、相手はjprsではなく自分がドメイン管理に使ってる事業者かと。
ちなみに、DS登録用のプロトコルとしてはRFC5910というのがあって、opendnssecはこれに対応してたはず。
>>826
jprsは最近jpだけでなくgTLDも売りはじめたよ。
828 :名無しさん@お腹いっぱい。:2011/12/20(火) 20:30:39.50
>>827
DNSはセキュリティパッチと、正引き・逆引き設定の変更が必要な時以外は、
一度設定したら手間を掛けなくて良かったんだから、
DNSSECを導入した場合でもキーの更新に新たなコスト(時間と金)は掛けたくない。
特にDSレコードの更新前後にKSKのTTLを気にするとかを手動でやりたくない。
DSレコードの更新、KSKの更新、ZSKの更新などを全部自動化したい。
うちの指定事業者はJPDirect(=JPRS)なの。
ドメインにまつわる設定を操作するためのIDとパスワードは、
既にもらっているので、あとはAPIがあれば良いだけなんだけど、
それをJPDirect(=JPRS)に用意して欲しいって言ってるの。
今現在提供されているJPDirectのwebインターフェースを使うことで、
DSレコードの更新は可能なんだけど、これにアクセスするソフトを書くとしても、
JPDirectが提供しているWebインターフェースなんて、いつ仕様が変わるか分からないから、
長期間に渡って動作する見込みが無い物は使えない。
だからJPDirect(=JPRS)には、ちゃんと仕様の決まった
DSレコードの更新方法を提供して欲しい。
既にRFCに習った実装があるなら、提供されるのがそれでも構わない。
DNSはセキュリティパッチと、正引き・逆引き設定の変更が必要な時以外は、
一度設定したら手間を掛けなくて良かったんだから、
DNSSECを導入した場合でもキーの更新に新たなコスト(時間と金)は掛けたくない。
特にDSレコードの更新前後にKSKのTTLを気にするとかを手動でやりたくない。
DSレコードの更新、KSKの更新、ZSKの更新などを全部自動化したい。
うちの指定事業者はJPDirect(=JPRS)なの。
ドメインにまつわる設定を操作するためのIDとパスワードは、
既にもらっているので、あとはAPIがあれば良いだけなんだけど、
それをJPDirect(=JPRS)に用意して欲しいって言ってるの。
今現在提供されているJPDirectのwebインターフェースを使うことで、
DSレコードの更新は可能なんだけど、これにアクセスするソフトを書くとしても、
JPDirectが提供しているWebインターフェースなんて、いつ仕様が変わるか分からないから、
長期間に渡って動作する見込みが無い物は使えない。
だからJPDirect(=JPRS)には、ちゃんと仕様の決まった
DSレコードの更新方法を提供して欲しい。
既にRFCに習った実装があるなら、提供されるのがそれでも構わない。
829 :名無しさん@お腹いっぱい。:2011/12/21(水) 01:22:18.55
unboundもやられたか
ヤツはDNS四天王のうちでも(ry
ヤツはDNS四天王のうちでも(ry
830 :名無しさん@お腹いっぱい。:2011/12/21(水) 01:24:18.67
831 :名無しさん@お腹いっぱい。:2011/12/21(水) 10:28:09.75
jpdirectはjprsが自前でやってる指定事業者にすぎないから。
jprsへの要望とjpdirectへの要望をごっちゃにしちゃいかん。
jpdirectって新規受け付けを終了しちゃってるが、
既存向けに続けてるのもそのうちやめそうな気がしてならない。
jpdirectそのものをやめたがってる感がアリアリ。
よその事業者にドメインを移管した方がいいような。
jprsへの要望とjpdirectへの要望をごっちゃにしちゃいかん。
jpdirectって新規受け付けを終了しちゃってるが、
既存向けに続けてるのもそのうちやめそうな気がしてならない。
jpdirectそのものをやめたがってる感がアリアリ。
よその事業者にドメインを移管した方がいいような。
832 :名無しさん@お腹いっぱい。:2011/12/21(水) 18:34:12.07
BIND、unbound以外で良い感じのキャッシュサーバって何かある?
PowerDNS recursor試してみようかな
PowerDNS recursor試してみようかな
833 :名無しさん@お腹いっぱい。:2011/12/21(水) 21:04:25.74
良い感じってのも色々だしなぁ
DJBのも調査してみたら?
DJBのも調査してみたら?
834 :名無しさん@お腹いっぱい。:2011/12/21(水) 22:40:07.45
セキュリティ第一ならdjbdns一択だな
djbwareは嫌いだがこれは認めざるを得ない
もう機能拡張は望めないけど、ほとんどの用途では必要十分だし
不安はIPv6トランスポート対応くらいか
djbwareは嫌いだがこれは認めざるを得ない
もう機能拡張は望めないけど、ほとんどの用途では必要十分だし
不安はIPv6トランスポート対応くらいか
> 不安はIPv6トランスポート対応くらいか
サードバーティ製のパッチはあるけどね……
サードバーティ製のパッチはあるけどね……
836 :名無しさん@お腹いっぱい。:2011/12/21(水) 23:01:43.81
現状JPドメインでIPv6 glue, DNSSEC(DSレコード取次)対応してるレジストラとしては一番安いから無くなると困るなJPDirect。
適当に安いレジストラがDSレコード取次対応してくれれば他に移るんだが。
適当に安いレジストラがDSレコード取次対応してくれれば他に移るんだが。
837 :名無しさん@お腹いっぱい。:2011/12/21(水) 23:25:00.06
GMOの熊谷が余計な横槍入れてきたから、しぶしぶ対応しただけの話でしょ。
838 :名無しさん@お腹いっぱい。:2011/12/21(水) 23:39:44.47
>>834
djbdnsではEDNS0に対応していないから512byte問題を回避できない。
いわゆるdjbwareは既に過去のプロダクトであって、いま動いているものを無理に止めろとまでは言わないが、
新規に使うべきものではない。
djbdnsではEDNS0に対応していないから512byte問題を回避できない。
いわゆるdjbwareは既に過去のプロダクトであって、いま動いているものを無理に止めろとまでは言わないが、
新規に使うべきものではない。
839 :名無しさん@お腹いっぱい。:2011/12/22(木) 00:07:46.10
EDNS0はMUSTじゃないでしょ
DNSのTCPトランスポートのサポートはMUSTになったけど
EDNS0がMUSTになる見込みはないと思う
DNSのTCPトランスポートのサポートはMUSTになったけど
EDNS0がMUSTになる見込みはないと思う
840 :名無しさん@お腹いっぱい。:2011/12/22(木) 01:49:34.61
TCPにフォールバックしないのはqmailかな(パッチはある)
今からdnscacheを新規で入れるのも気がひけるな
今からdnscacheを新規で入れるのも気がひけるな
841 :名無しさん@お腹いっぱい。:2011/12/24(土) 00:00:47.15
EDNS0はDNSSECのために作られたようなもんだからな
IPv6やDNSSECが必須にならなきゃdjbdnsでも生きていける、ような気がする
IPv6やDNSSECが必須にならなきゃdjbdnsでも生きていける、ような気がする
842 :名無しさん@お腹いっぱい。:2011/12/26(月) 18:28:55.15
IPv6やDNSSECの情報をDNSで扱う場合、RFC3226でEDNS0への対応は必須とされている。
これはサーバだけでなく、クライアント側も対応せよ、となっている。
つまり、v6のアドレスを問い合わせるならEDNS0を必ず使え、ということ。
まだv6は必須な状況にはなってないけど、現実にばんばん問い合わせてるのに
対応していないdnscacheはよろしくない。
もっとも、RFC3226が言及しているのはv6といってもAAAAじゃなくてA6だし、
DNSSECといってもDS方式じゃなくて実用化されなかったRFC2535方式だけど。
# DOビットを立てるならEDNS0を有効にしろ、という意味に解釈するなら
# 現行のDS方式のDNSSECについてもRFC3226は有効。
これはサーバだけでなく、クライアント側も対応せよ、となっている。
つまり、v6のアドレスを問い合わせるならEDNS0を必ず使え、ということ。
まだv6は必須な状況にはなってないけど、現実にばんばん問い合わせてるのに
対応していないdnscacheはよろしくない。
もっとも、RFC3226が言及しているのはv6といってもAAAAじゃなくてA6だし、
DNSSECといってもDS方式じゃなくて実用化されなかったRFC2535方式だけど。
# DOビットを立てるならEDNS0を有効にしろ、という意味に解釈するなら
# 現行のDS方式のDNSSECについてもRFC3226は有効。
843 :名無しさん@お腹いっぱい。:2011/12/28(水) 00:01:04.52
DOビットと聞いてFW-1の余計な機能を思い出した。
844 :名無しさん@お腹いっぱい。:2011/12/30(金) 17:44:11.27
djbdnsの利用を推奨するわけじゃないが……
>>842
A6なんてhistoricalになろうとしてるし、EDNS0のクエリを投げてくる
クライアント(スタブリゾルバ)なんて皆無。EDNS0非対応はその実装を
使わない理由にはならないと思う。
>>842
A6なんてhistoricalになろうとしてるし、EDNS0のクエリを投げてくる
クライアント(スタブリゾルバ)なんて皆無。EDNS0非対応はその実装を
使わない理由にはならないと思う。
845 :名無しさん@お腹いっぱい。:2012/02/18(土) 21:21:06.35
Ghost Domain Names…
cron で rndc flush で Ghost Busters できるん?
cron で rndc flush で Ghost Busters できるん?
それでいいはず。
ついでに浸透いうな対策にもなる。
ついでに浸透いうな対策にもなる。
847 :名無しさん@お腹いっぱい。:2012/02/18(土) 22:42:48.70
一番効果的かつ正しいワークアラウンドだけど、
ISCやJPRSの人がそれを勧めるわけにいかないだろうね。
ISCやJPRSの人がそれを勧めるわけにいかないだろうね。
848 :名無しさん@お腹いっぱい。:2012/02/25(土) 14:01:18.59
849 :名無しさん@お腹いっぱい。:2012/03/08(木) 12:06:58.70
850 :名無しさん@お腹いっぱい。:2012/03/08(木) 12:27:02.31
キャッシュは立ち上がりが一番性能低くなるからきついよな。
851 :名無しさん@お腹いっぱい。:2012/03/09(金) 04:04:08.13
1日1回、早朝時間帯にクリアなら問題ないかなぁ
むしろ同じ時間に複数のISPで一斉にクリアされるとTLDな人たちが困るかも?
むしろ同じ時間に複数のISPで一斉にクリアされるとTLDな人たちが困るかも?
852 :名無しさん@お腹いっぱい。:2012/03/09(金) 09:05:03.49
なぜ1日1回?
最低1回は権威を委任されなくちゃ成立しない攻撃方法だから、1〜数ヶ月は運用されるでしょ。
1ヶ月に1回で十分だと思うけど。
最低1回は権威を委任されなくちゃ成立しない攻撃方法だから、1〜数ヶ月は運用されるでしょ。
1ヶ月に1回で十分だと思うけど。
853 :名無しさん@お腹いっぱい。:2012/03/09(金) 10:23:01.00
大丈夫、bindの穴で定期的に再起動してるから。
854 :名無しさん@お腹いっぱい。:2012/03/09(金) 23:18:28.42
むしろキャッシュなんかやめればクリアする必要もなくなるのに
855 :名無しさん@お腹いっぱい。:2012/03/09(金) 23:57:03.94
856 :名無しさん@お腹いっぱい。:2012/03/10(土) 00:38:48.37
というと?
857 :名無しさん@お腹いっぱい。:2012/03/10(土) 00:47:04.19
ルートDNSがとても死ねる。
858 :名無しさん@お腹いっぱい。:2012/03/10(土) 17:23:01.76
859 :名無しさん@お腹いっぱい。:2012/03/10(土) 20:33:59.36
具体的に。
860 :名無しさん@お腹いっぱい。:2012/03/12(月) 17:07:07.76
キャッシュが無い場合は、なにかアクセスすると必ずルートDNSから問い合わせることになる。
ロケットニュースから引用してみる。
【図解】60秒間にインターネット上で起こっていること ttp://p.tl/Nljh
合計して60で割ると、主だったサービスだけで秒間 2,835,284 回のクエリーがでるよね。
example.com を検索した場合、ルートDNS は gtld-servers.net. で com. を署名付きで返すから 735 bytes
単純にクエリー数をかけると 2,083,933,850 byte →最低でも秒間 2GB のトラフィックくらいは捌く必要があるんじゃない?
IP anycast やら ロードバランサやらで 13台 以上あるんだろうけど…
Twitter でバルスを叫ぶだけで 14,594q/s が簡単に乗ったりするのを考えると、ルートDNSの中の人に同情したくなる数値。
1日で2800GB以上…と考えて、回線使用料はいくら?
最終的にユーザが負担することになる金額は?
ロケットニュースから引用してみる。
【図解】60秒間にインターネット上で起こっていること ttp://p.tl/Nljh
合計して60で割ると、主だったサービスだけで秒間 2,835,284 回のクエリーがでるよね。
example.com を検索した場合、ルートDNS は gtld-servers.net. で com. を署名付きで返すから 735 bytes
単純にクエリー数をかけると 2,083,933,850 byte →最低でも秒間 2GB のトラフィックくらいは捌く必要があるんじゃない?
IP anycast やら ロードバランサやらで 13台 以上あるんだろうけど…
Twitter でバルスを叫ぶだけで 14,594q/s が簡単に乗ったりするのを考えると、ルートDNSの中の人に同情したくなる数値。
1日で2800GB以上…と考えて、回線使用料はいくら?
最終的にユーザが負担することになる金額は?
861 :名無しさん@お腹いっぱい。:2012/03/12(月) 17:47:53.30
>>860
>IP anycast やら ロードバランサやらで 13台 以上あるんだろうけど…
現状だけで283拠点
http://www.root-servers.org/
>Servers in total: 283
ただクライアントがクエリーを投げる先は当然13個
>IP anycast やら ロードバランサやらで 13台 以上あるんだろうけど…
現状だけで283拠点
http://www.root-servers.org/
>Servers in total: 283
ただクライアントがクエリーを投げる先は当然13個
862 :名無しさん@お腹いっぱい。:2012/03/22(木) 21:20:30.38
そろそろエイプリールフールだな
騒がれてないからすっかり忘れてた
騒がれてないからすっかり忘れてた
863 :名無しさん@お腹いっぱい。:2012/03/23(金) 08:55:34.13
うちの会社は3月32日だから…
864 :名無しさん@お腹いっぱい。:2012/04/23(月) 00:29:11.13
世の中には F5 攻撃というものがあるのをすっかり忘れてた…
F5 1回 = DNSクエリー 1個だから、F5 アタックがそのまま DNS への DoS アタック。
キャッシュのない世界って、l怖い。
F5 1回 = DNSクエリー 1個だから、F5 アタックがそのまま DNS への DoS アタック。
キャッシュのない世界って、l怖い。
865 :名無しさん@お腹いっぱい。:2012/04/23(月) 00:51:50.72
>>864
某半島のネットが一瞬で麻痺しそうだな
某半島のネットが一瞬で麻痺しそうだな
866 :名無しさん@お腹いっぱい。:2012/05/02(水) 14:35:54.49
unboundでDNSラウンドロビンが入ったと聞きましたが、どのverからですか?
最新の1.4.16入れたけどラウンドロビンしてないようです
最新の1.4.16入れたけどラウンドロビンしてないようです
867 :名無しさん@お腹いっぱい。:2012/05/02(水) 20:07:29.84
868 :名無しさん@お腹いっぱい。:2012/05/03(木) 21:49:14.52
>>866 >>867
trunkにマージされたので次の1.4.17には入るかと
今すぐ試したいならsvnからtrunkをcheckoutするか
1.4.16用のpatchをunbound-usersに投げたので使ってみてください
http://unbound.net/pipermail/unbound-users/2012-April/002324.html
trunkにマージされたので次の1.4.17には入るかと
今すぐ試したいならsvnからtrunkをcheckoutするか
1.4.16用のpatchをunbound-usersに投げたので使ってみてください
http://unbound.net/pipermail/unbound-users/2012-April/002324.html
>>868
わかりました、1.4.17を待ちます。。。
わかりました、1.4.17を待ちます。。。
870 :名無しさん@お腹いっぱい。:2012/05/24(木) 20:12:29.29
871 :名無しさん@お腹いっぱい。:2012/06/06(水) 17:22:24.80
いつの間にかAAAAレコードが(あるのに)引けなくなってるな。
872 :名無しさん@お腹いっぱい。:2012/06/06(水) 17:35:17.14
それだけじゃ何もわからん。
873 :名無しさん@お腹いっぱい。:2012/06/06(水) 17:46:24.07
今日が何の日か知ってればわかるよな
874 :名無しさん@お腹いっぱい。:2012/06/06(水) 17:55:14.07
NTTのせいでトリッキーな事をしなければ接続できない
日本って変だよ
日本って変だよ
875 :名無しさん@お腹いっぱい。:2012/06/06(水) 18:28:44.57
NTT法のせいで、だな。
876 :名無しさん@お腹いっぱい。:2012/06/06(水) 19:14:33.43
NTT法があってもv4は問題なく接続できてるよ(これもある意味変態的だが)。
v6でも同じような方法でやれば問題は起きなかったはず。
フレッツドットネットなんてのをv6閉域網で作ってしまったために
「同じような方法」が使えなくなったのがいけない。
よってNTT法のせいではなく、NTTのせい。
v6でも同じような方法でやれば問題は起きなかったはず。
フレッツドットネットなんてのをv6閉域網で作ってしまったために
「同じような方法」が使えなくなったのがいけない。
よってNTT法のせいではなく、NTTのせい。
877 :名無しさん@お腹いっぱい。:2012/06/06(水) 20:18:11.96
また脆弱性かっっ
878 :名無しさん@お腹いっぱい。:2012/06/06(水) 21:42:51.89
bind捨てればぁ〜?
879 :名無しさん@お腹いっぱい。:2012/06/06(水) 23:35:23.98
複数の権威ゾーンサーバのうち一つをnsdにしておけ、
そうすれば重複をお許し下さいに対応する時間が若干稼げる、
というのはなるほどと思った
そうすれば重複をお許し下さいに対応する時間が若干稼げる、
というのはなるほどと思った
880 :名無しさん@お腹いっぱい。:2012/06/07(木) 00:09:07.90
今回の件はゾーンサーバはあんまり関係ないんじゃね。
881 :名無しさん@お腹いっぱい。:2012/06/09(土) 00:18:48.84
複数動かしておくってのは現実的とは思えない、最初から脆弱性が少ない奴一択でしょう
882 :名無しさん@お腹いっぱい。:2012/06/09(土) 00:42:44.82
2台くらいは普通だろ。
一台しかないのが、あんまり想像できない。
一台しかないのが、あんまり想像できない。
883 :名無しさん@お腹いっぱい。:2012/06/09(土) 00:52:15.48
1台で運用って、自宅鯖()とかでしょ。
884 :名無しさん@お腹いっぱい。:2012/07/20(金) 19:32:18.67
bind9でrndc dumpdbとやってもキャッシュの内容が表示されないのですが
何か設定がおかしいのでしょうか。
named_dump.dbは存在していて、タイムスタンプも更新されているので
キャッシュはしていると思うのですが。
何か設定がおかしいのでしょうか。
named_dump.dbは存在していて、タイムスタンプも更新されているので
キャッシュはしていると思うのですが。
885 :名無しさん@お腹いっぱい。:2012/07/21(土) 08:53:08.93
named_dump.dbが出力されたダンプでmoreとかで見る
886 :名無しさん@お腹いっぱい。:2012/10/10(水) 17:42:28.43
BIND捨てたい。
887 :名無しさん@お腹いっぱい。:2012/10/10(水) 21:07:48.92
888 :名無しさん@お腹いっぱい。:2012/10/10(水) 22:03:35.65
今年はすごいよね。
889 :名無しさん@お腹いっぱい。:2012/10/11(木) 09:23:23.78
nsd and/or unbound
890 :名無しさん@お腹いっぱい。:2012/10/11(木) 16:36:37.24
sendmailはほぼ駆逐できたから
BINDもがんばればなくせるかなぁ。
BINDもがんばればなくせるかなぁ。
891 :名無しさん@お腹いっぱい。:2012/10/11(木) 20:08:24.86
この程度で多いとは、にわかが多いな
892 :名無しさん@お腹いっぱい。:2012/10/12(金) 10:11:24.50
BINDを駆逐するんだったらlibcをなんとかする必要があるな
893 :名無しさん@お腹いっぱい。:2012/10/12(金) 10:33:20.90
んじゃ正確にはBINDのnamedを駆逐したい。
894 :名無しさん@お腹いっぱい。:2012/10/12(金) 21:56:09.48
なぜ駆逐したいのですか?
895 :名無しさん@お腹いっぱい。:2012/10/12(金) 22:37:08.45
セキュリティホールの対応がめんどいから。
896 :名無しさん@お腹いっぱい。:2012/10/12(金) 23:23:26.19
BINDとそれ以外で冗長化するのが理想とは分かっているが、実際にはなかなか…
897 :名無しさん@お腹いっぱい。:2012/10/12(金) 23:29:29.19
OpenBSDでDNSサーバ作ってくれないかな
898 :名無しさん@お腹いっぱい。:2012/11/03(土) 07:48:54.44
テストのためwindows 7のdnsクライアントに
udpでなくてtcpを使わせたいんだけど、
tcpフォールバックを強制的に使う設定って可能かな?
データグラムを自作しないのは
通常環境でしばらく動作確認したいから。
udpでなくてtcpを使わせたいんだけど、
tcpフォールバックを強制的に使う設定って可能かな?
データグラムを自作しないのは
通常環境でしばらく動作確認したいから。
899 :名無しさん@お腹いっぱい。:2012/11/03(土) 10:13:57.28
>>898
板違い
板違い
900 :名無しさん@お腹いっぱい。:2012/11/03(土) 18:45:18.33
最近の BIND なら EDNS0 を停止させて、リゾルバからは TCP フォールバックされる FQDN でクエリを投げさせれば〜?
要は、名前解決するドメインそのものについて考慮せよ、と。
Win7 のリゾルバそのものの挙動については、指摘通り板違い。
要は、名前解決するドメインそのものについて考慮せよ、と。
Win7 のリゾルバそのものの挙動については、指摘通り板違い。
901 :名無しさん@お腹いっぱい。:2012/12/19(水) 16:59:01.12
bindのことが書いてあるサイトをみるとデフォルトTTLが86400に対して
negative cacheが86500って書いてあるところがちらほらあるんだけど
どういう意味があるの?
negative cacheが86500って書いてあるところがちらほらあるんだけど
どういう意味があるの?
902 :名無しさん@お腹いっぱい。:2012/12/19(水) 18:58:56.35
age ちゃうよ。
>>901
何だよそれ? と思いながらググってみたら、ホントに出てくるね。昔、だれかが typo した設定が
公開されてて、それがコピペで広まったというオチなのかな?
検索しても日本語の記事しかヒットしないというのが、アヤしい予感です。
>>901
何だよそれ? と思いながらググってみたら、ホントに出てくるね。昔、だれかが typo した設定が
公開されてて、それがコピペで広まったというオチなのかな?
検索しても日本語の記事しかヒットしないというのが、アヤしい予感です。
903 :名無しさん@お腹いっぱい。:2012/12/19(水) 21:29:30.34
わかってるフリしてコピペすればコンテンツのできあがりですぅ
904 :名無しさん@お腹いっぱい。:2012/12/20(木) 11:11:22.95
つまり全く無意味ってことでおk?
905 :名無しさん@お腹いっぱい。:2012/12/20(木) 11:12:42.69
86400だってたいして意味はないだろ。
906 :名無しさん@お腹いっぱい。:2012/12/20(木) 13:12:22.15
(2012122000 1h 5m 2w 15m) みたいに書けば惑わすようなtypoもされないんじゃね
16mにしたり25mにしたりするやつは出るかもしれんが別にいいだろ。
16mにしたり25mにしたりするやつは出るかもしれんが別にいいだろ。
907 :名無しさん@お腹いっぱい。:2012/12/20(木) 22:56:20.78
negative cache ってそんなに長くするもんか?
908 :名無しさん@お腹いっぱい。:2012/12/20(木) 23:24:39.01
negative cache lifetime > default TTL って、オープンリゾルバでも運用してるんですかっていう
909 :名無しさん@お腹いっぱい。:2012/12/21(金) 20:43:57.87
BIND9のmax-ncache-ttlのデフォルト値 10800だからなぁ
910 :名無しさん@お腹いっぱい。:2013/02/05(火) 11:21:33.52
bind9なんですけど、rndc querylogを起動時はoffにしておくのってどうやるのですか?
911 :名無しさん@お腹いっぱい。:2013/02/06(水) 09:49:46.63
内部のみrecursion yes;にしてるんだけど
ルータのログに外側dnsへのアクセスがけっこうな量で記録されてるってことは
キャッシュが効いていないとみていいかな
ルータのログに外側dnsへのアクセスがけっこうな量で記録されてるってことは
キャッシュが効いていないとみていいかな
912 :名無しさん@お腹いっぱい。:2013/02/06(水) 10:01:40.74
913 :名無しさん@お腹いっぱい。:2013/02/06(水) 10:24:23.21
914 :名無しさん@お腹いっぱい。:2013/02/06(水) 12:16:19.91
rndc statusで
recursive clients: 0/0/1000
が何なのかずっと悩んでた。自分が上位dnsで下位から再帰を受けられる上限ってことか
recursive clients: 0/0/1000
が何なのかずっと悩んでた。自分が上位dnsで下位から再帰を受けられる上限ってことか
915 :名無しさん@お腹いっぱい。:2013/02/06(水) 12:59:42.90
わざわざ「上位dns」と書くあたりニワカ臭を感じる
DNSをdnsと小文字で綴るのもニワカらしい
DNSをdnsと小文字で綴るのもニワカらしい
916 :名無しさん@お腹いっぱい。:2013/02/06(水) 13:03:25.37
にわかでなければこんなところで聞かん
917 :名無しさん@お腹いっぱい。:2013/03/01(金) 20:41:32.01
質問させてください。
ネームサーバーを複数登録し、その中の一台が応答すれば名前解決は行われるそうですが、
ゾーンの編集はネームサーバー一台毎に行っているのでしょうか?
たとえば、バリュードメインのゾーン編集を行った場合
NS1-5.valuedomain.comまでを一括で編集するということですか?
ネームサーバーを複数登録し、その中の一台が応答すれば名前解決は行われるそうですが、
ゾーンの編集はネームサーバー一台毎に行っているのでしょうか?
たとえば、バリュードメインのゾーン編集を行った場合
NS1-5.valuedomain.comまでを一括で編集するということですか?
918 :名無しさん@お腹いっぱい。:2013/03/02(土) 12:37:50.56
>>917
いくら何でも予備知識が足りなすぎる。その状態でネームサーバを運用するのは危険!
ググれば、いくらでも参考資料は出てきます。もし bind を使っているのなら、例えば
以下のようなページを一通り目を通してみてください (他にも同様の入門ドキュメントは
沢山あります)。
連載記事 「実用 BIND 9で作るDNSサーバ」
http://www.atmarkit.co.jp/flinux/index/indexfiles/bind9index.html
上記ページには読み飛ばしてよいトピックが多数ありますが、最低限ゾーン設定と
ゾーン転送は理解するようにしてください。また、このページはあくまでも一例として
挙げているだけですので、出来るだけ複数の (なるべく新しい) ドキュメントを参照する
ようにしてください (嘘や不適切なことが書いてあるページは想像以上に多いです)。
いくら何でも予備知識が足りなすぎる。その状態でネームサーバを運用するのは危険!
ググれば、いくらでも参考資料は出てきます。もし bind を使っているのなら、例えば
以下のようなページを一通り目を通してみてください (他にも同様の入門ドキュメントは
沢山あります)。
連載記事 「実用 BIND 9で作るDNSサーバ」
http://www.atmarkit.co.jp/flinux/index/indexfiles/bind9index.html
上記ページには読み飛ばしてよいトピックが多数ありますが、最低限ゾーン設定と
ゾーン転送は理解するようにしてください。また、このページはあくまでも一例として
挙げているだけですので、出来るだけ複数の (なるべく新しい) ドキュメントを参照する
ようにしてください (嘘や不適切なことが書いてあるページは想像以上に多いです)。
919 :名無しさん@お腹いっぱい。:2013/03/03(日) 00:18:55.22
皆、BIND10はまだ様子見?
920 :名無しさん@お腹いっぱい。:2013/03/03(日) 00:46:30.14
>>919
パッチレベルが上がってから内部用のリゾルバ(キャッシュサーバ)に使ってみる予定。
パッチレベルが上がってから内部用のリゾルバ(キャッシュサーバ)に使ってみる予定。
921 :名無しさん@お腹いっぱい。:2013/03/03(日) 19:45:47.16
922 :名無しさん@お腹いっぱい。:2013/03/04(月) 12:57:24.33
>>921
設定がどうのこうのではなくて概念の理解が全然足らないよ
設定がどうのこうのではなくて概念の理解が全然足らないよ
923 :名無しさん@お腹いっぱい。:2013/03/05(火) 00:04:48.86
障害対策で複数マスタで運用してたりするけどな
924 :名無しさん@お腹いっぱい。:2013/03/06(水) 13:57:31.90
ゾーンネームサーバーの届出ってどこでやるの?
925 :名無しさん@お腹いっぱい。:2013/03/06(水) 14:06:52.38
レジストリによるよな?
dka-hero.com
これってネームサーバーがns.dka-hero.comなんだけど
ns.dka-hero.comに対するネームサーバーがなくて、登録もされてないっぽいんだけど
どうやって接続されてんの?
dka-hero.com
これってネームサーバーがns.dka-hero.comなんだけど
ns.dka-hero.comに対するネームサーバーがなくて、登録もされてないっぽいんだけど
どうやって接続されてんの?
926 :名無しさん@お腹いっぱい。:2013/03/06(水) 14:14:10.95
つまらん自演するな
927 :名無しさん@お腹いっぱい。:2013/03/06(水) 14:16:48.16
自演っていうか
別に演じてるわけじゃなくて、誰にでも同一人物ってわかるでしょ
別に演じてるわけじゃなくて、誰にでも同一人物ってわかるでしょ
928 :名無しさん@お腹いっぱい。:2013/03/06(水) 14:18:58.65
んー、stardomainだとネームサーバー登録できねーのか
929 :名無しさん@お腹いっぱい。:2013/03/06(水) 14:30:07.08
>>928
何言ってんの? セカンダリのこと?
何言ってんの? セカンダリのこと?
930 :名無しさん@お腹いっぱい。:2013/03/06(水) 14:39:42.54
931 :名無しさん@お腹いっぱい。:2013/03/06(水) 14:46:39.94
これだけだと分かりづらいな
example.comというドメインのネームサーバーをスタードメイン提供のネームサーバーに設定すれば、
ns1.example.comにAレコードを割り当てられるけど
example.comのネームサーバーを自分で作ったns1.example.comに変更すると
ns1.example.comに問い合わせするためのレコードが見つからないからおかしいじゃん?
GodaddyとかはネームサーバーとIPの対照をレジストリに代理提出してくれて、
.com→ns1.example.com→example.comって参照できるんだけど、スタードメインはそういうのないのかなって
example.comというドメインのネームサーバーをスタードメイン提供のネームサーバーに設定すれば、
ns1.example.comにAレコードを割り当てられるけど
example.comのネームサーバーを自分で作ったns1.example.comに変更すると
ns1.example.comに問い合わせするためのレコードが見つからないからおかしいじゃん?
GodaddyとかはネームサーバーとIPの対照をレジストリに代理提出してくれて、
.com→ns1.example.com→example.comって参照できるんだけど、スタードメインはそういうのないのかなって
932 :名無しさん@お腹いっぱい。:2013/03/06(水) 16:11:25.91
またバカが涌いてる
933 :名無しさん@お腹いっぱい。:2013/03/06(水) 16:28:55.13
バカほど「バカ」という言葉を好んで使うのはなぜだろう?
単純に語彙力が低いのか
単純に語彙力が低いのか
934 :名無しさん@お腹いっぱい。:2013/03/06(水) 16:40:48.18
サポートに問い合わせてやってもらうしかなかった気がする
935 :名無しさん@お腹いっぱい。:2013/03/06(水) 16:49:35.69
ろくに検索もできないバカが必死な件w
936 :名無しさん@お腹いっぱい。:2013/03/06(水) 16:54:27.04
937 :名無しさん@お腹いっぱい。:2013/03/27(水) 12:44:30.99
「重複をお許しください」キター
今回のは Workaround が無いみたいっすね。ボスケテ!
今回のは Workaround が無いみたいっすね。ボスケテ!
938 :名無しさん@お腹いっぱい。:2013/03/27(水) 14:18:34.17
workaroundあるだろ。よく読め。
つか重複が重複しとる…。
つか重複が重複しとる…。
939 :名無しさん@お腹いっぱい。:2013/03/27(水) 14:52:41.49
重複した理由書いてあるじゃん。
940 :名無しさん@お腹いっぱい。:2013/03/27(水) 14:54:08.83
workaroundって再構築か。
やだなぁ。
やだなぁ。
941 :名無しさん@お腹いっぱい。:2013/03/27(水) 16:01:01.91
差分取ってみたら、すげー手抜き修正だなこれ。
configureを修正しただけでコード自体は1ビットもいじってない。
workaroundをそのままやってるだけ。
configureを修正しただけでコード自体は1ビットもいじってない。
workaroundをそのままやってるだけ。
942 :名無しさん@お腹いっぱい。:2013/04/03(水) 22:21:08.85
仕事で古いパソコンを使っています。OSはUNIX-OSです。
このマシンにBINDを入れたいのですが、UNIX-OS用のBINDバイナリが
入手できるところをご存知の方いらっしゃいましたら、入手先を教えて下さい。
ソースからコンパイルするのは、私があまりUNIX-OSに詳しくないので、あまり気が
進まないのですが、もしもコンパイルするしかないのでしたら、ソース入手先を
教えて頂けないでしょうか。
また、コンパイルしか手段が無いとしたら、UNIX-OSでは、BINDのバージョン
いくつまで対応可能でしょうか。
このマシンにBINDを入れたいのですが、UNIX-OS用のBINDバイナリが
入手できるところをご存知の方いらっしゃいましたら、入手先を教えて下さい。
ソースからコンパイルするのは、私があまりUNIX-OSに詳しくないので、あまり気が
進まないのですが、もしもコンパイルするしかないのでしたら、ソース入手先を
教えて頂けないでしょうか。
また、コンパイルしか手段が無いとしたら、UNIX-OSでは、BINDのバージョン
いくつまで対応可能でしょうか。
943 :名無しさん@お腹いっぱい。:2013/04/03(水) 22:37:54.83
>>942
UNIX OSって・・・
Solaris・HP・BSD・Redhatとかもう少し情報ないですか?
ココにはエスパーはいないので、バイナリーが欲しいのであればもう少し情報が必要です。
ソースは↓からどうぞ
https://www.isc.org/software/bind
UNIX OSって・・・
Solaris・HP・BSD・Redhatとかもう少し情報ないですか?
ココにはエスパーはいないので、バイナリーが欲しいのであればもう少し情報が必要です。
ソースは↓からどうぞ
https://www.isc.org/software/bind
944 :名無しさん@お腹いっぱい。:2013/04/03(水) 22:45:16.72
945 :名無しさん@お腹いっぱい。:2013/04/03(水) 23:18:53.43
またつまらんコピペか
946 :名無しさん@お腹いっぱい。:2013/04/04(木) 23:24:01.00
つまらんコピペの重複をお許しください。
947 :名無しさん@お腹いっぱい。:2013/04/10(水) 00:54:28.22
質問です。
業務でSolarisのBIND9をリプレースすることになりました。
リプレース後はRedhatESのBIND9にする予定。
RPMから実装するので多分9.7系になるのですが、
ズバリ9.2系からのBIND9に実装された機能や一覧の
載っているページ(出来れば比較差分表)はありませんか?
JPRSの資料みても何がどれに実装されたのかさっぱりでした。
ちなみにDNSSECとDNS64の実装は考えていません。
よろしくお願いします。
業務でSolarisのBIND9をリプレースすることになりました。
リプレース後はRedhatESのBIND9にする予定。
RPMから実装するので多分9.7系になるのですが、
ズバリ9.2系からのBIND9に実装された機能や一覧の
載っているページ(出来れば比較差分表)はありませんか?
JPRSの資料みても何がどれに実装されたのかさっぱりでした。
ちなみにDNSSECとDNS64の実装は考えていません。
よろしくお願いします。
948 :名無しさん@お腹いっぱい。:2013/04/10(水) 01:05:55.20
949 :名無しさん@お腹いっぱい。:2013/04/10(水) 01:30:40.36
950 :名無しさん@お腹いっぱい。:2013/04/11(木) 09:44:45.27
951 :名無しさん@お腹いっぱい。:2013/04/11(木) 09:57:05.92
ソース拾ってきて HISTORY ってファイル読めや。
bind にかぎらずバージョンアップ前に CHANGES やら HISTORY やら読むのは常識だろ。
bind にかぎらずバージョンアップ前に CHANGES やら HISTORY やら読むのは常識だろ。
952 :名無しさん@お腹いっぱい。:2013/04/11(木) 22:56:47.74
>>951
赤い帽子なのでtar ballとか無茶言わないで下さいよ・・・
ソフト管理でrpmしか認めてくれない企業だってあるんですよぉぉぉ!
でもソースDLしてdocを読むことはrpm環境でも確かに出来ますね。てへっ。
とりあえずcontrbフォルダからwin32バイナリDLしてうちのwin2003環境で
遊びつつdoc読んでみます。
makeはHI-UX以来やってないから自信ないなぁ。
赤い帽子なのでtar ballとか無茶言わないで下さいよ・・・
ソフト管理でrpmしか認めてくれない企業だってあるんですよぉぉぉ!
でもソースDLしてdocを読むことはrpm環境でも確かに出来ますね。てへっ。
とりあえずcontrbフォルダからwin32バイナリDLしてうちのwin2003環境で
遊びつつdoc読んでみます。
makeはHI-UX以来やってないから自信ないなぁ。
953 :名無しさん@お腹いっぱい。:2013/04/11(木) 23:35:35.20
なんだこいつ……。
954 :名無しさん@お腹いっぱい。:2013/04/12(金) 09:51:06.20
確実にウンコだな
955 :名無しさん@お腹いっぱい。:2013/04/12(金) 22:47:34.15
rpmなんて自分で作ればいいじゃん。
何言っているの?
何言っているの?
956 :名無しさん@お腹いっぱい。:2013/04/13(土) 06:03:02.13
>>955
RHの電子署名があるRPMじゃないと認められないんだよ、何言ってるの?
RHの電子署名があるRPMじゃないと認められないんだよ、何言ってるの?
957 :名無しさん@お腹いっぱい。:2013/04/13(土) 08:26:34.30
もうそのくらいにしとけ。
板違い。
板違い。
958 :名無しさん@お腹いっぱい。:2013/04/13(土) 12:02:05.77
どこまでがマジでどこからがボケなのかわかりませんが
ドキュメントを読むだけならインストールパッケージを作る必要はありませんよね。
tarから取り出すだけで読めますよね。
ドキュメントを読むだけならインストールパッケージを作る必要はありませんよね。
tarから取り出すだけで読めますよね。
959 :名無しさん@お腹いっぱい。:2013/04/13(土) 14:09:17.93
960 :名無しさん@お腹いっぱい。:2013/04/13(土) 14:10:13.20
おっと間違えた。
>>955がインストールパッケージ作ると言っていたな。
>>955がインストールパッケージ作ると言っていたな。
961 :名無しさん@お腹いっぱい。:2013/08/22(木) 21:13:08.13
unboundにて192.168.0.0/24の如きプライベイートアドゥレスの逆引きを別のDNSにforwardせしむるには、いかなる設定をすべけんや。
962 :名無しさん@お腹いっぱい。:2013/08/22(木) 21:44:09.68
まるでなってない、まず日本語の勉強からだな
963 :名無しさん@お腹いっぱい。:2013/08/23(金) 11:05:29.00
local-zone: 168.192.in-addr.arpa. nodefault
であったか。あい分かった。下がってよい。
であったか。あい分かった。下がってよい。
964 :名無しさん@お腹いっぱい。:2013/09/04(水) 12:02:24.34
whoisコマンドって、どのくらいの頻度までなら許されるの?
965 :名無しさん@お腹いっぱい。:2013/09/04(水) 16:51:32.82
ネームサーバーを自分で構築する利点を教えてください
966 :名無しさん@お腹いっぱい。:2013/09/04(水) 17:22:21.79
/etc/hostsの設定をマシン個別にしなくていい。
967 :名無しさん@お腹いっぱい。:2013/09/04(水) 17:49:13.21
ありがとうございます
968 :名無しさん@お腹いっぱい。:2013/09/04(水) 17:50:41.77
969 :名無しさん@お腹いっぱい。:2013/09/04(水) 18:03:42.44
既存のネームサーバーを利用せずに「自分で」構築する利点について聞いてるんじゃなかったのか
970 :名無しさん@お腹いっぱい。:2013/09/04(水) 19:13:56.25
そうです、ほかにもあれば教えていただけますか?
また何か自分でネームサーバーを構築するリスクなどをおしえてください
また何か自分でネームサーバーを構築するリスクなどをおしえてください
971 :名無しさん@お腹いっぱい。:2013/09/04(水) 22:34:04.95
会社内や学校内のイントラネットの名前解決用のネームサーバーの場合は
自分で構築して内部に置くのがいいでしょう。
これは利点というよりも、せざるを得ない場合だと思います。
ドメイン登録サービスのネームサーバーのことはよく知りませんが
Webインターフェースで操作するのだと思いますが、
設定できる項目が少ないんじゃないでしょうか。
TXTの設定はできないかも知れません。NTT Comunicationsのサービスでは、
出来ないような気がします。やりかたを見つけられなかっただけかもしれませんが。
TTLの変更も出来ないような気がします。
自分で構築したサーバーなら、やり方を知っていればできるでしょう。
リスクとしては、設定をミスしたときの影響が大きいことでしょう。
設定次第ではドメインのレコードを第三者に書き換えられれてしまうことも有り得ますが、
それは自分で構築したサーバーでなくても、有り得ることなので、自分で構築するリスク
とは言えないですよね。
自分で構築して内部に置くのがいいでしょう。
これは利点というよりも、せざるを得ない場合だと思います。
ドメイン登録サービスのネームサーバーのことはよく知りませんが
Webインターフェースで操作するのだと思いますが、
設定できる項目が少ないんじゃないでしょうか。
TXTの設定はできないかも知れません。NTT Comunicationsのサービスでは、
出来ないような気がします。やりかたを見つけられなかっただけかもしれませんが。
TTLの変更も出来ないような気がします。
自分で構築したサーバーなら、やり方を知っていればできるでしょう。
リスクとしては、設定をミスしたときの影響が大きいことでしょう。
設定次第ではドメインのレコードを第三者に書き換えられれてしまうことも有り得ますが、
それは自分で構築したサーバーでなくても、有り得ることなので、自分で構築するリスク
とは言えないですよね。
972 :名無しさん@お腹いっぱい。:2013/09/05(木) 09:32:06.06
SPFがないとメールの扱いがヒドくなる昨今、いまどきTXTを書けない業者なんてあるの?
google appsでも登録時にほんとにそのドメインを所有してるか確認のため
TXTになんか書けとか言われるし。まあ、それ以外の手段も用意されてるけど。
google appsでも登録時にほんとにそのドメインを所有してるか確認のため
TXTになんか書けとか言われるし。まあ、それ以外の手段も用意されてるけど。
973 :名無しさん@お腹いっぱい。:2013/09/05(木) 10:06:57.39
いろいろ自分好みの設定ができる。
詳細なログを取ることができる。
詳細なログを取ることができる。
974 :名無しさん@お腹いっぱい。:2013/09/06(金) 23:26:45.96
975 :名無しさん@お腹いっぱい。:2013/09/08(日) 16:23:30.37
>>970
自分の持ってるドメインを全世界に公開するためのゾーンサーバなら素直にレジストラのDNSサービスやAmazon53使っとけ。
自分の持ってる小規模ネットワークでインターネット上のホストとLANの名前解決させるためならunboundやPowerdDNS-recursorを使え。
hostsファイルの内容あるいは類似記述をくり混んでクライアントに返す機能がある。
こうやって実際運用して概念や用語を理解できるようになったらはじめてその時点でBINDを触れ。
自分の持ってるドメインを全世界に公開するためのゾーンサーバなら素直にレジストラのDNSサービスやAmazon53使っとけ。
自分の持ってる小規模ネットワークでインターネット上のホストとLANの名前解決させるためならunboundやPowerdDNS-recursorを使え。
hostsファイルの内容あるいは類似記述をくり混んでクライアントに返す機能がある。
こうやって実際運用して概念や用語を理解できるようになったらはじめてその時点でBINDを触れ。
976 :名無しさん@お腹いっぱい。:2014/02/02(日) 22:28:45.45
spfをpassしてくるスパムが増えてきて困っているのですが
bindでincludeで指定されているURLをhostsみたいな感じで強制的に応答できなくしちゃえないでしょうか
bindでincludeで指定されているURLをhostsみたいな感じで強制的に応答できなくしちゃえないでしょうか
977 :名無しさん@お腹いっぱい。:2014/02/02(日) 23:03:42.04
>>976
状況をkwsk
状況をkwsk
978 :名無しさん@お腹いっぱい。:2014/02/03(月) 08:09:27.23
greylistでspfを見ているのですが、+allとかでなく、本当にきちんとspfをpassしてくる迷惑メールがあるんです
fromで対応していますが、どうもspfの応答をするinclude指定されているアドレスにはパターンがあるんで
そのinclude指定をなんとか無効にしてやりたいのですが、やり方がわからなくて
思いついたのがhostsみたいに強制的に違う方向に向かせようかということです
fromで対応していますが、どうもspfの応答をするinclude指定されているアドレスにはパターンがあるんで
そのinclude指定をなんとか無効にしてやりたいのですが、やり方がわからなくて
思いついたのがhostsみたいに強制的に違う方向に向かせようかということです
979 :名無しさん@お腹いっぱい。:2014/02/03(月) 09:38:55.08
980 :名無しさん@お腹いっぱい。:2014/02/03(月) 09:56:16.65
981 :名無しさん@お腹いっぱい。:2014/02/03(月) 11:00:43.38
includeで指定されているドメイン名をローカルに定義すればいいのでは?
その規則性って部分が厄介かもしれないがワイルドカードとか使って工夫するしか。
その規則性って部分が厄介かもしれないがワイルドカードとか使って工夫するしか。
982 :名無しさん@お腹いっぱい。:2014/02/03(月) 11:41:24.23
通常のBINDの設定の仕方しかわからないので、できればこうやるんだというのを教えていただきたい
983 :名無しさん@お腹いっぱい。:2014/02/03(月) 11:45:20.33
普通にゾーン持たせりゃいいんじゃね。
984 :名無しさん@お腹いっぱい。:2014/02/03(月) 11:49:00.57
とりあえずここらへんなんですがそれぞれのゾーンを作っていくという感じですか?
nocla.net
delsp.com
burn-oxygen.com
uk1.m0uy.biz
es.ko19.com
spfv1kr2.beml.net
spf.vnstg.net
to1.m0uy.biz
spf.jack-mail.net
spf.vnstg.net
spfv1kr2.beml.net
aq1.mail-q.net
spf.x-mailer.jp
spf.ambitious-inc.co.jp
nocla.net
delsp.com
burn-oxygen.com
uk1.m0uy.biz
es.ko19.com
spfv1kr2.beml.net
spf.vnstg.net
to1.m0uy.biz
spf.jack-mail.net
spf.vnstg.net
spfv1kr2.beml.net
aq1.mail-q.net
spf.x-mailer.jp
spf.ambitious-inc.co.jp
985 :名無しさん@お腹いっぱい。:2014/02/03(月) 12:25:11.09
そうね。
986 :名無しさん@お腹いっぱい。:2014/02/03(月) 12:55:42.39
$TTL 1D
@ IN SOA nocla.net. root.nocla.net. (
20140203
3H
1H
1W
1D )
IN NS nocla.net.
IN A 127.0.0.1
* IN A 127.0.0.1
こんな感じでしょうか?
@ IN SOA nocla.net. root.nocla.net. (
20140203
3H
1H
1W
1D )
IN NS nocla.net.
IN A 127.0.0.1
* IN A 127.0.0.1
こんな感じでしょうか?
987 :名無しさん@お腹いっぱい。:2014/02/03(月) 14:10:05.60
そもそも、そこまで細かく気になる人が SPF という仕組みを活用しようとしている点に
矛盾を感じている今日この頃、皆様いかがお過ごしでしょうか。
まあ、いろいろと試してみるのは、それはそれで面白いのかもしれませんが、自分から
わざわざ苦労する割に効果が薄い方向に向かっていっている気がしてなりません。
矛盾を感じている今日この頃、皆様いかがお過ごしでしょうか。
まあ、いろいろと試してみるのは、それはそれで面白いのかもしれませんが、自分から
わざわざ苦労する割に効果が薄い方向に向かっていっている気がしてなりません。
988 :名無しさん@お腹いっぱい。:2014/02/03(月) 14:24:37.49
対象ドメインをブラックリストに入れないのはなんでなんだろ
989 :名無しさん@お腹いっぱい。:2014/02/03(月) 14:29:03.03
とりあえず設定したので、この設定で来るか様子見をします。
990 :名無しさん@お腹いっぱい。:2014/02/03(月) 14:31:12.19
この対策をおまSPFと言おう
991 :名無しさん@お腹いっぱい。:2014/02/03(月) 15:38:47.91
おもしろいね。
参考にさせてもらうわ www
参考にさせてもらうわ www
992 :名無しさん@お腹いっぱい。:2014/02/06(木) 03:41:47.76
993 :名無しさん@お腹いっぱい。:2014/02/06(木) 09:09:27.04
// named.conf
zone "nocla.net" {
type master;
file "omaspf.zone";
};
// omaspf.zone
$TTL 1D
@ IN SOA localhost. root.localhost. (
20140206
3H
1H
1W
1D )
IN A 127.0.0.1
* IN A 127.0.0.1
こんなかんじで量産ですか?
zone "nocla.net" {
type master;
file "omaspf.zone";
};
// omaspf.zone
$TTL 1D
@ IN SOA localhost. root.localhost. (
20140206
3H
1H
1W
1D )
IN A 127.0.0.1
* IN A 127.0.0.1
こんなかんじで量産ですか?
994 :名無しさん@お腹いっぱい。:2014/02/06(木) 09:18:21.18
NS localhost.
この記述は必要ですか?
この記述は必要ですか?
995 :名無しさん@お腹いっぱい。:2014/02/14(金) 18:32:22.12
NSD-3.2.15とUnbound-1.4.21でDNSをやろうとしてるのですが
ローカル用の正引きはできても逆引きができません。
digで直にNSDに問い合わせたら逆引きできてます。
設定はこんな感じです。
server:
do-not-query-localhost: no
local-zone: "1.168.192.in-addr.arpa." transparent
stub-zone:
name: "1.168.192.in-addr.arpa"
stub-addr: 127.0.0.1@10053
stub-zone:
name: "local"
stub-addr: 127.0.0.1@10053
ログを見ると
info: resolving 192.168.1.xxx. A IN
info: priming . IN NS
の後でルートサーバに問い合わせにいってるようなんです。
ローカル用の正引きはできても逆引きができません。
digで直にNSDに問い合わせたら逆引きできてます。
設定はこんな感じです。
server:
do-not-query-localhost: no
local-zone: "1.168.192.in-addr.arpa." transparent
stub-zone:
name: "1.168.192.in-addr.arpa"
stub-addr: 127.0.0.1@10053
stub-zone:
name: "local"
stub-addr: 127.0.0.1@10053
ログを見ると
info: resolving 192.168.1.xxx. A IN
info: priming . IN NS
の後でルートサーバに問い合わせにいってるようなんです。
996 :名無しさん@お腹いっぱい。:2014/02/14(金) 18:39:28.27
>info: resolving 192.168.1.xxx. A IN
1.168.192.in-addr.arpa の逆引きを解決するのに 192.168.1.xxx を聞いたらダメだろう。
dig xxx.1.168.192.in-addr.arpa
or
dig -x 192.168.1.xxx
1.168.192.in-addr.arpa の逆引きを解決するのに 192.168.1.xxx を聞いたらダメだろう。
dig xxx.1.168.192.in-addr.arpa
or
dig -x 192.168.1.xxx
997 :名無しさん@お腹いっぱい。:2014/02/14(金) 22:33:50.63
192.168.x.yなんて使うのはどうせ同一セグメントに閉じた奴らなんだろうから、
わざわざDNSなんて使わずmDNS(avahi)使えばいいんだよ
わざわざDNSなんて使わずmDNS(avahi)使えばいいんだよ
998 :名無しさん@お腹いっぱい。:2014/02/17(月) 00:03:07.72
999 :名無しさん@お腹いっぱい。:2014/02/17(月) 00:12:23.92
999!
1000 :名無しさん@お腹いっぱい。:2014/02/17(月) 00:13:01.50
1000get!!!
1001 :1001:
このスレッドは1000を超えました。
もう書けないので、新しいスレッドを立ててくださいです。。。
もう書けないので、新しいスレッドを立ててくださいです。。。