Name Server 総合スレ【DNS】

[0001 名無しさん＠お腹いっぱい。 2008/11/26(水) 01:14:36]

立ててみるだよもん

●主なオープンソース
BIND
ttps://www.isc.org/software/bind
djbdns
ttp://djbdns.qmail.jp/
NSD
ttp://www.nlnetlabs.nl/projects/nsd/
Unbound
ttp://unbound.net/

●規格
RFC1034, 1035
ttp://www.ietf.org/rfc/rfc1034.txt
ttp://www.ietf.org/rfc/rfc1035.txt

●アプライアンス
Nominum
ttp://www.nominum.com/
Infoblox
ttp://www.infoblox.co.jp/

[0002 名無しさん＠お腹いっぱい。 2008/11/26(水) 01:15:36]

●関連スレ
djb(4)
http://pc11.2ch.net/test/read.cgi/unix/1148064021/
NSD - Name Server Daemon
http://pc11.2ch.net/test/read.cgi/unix/1092799781/
▲DHCPスレ
http://pc11.2ch.net/test/read.cgi/unix/997686566/
DNS (Domain Name System) 総合
http://pc11.2ch.net/test/read.cgi/network/1159978850/ (節穴注意)

●ついでに
ISC DHCP
ttps://www.isc.org/sw/dhcp
NIS
ttp://docs.sun.com/app/docs/doc/817-4911?l=Ja
NIS+
ttp://docs.sun.com/app/docs/doc/816-6236?l=Ja

Windows Server のDNSは省略だよもん

[0003 名無しさん＠お腹いっぱい。 2008/11/26(水) 01:27:49]

ダイナミックDNSについて語りませんか？
http://pc11.2ch.net/test/read.cgi/hosting/1004200355/
?レンタルDNSサーバ
http://pc11.2ch.net/test/read.cgi/hosting/1018780116/
ダイナミックDNSについて語ろう Part6
http://pc11.2ch.net/test/read.cgi/mysv/1165262414/
DDNSサービスサーバ作ってみたわけだが(^_^;)
http://pc11.2ch.net/test/read.cgi/mysv/1095412433/
DDNSで自宅鯖やっている学生どもはクズが多い
http://pc11.2ch.net/test/read.cgi/mysv/1070173236/
DNSで使用しているプロトコルを教えてください。
http://pc11.2ch.net/test/read.cgi/hack/1017156027/
DNSプロトコルの脆弱性情報　漏洩する
http://pc11.2ch.net/test/read.cgi/sec/1216822395/
ISPのDNSのキャッシュ書き換え時間について
http://pc11.2ch.net/test/read.cgi/network/1007295804/
DNSって？
http://pc11.2ch.net/test/read.cgi/network/1000134177/
DNSの参照
http://pc11.2ch.net/test/read.cgi/network/1005205639/
DNSが落ちててもIPアドレスが知りたい
http://pc11.2ch.net/test/read.cgi/network/1010769515/
BIND8.2.2 for Win32 論争
http://pc11.2ch.net/test/read.cgi/network/978889967/
DNSの安全性をチェックするスレ
http://pc11.2ch.net/test/read.cgi/isp/1217057555/

ネタスレも含めて集めてみた

[0004 名無しさん＠お腹いっぱい。 2008/11/26(水) 01:30:41]

あとdjbdnsはこっちが本家ね
ttp://cr.yp.to/djbdns.html

[0005 名無しさん＠お腹いっぱい。 2008/11/26(水) 01:54:07]

乙だよもん

[0006 名無しさん＠お腹いっぱい。 2008/11/26(水) 07:35:37]

ルートサーバーの中の人はおらんか？

[0007 名無しさん＠お腹いっぱい。 2008/11/27(木) 07:50:06]

>>1
https　・・・？

ttp://www.isc.org/software/bind
じゃだめなん？

[0008 名無しさん＠お腹いっぱい。 2008/11/27(木) 16:47:21]

PowerDNS ttp://www.powerdns.com/ はプロプライエタリ？

[0009 名無しさん＠お腹いっぱい。 2008/11/28(金) 15:18:01]

djbdnsでDKIM設定をやろうとしてレコードに公開鍵を設定したけど
実際にtxtで引くと下の用に途中で切れてしまう。

gBhRpVI8v70VWZo8p1txrvO" "IKI7xOxRN5uxtuwkCAwEAAQ==\" \; ----- DKIM selecto

128バイト以上だと駄目なのかな？

[0010 名無しさん＠お腹いっぱい。 2008/11/28(金) 23:16:58]

djbdnsだからなぁ・・・

[0011 名無しさん＠お腹いっぱい。 2008/11/30(日) 21:01:35]

djbdnsのparseがおかしいのかな?
今更コード読む気もおきん...

[0012 名無しさん＠お腹いっぱい。 2008/12/03(水) 00:59:00]

DHCPDのオプソ実装ってISCだけ?

[0013 名無しさん＠お腹いっぱい。 2008/12/03(水) 09:11:24]

WIDE も作ってたよ。最近は開発止まってるみたいだけど。

[0014 名無しさん＠お腹いっぱい。 2008/12/04(木) 08:34:11]

WIDE版にはよく泣かされました・・・

[0015 名無しさん＠お腹いっぱい。 2008/12/05(金) 23:37:35]

bindiからbind9へバージョンアップをしようとしています
プライマリ/プロバイダのセカンダリ２台構成なのですが、今回はバージョンアップ
だけでゾーンファイル等の変更は行いません

プライマリバージョンアップ後の動作確認として基本的な動作確認はするのですが
実際にセカンダリにゾーン転送されるかって確認はしたほうがいいんでしょうか？

セカンダリはプロバイダ持ちなのでプライマリ所有ゾーンファイルのシリアル値を増やしてHUPし、
シリアル値が増えるのを確認するぐらいしかないのですが・・・・・

[0016 名無しさん＠お腹いっぱい。 2008/12/06(土) 19:15:39]

>>15
しない方がいいと思える理由は？

[0017 名無しさん＠お腹いっぱい。 2008/12/08(月) 10:52:17]

bindiって何？

[0018 名無しさん＠お腹いっぱい。 2008/12/11(木) 00:16:58]

ﾋﾞﾝﾃﾞｨｰ!

[0019 名無しさん＠お腹いっぱい。 2008/12/17(水) 00:44:47]

だよもん

[0020 名無しさん＠お腹いっぱい。 2008/12/26(金) 16:01:38]

ぱにーに！

[0021 名無しさん＠お腹いっぱい。 2008/12/27(土) 11:40:08]

NISをいまだに使っている人っている？
うち、まだNISを使っていてDNSへの変更を提案したら、
「今動いているものをなぜ変える必要があるんだ！」と言われた・・・。

[0022 名無しさん＠お腹いっぱい。 2008/12/27(土) 12:33:18]

> 「今動いているものをなぜ変える必要があるんだ！」と言われた・・・。

君がなんで DNS に変えたがってるのかの説明ができてないだけかと

[0023 名無しさん＠お腹いっぱい。 2008/12/29(月) 20:26:15]

Fri Sep 21 07:57:01 UTC 2007
meti.go.jp NS ns.osaka.spin.ad.jp
hqm-sdnsg01.meti.go.jp postmaster.meti.go.jp (2007091300 10800 3600 604800 300)
meti.go.jp NS ns2.iprevolution.co.jp
hqm-sdnsg01.meti.go.jp postmaster.meti.go.jp (2007091300 10800 3600 604800 300)
meti.go.jp NS hqm-sdnsg01.meti.go.jp
hqm-sdnsg01.meti.go.jp postmaster.meti.go.jp (2007022801 10800 3600 604800 300)
!!! hqm-sdnsg01.meti.go.jp and ns2.iprevolution.co.jp have different serial for meti.go.jp
meti.go.jp NS hqm-sdnsg02.meti.go.jp
hqm-sdnsg01.meti.go.jp postmaster.meti.go.jp (2007022801 10800 3600 604800 300)
meti.go.jp NS ndrs-sdnsg01.meti.go.jp
hqm-sdnsg01.meti.go.jp postmaster.meti.go.jp (2007091300 10800 3600 604800 300)
!!! ndrs-sdnsg01.meti.go.jp and hqm-sdnsg02.meti.go.jp have different serial for meti.go.jp

[0024 名無しさん＠お腹いっぱい。 2009/01/22(木) 01:33:02]

今日はひどいね。。。
めんどいのでアタック系のアドレス前拒否で。
view "external" {
match-clients { any; !76.0.0.0; !66.0.0.0; };
match-destinations { any; };
recursion no;

[0025 名無しさん＠お腹いっぱい。 2009/01/22(木) 01:34:27]

拒否ったのはいいが、66とか76とかってCN？

[0026 名無しさん＠お腹いっぱい。 2009/01/22(木) 01:35:31]

おお！！squidセきゅでリピートカキコ

[0027 名無しさん＠お腹いっぱい。 2009/01/22(木) 01:38:20]

なるほどね

[0028 名無しさん＠お腹いっぱい。 2009/01/22(木) 01:42:54]

あっさりアタック系のアラートメール止まった。このままなら朝までにメールが10000通ペースだべさ
cn氏ね
idも市ね

[0029 名無しさん＠お腹いっぱい。 2009/01/22(木) 01:52:30]

なんだ66.0.0.0も76.0.0.0も喜多籠めじゃん
追浜市ね
＆串四ね

[0030 名無しさん＠お腹いっぱい。 2009/02/02(月) 10:19:27]

とあるDNSサーバに設定されている1つのドメインの情報について、
外部から丸ごと、一覧で見る事って出来る？
例えば、2ch.net だったら、ns1.maido3.com から、ns1.maido3.com内の2ch.netに関するレコードを全部一覧で見る、みたいな。
説明下手でごめん…変なトコとかあったら指摘をお願い。


それともう一つ、DNSについて「ここが参考になった」「俺はここで勉強した」っていう
良さそうなサイトがあったら教えておくれ。

[0031 名無しさん＠お腹いっぱい。 2009/02/02(月) 12:06:36]

>>30
昔はできた。　今はできないのが普通。

[0032 名無しさん＠お腹いっぱい。 2009/02/02(月) 12:41:06]

>>31
ありがとう。
昔は出来たけど、ってのを元にぐぐって出てきた単語「ゾーン転送」辺りで調べたら
今はできないのが普通、って言葉の意味が良くわかった。

[0033 名無しさん＠お腹いっぱい。 2009/02/05(木) 20:09:57]

VMwareにCentOS入れてDNS勉強始めたんですが、ローカルでの正引きができません

//
// named.caching-nameserver.conf
//
中略
// to create named.conf - edits to this file will be lost on
// caching-nameserver package upgrade.
//
options {
directory "/var/named";
};
zone "example.com" IN {
type master;
file "example.com.zone";
};

[0034 名無しさん＠お腹いっぱい。 2009/02/05(木) 20:11:24]

$TTL 86400
@ IN SOA server1.example.com. test.example.com.(
2009020505 ; serial
3600 ; refresh 1hr
900 ; retry 15min
604800 ; expire 1w
86400 ; min 24hr
)
IN NS server1
server1 IN A 192.168.1.1
server2 IN A 192.168.1.2
server3 IN A 192.168.1.3
host IN A 192.168.1.4


書式とか間違ってますか・・・？
サーバ自身からドメインでpingすると、時間はかかりますが一応名前解決できています。
同一ネットワーク内のPCからだと失敗しますが・・・

[0035 名無しさん＠お腹いっぱい。 2009/02/05(木) 20:13:03]

C:\Documents and Settings\@@@@>nslookup
DNS request timed out.
timeout was 2 seconds.
*** Can't find server name for address 192.168.1.1: Timed out
*** Default servers are not available
Default Server: UnKnown
Address: 192.168.1.1

> localhost
Server: UnKnown
Address: 192.168.1.1

DNS request timed out.
timeout was 2 seconds.
*** Request to UnKnown timed-out
> server1.example.com
Server: UnKnown
Address: 192.168.1.1

ipaddressでのpingは相互に成功しますがこっちはダメでした

[0036 名無しさん＠お腹いっぱい。 2009/02/05(木) 20:32:12]

>>33
VMware hostOSのWindowsとguestOS上のCentOSとの通信はローカルというのか？

pingは通るんなら、UDPのフィルタとかじゃね？

[0037 名無しさん＠お腹いっぱい。 2009/02/05(木) 20:42:28]

>>36
Hostonlyモードです
53番ポートが何かダメって可能性もありますね。フィルタと合わせて試してみます

[0038 名無しさん＠お腹いっぱい。 2009/02/06(金) 09:35:58]

.confでlocalhost以外からの問い合わせは許可してる？

[0039 名無しさん＠お腹いっぱい。 2009/02/07(土) 13:13:01]

すまん、どこで聞いたらいいかわからなかったんで優しいお前らに質問させてくれ
レジストリに登録してあるドメイン情報の中のDNSサーバについてなんだけれども

name1.com(222.222.222.222) というドメインを所有し、
専用サーバ会社のサーバを借りて運用しているとして、これのDNSサーバとして下の２つを使いたい
○ 専用サーバ会社のDNSサーバ、 test2.sen-you.com（111.111.111.111）
○ 自分のサーバ、name1.com(222.222.222.222)ns.name1.comの別名アリ
※test2.sen-you.com は name1.com からゾーン転送でname1.comと同じDNS情報を持っている

こういうとき、レジストリへのDNSサーバの登録って、どうすれば良いんだろう？
ns1.name1.com や name1.com をDNSサーバとして、そのままの名前で登録しちゃうとループする気がして。

わかり辛くてすまんが教えてくれ

[0040 名無しさん＠お腹いっぱい。 2009/02/07(土) 15:10:26]

>>39
ドメイン名にAレコードつけるのなんかかやめちまえ

ドメイン名のサンプルにはexample.comとかexample.jpを使えと何度言われたら(ry

[0041 名無しさん＠お腹いっぱい。 2009/02/07(土) 15:16:23]

当該所有組織の中の人かもね！

[0042 名無しさん＠お腹いっぱい。 2009/02/07(土) 15:17:39]

>>39
1. name1.com の ネームサーバとして ns1.name1.com, ns2.name1.com を登録する
2. ns1.name1.com の IP アドレスとして 222.222.222.222
ns2.name1.com の IP アドレスとして 111.111.111.111
を登録する
3. name1.com のゾーン情報でゾーン自体に A レコードを書いて 222.222.222.222 を書く
4. test2.sen-you.com の IPアドレスが変わるとホスティング屋に言われたら
ns2.name1.com の登録情報を変更する
以上

[0043 名無しさん＠お腹いっぱい。 2009/02/07(土) 18:32:49]

>>39
name1.com のゾーンを登録しているｻｰﾊﾞｰは以下の通り。

name1.com. 86236 IN NS c.ns.joker.com.
name1.com. 86236 IN NS a.ns.joker.com.
name1.com. 86236 IN NS b.ns.joker.com.

sen-you.com　についてはまだﾄﾞﾒｲﾝ登録されていないようです。

[0044 39 2009/02/07(土) 20:43:09]

なんだかんだで相手をしてくれるお前らはやっぱり優しいな

>>40
すまん・・・クセでつい。次からそうするよ。

>>42
専用サーバ会社のDNS、test2.example.com（変えた）を
自分のDNSサーバ、 example.jp（これも変えた）にns2として登録する意味はなに？
そんな事をしても、
１． test2.example.com （111.111.111.111）
２． ns1.example.jp （222.222.222.222）
３． ns2.example.jp （111.111.111.111）
上の３つをレジストリに登録した場合、１．だけ他のドメインから名前解決されて
他の２つ、２．と３．は名前解決出来ずにループしない？

ns1.example.jpはどこ => example.jp の配下だからexample.jpのDNSに聞こう =>
　=> example.jpのDNSはどこ => ns1.exampleだ => ns1.exampleはどこ => 以下ループ
でもこう考えていくと、どんなホスト名も解決出来なくなる気がしてならない。

>>41,>>43
name1.comの中の人すまんｗｗｗｗｗ

[0045 名無しさん＠お腹いっぱい。 2009/02/07(土) 21:10:40]

ループ？
運用に関わるなら最低限の勉強してこい

[0046 名無しさん＠お腹いっぱい。 2009/02/07(土) 22:17:32]

>>44
>>45氏の言うとおり、もう少し勉強してからやった方が良いぜ。
そんな知識で実際に運用されたらかなわん。

問い：ns1.example.jp の IP がワカラン。 example.jp のゾーン情報を持っているのはどのホストだ？
この問いかけを ns1.example.jp に投げる事が出来たら神だろ。

example.jp ゾーンのネームサーバー名を問い合わせる先は ns1.example.jp ではないという事だ。

[0047 39=44 2009/02/08(日) 01:32:02]

>>46
んだよな。
だからこれまではexample.jpにゾーン情報書いて外部ドメインのDNSサーバへのゾーン転送許可して、
レジストリには外部ドメインのDNSサーバだけ登録してたんだけど…

whoisで見たら某ホスティング会社のDNSサーバと自ドメインのサーバのみを登録してる所があってな。
そんなんアリなのかよオイ、と思って聞いてみたんだ。
みんな�d、もっと勉強してくる。

[0048 名無しさん＠お腹いっぱい。 2009/02/09(月) 01:35:58]

>>44
>自分のDNSサーバ、 example.jp（これも変えた）にns2として登録する意味はなに？
メリット：余計な再帰的名前参照が発生しない / ドメインハイジャックの危険性の低減
(後者については http://www.e-ontap.com/summary/ が参考になるやも)
デメリット：プロバイダのDNSコンテンツサーバのIPアドレス変更がユーザに告知されずに行われたら悲惨

その例なら1. の test2.example.com を登録する必要はない

[0049 名無しさん＠お腹いっぱい。 2009/02/09(月) 20:08:28]

DNS cache poisoning のアタックが鬱陶しいし、Logが肥大化してうざい。
何か、対策してます？

私の環境は、CentOS5 です。
何か、書かないと無理だろうなぁ・・・

[0050 名無しさん＠お腹いっぱい。 2009/02/09(月) 20:31:32]

その前で止めればいいよ

[0051 名無しさん＠お腹いっぱい。 2009/02/20(金) 11:17:33]

うろ覚えなんだけど、公開してるドメインを入力すると、
DNSの設定吸い上げて問題点指摘してくれるところがあった。
Another HTML-lintのDNS版みたいな感じ。
今探しなおしても出てこないんだけど、どこかにそういうサイトないかな？

[0052 名無しさん＠お腹いっぱい。 2009/02/20(金) 11:46:17]

細かいチェックは有償になってしまったけど
http://member.dnsstuff.com/pages/dnsreport.php

[0053 名無しさん＠お腹いっぱい。 2009/02/20(金) 16:32:46]

>>52
とんくす。
昔見たのも、多分このDNSReportだと思う。
21日の間にキャンセルすれば無料なんだけど、キャンセル前提でもクレジット番号送らないといけない。
そこに抵抗なければ使えるかな。
万が一請求来たら報告するｗ

[0054 名無しさん＠お腹いっぱい。 2009/02/20(金) 23:09:02]

>>53
ttp://vidmar.net/weblog/archive/2008/03/23/free-dns-report-alternatives.aspx

[0055 55 2009/02/27(金) 14:50:20]

http://www.zoneedit.com/signup.html

上のURLから、無料ネームサーバー登録で、
[Sign Up Now]を押したが1時間たってもメールが届かないのです。
ちなみに、あるレンタルで再販するために、
このフリーネームサーバーを利用していました。
登録ごとに異なるアドレスを使い、yahoo.co.jpなどでも試してみたが、
パスワードが送られてこないのです。
本日になってzoneeditからメールが届かないという状況になりました。
理由だれか知ってますか。教えてほしいのです。ねらー様

[0056 名無しさん＠お腹いっぱい。 2009/02/27(金) 14:56:15]

>>55
誰か教えてやれよ

[0057 55 2009/02/27(金) 17:23:57]

メールはリアルタイムに送られてくるに決まっているのにメールがすぐに届かないのはおかしいです！

[0058 名無しさん＠お腹いっぱい。 2009/02/27(金) 17:32:33]

>>55-57
自演までして業者必死だな。

[0059 名無しさん＠お腹いっぱい。 2009/02/27(金) 17:35:36]

そこにといあわせればいいのい

[0060 55 2009/02/27(金) 20:31:28]

>>57-58
上は同一人物です。自演に文句いうために無理に自身で自演している・・

zoneeditに問い合わせてみた！
すると、数時間後に、「再度Sign Upを試してください」
と連絡があっただけでした。
しかし、その後、プロキシーしてみたり、別ドメインを使用してみたが、
メールが届かないのです。完了画面は出るのですけどね。
もちろんスパム判定されたわけでもない。そういうの使ってないメールで試したから。
ちょっと誰かテストしてみてくれますか。
ここネームサーバーお助けスレですよね(⌒∇⌒)

[0061 57 2009/02/27(金) 20:48:50]

＞ここネームサーバーお助けスレですよね(⌒∇⌒)

どうやって煽ればいいのかわからないです＞＜

[0062 名無しさん＠お腹いっぱい。 2009/02/27(金) 21:14:54]

＞?ここネームサーバーお助けスレですよね(⌒∇⌒)

！　この板はそういう意味の板だったのかｗ

[0063 名無しさん＠お腹いっぱい。 2009/02/27(金) 21:16:54]

商売するのに自前のコントロールができないのを使うなんて
馬鹿なの？死ぬの？

[0064 名無しさん＠お腹いっぱい。 2009/02/27(金) 22:17:50]

きっと頭はすでに死んでいるんだよ
死んでいるからまともに考えることができなくてバカをやる

[0065 名無しさん＠お腹いっぱい。 2009/02/27(金) 22:27:01]

なんなら英語堪能な俺が問い合わせてやろうか？

[0066 55 2009/02/27(金) 23:16:31]

>>65

頼む神の65様よ！
ちなみにプロキシーにして、今までと別のドメインのE-mailで
申し込んでもメールが来なかった。
Free トライアルで[Sign Up Now]を押しましたが駄目でした。
ちなみにその後、メールを出してみたが、時間的な問題かまだ、返事なし。
ttp://www.zoneedit.com/signup.html

[0067 55 2009/02/27(金) 23:46:00]

普通ならメールは申込み完了と同時にリアルタイムで来るのですが、
来ないのです。
ちなみに申し込んだ後の完了画面にサポートのE-mailが記述されています。

[0068 名無しさん＠お腹いっぱい。 2009/02/28(土) 00:51:46]

板違い。

[0069 55 2009/02/28(土) 01:12:51]

既違いではない！

Did you use any foreign characters in the email address?
Please check your junk mail filters, or try signing up using a different email.

上のメールがzoneeditより届いた。
スパムフィルターがどうとかってこと？
でも今、もう一回同じメールで申し込んだらメール届きました。
一時的にzoneeditのサーバーが重くなって不具合を招いていたようです。
しかし、不具合があったときに登録したものは、返事が来なかったです。
こういうこともあるのですね。
zoneeditでこういう情報ほかに見当たらないから、このスレzoneedit使用する人に重宝されるよ＼(o⌒∇⌒o)/

[0070 55 2009/02/28(土) 01:16:55]

あ〜あ、zoneeditからメール来なかったとき、
21domainの有料ネームサーバ申し込んで損しちゃったよ。
ねら〜君がいい情報くれると期待して書き込んだのに・・

[0071 名無しさん＠お腹いっぱい。 2009/02/28(土) 01:22:45]

　　　　　　　::　　　　　　　　　　 　 　 　.|ﾐ|
　　　　　　　　::　　　　　　　　　　 　 　 .|ﾐ|　　　　　　　　　　 ::::::::
　　　　　　　　　:::::　　　　　＿＿＿＿　|ﾐ|　　　　　　　　　 ::::
　　　　　　　　　　 ::　,. -'"´　　　　　　｀¨ー ､　　　　　　　::
　　 ::　　　　　 　 ／　　　,,.-'"　　　　　　ヽ　 ヽ、　　　 ::
　　　:: 　　　 ,,.-'"_　 r‐'"　　　　　,,.-'"｀　　　　　ヽ、　::
　　　:: 　　/　　　 ヾ (　　　 _,,.-='==-､ヽ　　 　 　 　 ヽ、
　　　:: 　　i へ＿__ ヽゝ=-'"／　　　 _,,>　　　　　　　　 ヽ　　　　　　←>>55
　　 ::　　 ./ /　　＞ ＝'''"　￣￣￣　　　　 　 　 　 　 　 ヽ
　　:: 　　/ .<_　ノ''"　　　　　　　ヽ　　　　　　　　　　　　 　 i
　 ::　　 /　　　 i　　　人＿　　　ノ　　　　　　　　　　　　　　.l
　　:: 　,'　　　　 ' ,_,,ノｴｴｴｪｪ了　　　　　　　　　　　　　　　/
　　　　i　　　　　　　じｴ='='='" ',　　　　　　　　　　　　　　/　::
　　　　',　　　　　　 (___,,..----U　　　　　　　　　　　　 ／　::
　　　　 ヽ、　　　　　　　　 __,,..　--------------i-'"　　::
　　　　　　ヽ､_　　　__ -_'"--''"ニニニニニニニﾆヽ　　 ::
　　　　　　　　 ｀¨i三彡--''"´　　　　　　　　　 　 　 ヽ　　::

[0072 名無しさん＠お腹いっぱい。 2009/02/28(土) 05:19:01]

飛んだスレ荒らしだなこりゃ、
と自分で書いてみる

[0073 名無しさん＠お腹いっぱい。 2009/02/28(土) 08:38:52]

うに板でなく、レン鯖板の話題だからみんなスルーしただけ

[0074 名無しさん＠お腹いっぱい。 2009/02/28(土) 11:55:52]

有識者に伺いたい。
bind9でプライベートアドレスの逆引き要求は、上位DNSサーバに転送しない設定って、
ゾーンファイル書く以外に方法ありませんでしょうか？

YAMAHAルータだと設定1行でいけるっぽいんですが・・・。
ttp://www.rtpro.yamaha.co.jp/RT/FAQ/TCPIP/blackhole-isi-edu.html

dns private address spoof on

よろしくお願いします

[0075 名無しさん＠お腹いっぱい。 2009/02/28(土) 13:03:55]

>>74
10/8,172.16/16〜172.32/16,192.168/16の18個書けばいいんだから
18行書けばいいんじゃないの。ゾーンファイルは全部兼用できるわけだし。

unboundやPowerDNS-recursorは同様に上位に送らず自前で処理してしまう定義が書ける。

[0076 名無しさん＠お腹いっぱい。 2009/02/28(土) 13:16:02]

169.254/16も必要だから19行か

[0077 名無しさん＠お腹いっぱい。 2009/02/28(土) 13:42:39]

192.0.2/24は?

[0078 名無しさん＠お腹いっぱい。 2009/02/28(土) 13:56:54]

DNS (Domain Name System) 総合
http://pc11.2ch.net/test/read.cgi/network/1159978850/l50

[0079 名無しさん＠お腹いっぱい。 2009/02/28(土) 14:53:42]

>>77,76
やっぱり書きますか。ゾーンファイルに追加するのは、運用上
厳しかったのですが、その方向で検討します。

>>78
そちらには昨日おじゃまさせていただいておりました。。。

[0080 名無しさん＠お腹いっぱい。 2009/02/28(土) 17:20:32]

コンテンツサーバとリゾルバサーバのIPアドレスを分けたらいいんじゃない？
クライアントマシンのアドレス割り当てをDHCPでやってるなら
DHCPの台帳側をかきかえれて新しいリゾルバサーバを見に行かせるようにすればばいいし、
固定アドレス割り振りのマシンが多くてそうも行かないならコンテンツサーバ側をリナンバすればいい。

とりあえずas122.netで提供されているやつをインターネットにながさなければいいと思うので>>75-76と書いた。
もう少し偏執的に書くならRFC3330に書かれているやつのうちのいくつかを加える必要があるかな。

[0081 名無しさん＠お腹いっぱい。 2009/03/13(金) 15:48:57]

ちなみにこの設定をすると名前解決でもたつく事が無くなり、
場合によっては、色々な応答性があがる。

問い合わせに応答しない設定で待たせていたりするくらいなら
でっち上げておいたほうがいい。

[0082 51 2009/03/30(月) 22:27:09]

帰宅したら、クレジットの請求にDNSReportが混じってた。
明日ゴルァせねば。
時々メール来るのは無視できるけどこれはまずい。

[0083 名無しさん＠お腹いっぱい。 2009/04/21(火) 10:03:12]

最近unix（solaris10）を利用し始めた初心者です。

dnsを利用して、グーグルなどから検索をしようとしています。
Windowsから調べたところ、dnsサーバーがルータと同じＩＰになっていました。
そこで、unixの設定ファイル/etc/resolv.confに、
nameserver xx.xx.xx.xx
と記入して再起動しました。
ところが、利用できていないみたいなのです。
ＩＰで指定するとグーグルやほかのサイトには逝けるのですが、サーバー名だとエラーになります。
また、ドメインは取得していません。

どのような設定がひつようなのでしょうか？
bindと呼ばれるＤＮＳサーバー？はインストールしなければ行けないものなのでしょうか？

お手数ですがよろしくお願いします。

[0084 名無しさん＠お腹いっぱい。 2009/04/21(火) 11:18:56]

ttp://moin.qmail.jp/DNS

[0085 名無しさん＠お腹いっぱい。 2009/04/21(火) 12:15:20]

BINDはインストールしなくていい。

[0086 名無しさん＠お腹いっぱい。 2009/04/21(火) 17:23:54]

>>83
bind はいらん。/etc/nsswitch.conf を適切に設定しろ。
name server は関係ないから Solaris 系のスレに行け。
というか「solaris 10 resolv.conf」でググれ。

[0087 名無しさん＠お腹いっぱい。 2009/04/29(水) 07:34:26]

mxに関してだけど、優先度の低い鯖に配送されるのって優先度が
高い鯖がダウンしてる以外の条件って何かある？
新しい鯖に移行しようと思って構築中なんだけどmxを低めに
設定しておいたらたまに構築中の新鯖に配送される物があるんだよね

[0088 名無しさん＠お腹いっぱい。 2009/04/29(水) 08:29:26]

>>87
SPAMツールは優先順位に関係なく送ってるようで、
プライマリなmxが生きてる状態ではセカンダリにはSPAMばっかりやってくる。

[0089 名無しさん＠お腹いっぱい。 2009/04/29(水) 13:31:03]

sendmailとか、ロードアベレージが一定以上だと「今はダメ」とか返事する
機能なかったっけ？

[0090 87 2009/04/30(木) 14:19:41]

なるほど。そうやってロードバランシングに使う訳ね。
いつも単体で構築してたから気にもしていなかったよ。
うちの状況はまさに>>88な状況だった。ちょっと調べたら今のpostfixは
順番にmxなめていって最初にsmtp喋る奴を見つけたら配送失敗しようと
終わりにするような実装になっているけど、今後の実装で挙動が変わりそうな
記述があった。ってことは他の実装では配送成功するまでmxなめる場合もある
ってことかな。いないユーザをプライマリではねていてもセカンダリで
受け入れると>>88みたいな状況になるのでは。うちの構成は今はプライマリが
postfix、セカンダリがqmail（いないユーザの分も受け取る）だから・・・。

[0091 名無しさん＠お腹いっぱい。 2009/04/30(木) 16:33:22]

セカンダリ MX にフォールバックするのは、そもそも接続できないか、
接続していきなりエラー応答が返ってきたときだけ。

>いないユーザをプライマリではねていても

これはある程度 SMTP セッションが進んだ後でのエラーになるので、
セカンダリ MX にはいかない。

つーか DNS 関係ない。

[0092 名無しさん＠お腹いっぱい。 2009/06/06(土) 11:26:22]

LAN内に構築した内部向けDNSサーバを Port 5353 で listen して運用したいと考えていますが、
LAN内クライアント（Linux PC）に、内部向けDNSサーバの Port 5353 に対してDNS問い合わせを
行わせる設定の方法が分かりません。

そもそも、LAN内クライアント（Linux PC）のリゾルバ設定で、Dest Port を変更することって
できるんでしょうか？

[0093 名無しさん＠お腹いっぱい。 2009/06/06(土) 14:06:59]

digだとできるけど、resolv.confなどではできないとか。

resolv.conf option for nameserver with specific port number
ttps://lists.isc.org/pipermail/bind-users/2007-May/thread.html

5353はmDNSのポート番号か。

[0094 名無しさん＠お腹いっぱい。 2009/06/06(土) 14:16:19]

>>92
MacOS X だと man 5 resolver にこんな風に書いてありました。

The address may optionally have a trailing dot followed by a port number.
For example, 10.0.0.17.55 specifies that the nameserver at 10.0.0.17 uses port 55.

[0095 名無しさん＠お腹いっぱい。 2009/06/06(土) 14:17:49]

>>92
参照するクライアントのservicesファイルのDNSポートを書き換えてやればよくね？
http://www.linux.or.jp/JM/html/LDP_man-pages/man5/services.5.html

とはいえ、作業漏れやらあとでそんなことしたこと忘れて大騒ぎの原因に
なりそうだからお勧めはしないけどねぇ〜ｗ

[0096 名無しさん＠お腹いっぱい。 2009/06/06(土) 14:26:16]

services を NISでバラ撒けば問題は緩和される。

[0097 名無しさん＠お腹いっぱい。 2009/06/06(土) 14:28:11]

>>92
なぜ　Port53 で運用しないのかが気になる。

[0098 名無しさん＠お腹いっぱい。 2009/06/06(土) 14:47:29]

>>92です。色々レスありがとうございます。

>>93
dig は -p オプションでポート指定可能なようですね。

>>94
172.51.31.10:5353 とか 172.51.31.10.5353 とか
試したんですが、Linux（CentOS）では無理でした。

>>95
/etc/services で53を5353に書き換えると、
Slave DNS にDNS問い合わせをするようなケースでも
5353ポートに問い合わせてしまうので、断念した経緯があります。
# Slave DNS は53ポートで運用中なのです…。

>>97
それはズバリ、そのサーバでは既に別の named が53ポートで
稼働中だからですｗ

[0099 名無しさん＠お腹いっぱい。 2009/06/06(土) 14:56:54]

>>98
ListenするIPを限定すれば、
同じホストで同じ53portで、2つ以上のDNSサーバーを起動できるだろ。

[0100 名無しさん＠お腹いっぱい。 2009/06/06(土) 15:28:35]

>>98
なぁ〜んか、「僕ってすごいことやってるでしょ、でも難しくって・・・てへっｗ」臭がするんだが、
見当違いなことしてねえか？


スプリットDNSって知ってるか・・・？

[0101 名無しさん＠お腹いっぱい。 2009/06/06(土) 15:58:28]

bind9とかなら普通にzoneごとのallow-hogeでどーにでもなる話な気がする。

[0102 名無しさん＠お腹いっぱい。 2009/06/06(土) 16:24:45]

>>92です。レスありがとうございます。

>>99-101
おっしゃる通り、そのような解決方法はいくつか考えられますが、
今回はクライアント（Linux PC）側のリゾルバ設定で Dest Port って
変更できるのかな、と思い質問してみました。

で、基本的には無理ということが分かりました。

多くの named で Listen するポートを指定できるのに、Linuxクライアント側で
DNS問い合わせの Port を指定できないのはちょっと意外でした。
MacOS X では簡単みたいでうらやましいｗ

DNSサーバ側の対応として現在考えているのは、

・iptables で特定ホストからのポートをリダイレクトする
・view で特定ホストの forwarders を 127.0.0.1:5353する（BIND 9 が動いてますので）

iptablesでうまくいくことは確認しました。
view の方も、特定ホストの数が多くなっても acl を使用すれば
シンプルに管理できそうです。

以上、ありがとうございました。

[0103 名無しさん＠お腹いっぱい。 2009/06/06(土) 16:32:56]

>>102
Listen するポートを指定するんじゃなくて、
Listen する IPを指定するの。
(外向きIPと内向きIPね)

で、複数のnamedが(異なるIPの) 53番を Listenする。

クライアント側は何も変更なし。

[0104 名無しさん＠お腹いっぱい。 2009/06/06(土) 17:23:30]

>>103
件のサーバで動かす named は両方とも内向き用です。
搭載 NIC は1つです。

[0105 名無しさん＠お腹いっぱい。 2009/06/06(土) 17:27:31]

>>104
搭載 NIC 1つでも IP alias できるだろ。知らないのかｗ

[0106 名無しさん＠お腹いっぱい。 2009/06/06(土) 17:31:53]

>>99 がすでに最適解を書いてるのに、

「NICが1つだとできない」って思い込んでる人には馬の耳に念仏。

[0107 名無しさん＠お腹いっぱい。 2009/06/06(土) 17:39:55]

>>105
IP alias は知っていますが、ただ単にポリシー的に IP alias が不可能な環境です。

>>106
>>99
馬の耳に念仏というか、Listen する IP を限定できない named です。

[0108 名無しさん＠お腹いっぱい。 2009/06/06(土) 17:51:28]

ここでＳＰＬＩＴ　ＤＮＳだとかＩＰエイリアスだとか、微妙な知識ひけらかしてる奴らいるけど恥しくねーの？
会社でもその調子？　それとも学生かなんか？

[0109 名無しさん＠お腹いっぱい。 2009/06/06(土) 17:52:58]

BIND9じゃないのか?

[0110 名無しさん＠お腹いっぱい。 2009/06/06(土) 17:59:07]

なんか数人ｴｽﾊﾟｰが紛れ込んでる模様

[0111 名無しさん＠お腹いっぱい。 2009/06/06(土) 18:39:46]

現行のDNSソフトで、listenするIPアドレスを限定できないものって何? そんなのあるの?

[0112 名無しさん＠お腹いっぱい。 2009/06/06(土) 19:44:09]

>>107
× Listen する IP を限定できない named です。
○ Listen する IP を限定する方法を知らない named です。

[0113 名無しさん＠お腹いっぱい。 2009/06/06(土) 20:05:43]

>>98

「既に Port53 を使っているから」　はわかる。
というかそれが前提だろ？

だから、なぜ同一LANに対して１つの計算機で２つのDNSサーバーを立ち上げる必要があるのか？
という疑問が湧くのだ。

特に、
>/etc/services で53を5353に書き換えると
意味がサッパリわからんのだが・・・

目指す環境ややりたい事がわかれば、解決策はいろいろ有ると思うんだよ。

唐突にクライアントからサーバーのポートを指定できるのか？
と思いついたのなら、それはまた別問題ではあるけどね。

[0114 名無しさん＠お腹いっぱい。 2009/06/06(土) 20:40:43]

>>108でファビョった時点でもうだめ。
はい次。

[0115 名無しさん＠お腹いっぱい。 2009/06/07(日) 00:40:01]

とはいえ>>100や>>106に虫酸が走ったのは俺だけではないハズ

[0116 名無しさん＠お腹いっぱい。 2009/06/07(日) 05:20:36]

>>115
非合理な仕様にアレルギーが無い方なのですねｗ

[0117 名無しさん＠お腹いっぱい。 2009/06/07(日) 08:59:01]

>>107
×IP alias は知っていますが、ただ単にポリシー的に IP alias が不可能な環境です
○IP alias は今聞いて思い出しましたが、自分のスキル的に IP alias が不可能な状況です

[0118 名無しさん＠お腹いっぱい。 2009/06/07(日) 14:25:47]

53で動いてるやつにさわれるならBIND9でviewなんちゃらとか使うのが一番楽じゃない？

[0119 名無しさん＠お腹いっぱい。 2009/06/07(日) 19:51:38]

最初の頭悪そうな質問で予想してたがやっぱり無能なバカだったか

[0120 sage 2009/06/10(水) 10:06:53]

>>119
どうやったら自分の尊厳を保ったまま話を収束できるか、そういうことに
心血を注いでいた時期がオレにもありました

[0121 名無しさん＠お腹いっぱい。 2009/06/10(水) 10:54:26]

名前解決はシンプルに行け。hosts配ればいいんだよタコ　　

って向こうは言って無いけど、
そういうことを平気でするIT土方共にひどい目に合わされてます。
どうしたらよいですか。

[0122 名無しさん＠お腹いっぱい。 2009/06/11(木) 20:04:02]

よくわかってない技術は後で困るといけないからと多数のクライアントに
固定IPアドレスの手動設定をさせてまわる低能IT土方もいるよ
もちろんサーバへのアクセスはIPアドレス指定で

>>120
質問者乙と言えばいいのかな
内容を理解せず端的な作業手順をなぞる程度の能力でしかないのに
自分は出来ると誤解してる底辺土方って居ない方がましだと思う

[0123 名無しさん＠お腹いっぱい。 2009/06/12(金) 01:18:06]

土方より現場監督クラスに昇格しても奴隷をこき使うだけだからなぁ。ｲﾔﾀﾞｲﾔﾀﾞ

一人で50台管理しながら手間なコードも書いてる。　まあ、英国式の教育を受けた
家政婦ならあたりまえｗ

[0124 名無しさん＠お腹いっぱい。 2009/06/12(金) 11:57:21]

>>122
>内容を理解せず端的な作業手順をなぞる程度の能力でしかないのに
>自分は出来ると誤解してる底辺土方って居ない方がましだと思う

これはひどい自己紹介ｗ

[0125 名無しさん＠お腹いっぱい。 2009/06/12(金) 13:50:53]

他所でやれや

[0126 名無しさん＠お腹いっぱい。 2009/06/22(月) 23:27:40]

最近サブアロケーションの逆引きゾーンに対し
サブアロケーションされたかたちではなく直接4オクテットを逆順にしたクエリーが来るのが散見されるのですが
(自分で権威を持っていないゾーンへのクエリーと扱われて deny するログが残る。こちらは bind9.5か9.6)
どう言ったフルリゾルバがこのようなクエリーを出すのか情報をお持ちの方はいませんか

[0127 名無しさん＠お腹いっぱい。 2009/06/23(火) 23:43:03]

NSが糞だとか

[0128 名無しさん＠お腹いっぱい。 2009/06/26(金) 23:49:21]

サブアロケーションしている親のネームサーバーが設定ミスってるとか

[0129 名無しさん＠お腹いっぱい。 2009/06/30(火) 01:26:38]

ｱﾌｫにｱﾌｫと言っても判って貰えないのはDNS管理をやってればすぐ気がつくことだ。

[0130 質問 2009/07/07(火) 18:59:16]

セカンダリDNS(Bind 9.2,solaris9)を運用しています。
named.confでは特にmax-refresh-time,min-refresh-time,max-retry-time,min-retry-time
などの設定はしていません。
あるドメインのSOAをrefresh 15m retry 10m expired 3hとして、
ゾーン転送がきちんと出来ていることを確認（セカンダリDNSにゾーンファイルが出来ている）した後で、
わざとプライマリDNSからのゾーン転送ができないようにしました。

namedをkill -hupで再起動したあとでログをずっと見ていると、
最初に zone xxx expiredがでたと、
その後、ずっとtransfer of xxx : time outのエラーが5分前後で8回、
その後5時間前後で同じエラーが現在まで18回繰り返されていました。

私の考えならば、kill -hupでexpiredであることを知り、
その後はretry 10mにしたがって10分ごとにゾーン転送を試みて
（＝time outのエラーがでる）、10分×18回retry後、
expireとなってそれ以降ゾーン転送は実施しない（＝エラーも出ない）と思うのですが、
エラーログから考えるとそのような動きではないようです。

retryについて指定した時間よりも短い間隔で行ったり、3時間を越えてもなおretryを
試すのはどうしてでしょうか？

bindのdocumentationやbind&dnsには載っていなくて困っています。

[0131 名無しさん＠お腹いっぱい。 2009/07/07(火) 23:42:14]

http://www.atmarkit.co.jp/fnetwork/dnstips/014.html

expiredになってもゾーン転送を試みる。
expiredになったら、コンテンツとしてゾーンを返さなくなる。

[0132 名無しさん＠お腹いっぱい。 2009/07/08(水) 00:20:32]

expireになったら持っているゾーン情報を無効にして、さらにゾーン転送
も試さなくなると本(BIND&DNSだったかも）に書いていましたが、どうなんでしょうか？

[0133 名無しさん＠お腹いっぱい。 2009/07/08(水) 11:59:50]

>>132
では、ゾーン転送を試させるにはどのような処理を行えばよいのでしょうか？

[0134 名無しさん＠お腹いっぱい。 2009/07/08(水) 17:59:05]

質問です。
LAN内のクライアントのためのキャッシュサーバーを立てる時、
クライアントからの AAAAレコードの問い合わせは一切 forwardしないで、
すぐにヌルデーターを返答するにはどうすればいいですか?
(その後、クライアントがすぐにAレコードを引きなおしてくれることを想定しています)

[0135 名無しさん＠お腹いっぱい。 2009/07/08(水) 18:56:43]

>>133
本では、
expire後、セカンダリDNSからゾーン転送をさせるためにはnamedの再起動が必要と書いていました。

[0136 名無しさん＠お腹いっぱい。 2009/07/08(水) 19:01:07]

>>134
named を 「-4」 オプション付で起動したら駄目なの？

[0137 名無しさん＠お腹いっぱい。 2009/07/08(水) 19:18:46]

>>136
はい、駄目です。

-4 は、問い合わせのための通信をIPv4のみで行なうというだけで、
AAAAレコードの問い合わせとはまた別の話です。
よって、-4を付けても何の解決にもなりません。

引続き、わかる方、お願いします。
↓

[0138 名無しさん＠お腹いっぱい。 2009/07/08(水) 19:33:58]

>>134

　 　 　 　　　　　　　｢￣ ｀ヽ､ 　　＿_＿_＿_
　 　 　 　　　　　　　Ｌ -‐ '´ ￣ ｀ヽ- ､　　　〉
　　　　　　　　　　／ 　 　 　　　　　　ヽ＼ /
　　　　　　　　／/ 　/ 　/ 　 　 　ヽヽ　ヽ〈
　 　　　　　　ヽ､レ! {　 ﾑ-t ﾊ　li ､ i　i　　}ﾄ､
　　　　　　　　　ﾊＮ |　lヽ八l ヽｊﾊVヽ､ｉ j/ l　!
　 　　　　　　　/ﾊ. ｌ ヽｋ=＝　,　r= ､ﾉﾙｌ　lＬ」
　　　　　　　　ヽN､ﾊ ｌ　 　┌‐┐ 　 ﾞl ﾉl　l
　 　　　　　　　　　ヽﾄjヽ､　ヽ_ノ 　 ノ//ﾚ′
　　　　r７７７７７７７７７tﾉ｀ ｰ　r ´ﾌ/′
　　　ｊ´ﾆゝ 　　　　　　　ｌ|ヽ 　_/｀＼
　 　〈　‐　知ってるが　ｌﾄ、　/ 　 〃ゝ、
　 　〈､ﾈ.. 　　　　　　 　.ｌＦ Ｖ=＝"／ ｲl.
　　　ト |お前の態度が とニヽ二／　　ｌ
　　　ヽ.|l　　　　 　 　　〈ｰ- 　 !　｀ヽ. 　 ｌ
　 　 　 |l気に入らない ｌﾄﾆ､_ﾉ 　 　 ヾ、!
　 　 　 |l_＿_＿_＿_＿__ｌ| 　　＼ 　　　ソ

[0139 名無しさん＠お腹いっぱい。 2009/07/08(水) 19:50:02]

>>138 は知らないな。

[0140 名無しさん＠お腹いっぱい。 2009/07/08(水) 23:31:58]

OSのipv6をとめろ

[0141 名無しさん＠お腹いっぱい。 2009/07/08(水) 23:36:49]

>>140
だから、ipv6は関係ないって。OSのipv6を止めてもAAAAは問い合わせされる。

[0142 名無しさん＠お腹いっぱい。 2009/07/09(木) 00:07:11]

>>141
そりゃそうだ

[0143 名無しさん＠お腹いっぱい。 2009/07/09(木) 00:25:54]

質問者はtransportのIPv6と、クエリ対象レコードのIPv6を区別できてるのに
回答者は区別できてない奴が多いな。

で、もとの話題の戻ると、
・・・わからん、すまん。

[0144 名無しさん＠お腹いっぱい。 2009/07/09(木) 09:40:17]

v6のこと、よくわかってないから的外れなこと言ってたら優しく指摘してよ。
v4でインターネットに繋がっていないLAN内だけのDNSを立てるとき
ルートサーバーとして設定してたじゃない。
それと同じようにv6のルートサーバーにすればいいんじゃないのではございませんか。

[0145 144 2009/07/09(木) 10:11:37]

ああ、これじゃだめですね。

[0146 名無しさん＠お腹いっぱい。 2009/07/09(木) 20:13:56]

>>134
既存のプログラムを改造してそういうフルリゾルバを作ってやるしかないのでは。
大技としてAAAA他最近の拡張されたクエリーを理解できないくらい古いBINDを
フルリゾルバとして使うというのも考えられるけれど副作用が大きすぎる。

そもそもなんでそんなことしたいの？

[0147 名無しさん＠お腹いっぱい。 2009/07/29(水) 20:00:08]

Bindにセキュリティホールだって
http://jprs.jp/tech/security/bind9-vuln-dynamic-update.html

[0148 名無しさん＠お腹いっぱい。 2009/07/29(水) 21:26:46]

>>147
あらゆるプライマリサーバが脆弱性の対象か・・・
思ったより深刻なセキュリティホールだな。

[0149 名無しさん＠お腹いっぱい。 2009/07/29(水) 22:13:30]

iptablesのworkaroundが書いてあったけど
何やってるのかワケワカメ~

[0150 名無しさん＠お腹いっぱい。 2009/07/30(木) 04:45:34]

>>148
プライマリサーバって？

[0151 名無しさん＠お腹いっぱい。 2009/07/30(木) 08:40:10]

>>150
masterゾーンを管理しているサーバ

[0152 名無しさん＠お腹いっぱい。 2009/07/30(木) 12:48:14]

今はもうプライマリと言っても通じない世代が居るのか
BIND4時代の古い用語だからしょうがないな

[0153 名無しさん＠お腹いっぱい。 2009/07/30(木) 12:53:54]

それを知ってて突っ込んでるだけだろｗ 釣られ過ぎ

[0154 名無しさん＠お腹いっぱい。 2009/07/30(木) 14:17:07]

>>153
JPRSの文章がそうなっているじゃん。w

[0155 名無しさん＠お腹いっぱい。 2009/07/30(木) 19:56:31]

type master;以外は雑魚ということですね-)

[0156 名無しさん＠お腹いっぱい。 2009/07/30(木) 20:01:32]

>>155
大抵localhostに対してはmasterよ

[0157 名無しさん＠お腹いっぱい。 2009/07/30(木) 20:01:42]

localhostや127.in-addr.arpaくらいはmasterになってるだろ

[0158 ななし 2009/07/31(金) 00:13:35]

BIND9.3以前はEOLでパッチが提供されないみたいだけど、9.4以降の修正内容を
参照すると9.3でも簡単にパッチ作れるな。^^;

[0159 名無しさん＠お腹いっぱい。 2009/07/31(金) 14:53:20]

JPRS の DNS 攻撃で落ちたのか。
こりゃ、急いだ方が良いな。

月曜日にやろうと思ったけど、今からあげよ。

[0160 えっ 2009/07/31(金) 16:45:16]

ほんとに？

[0161 名無しさん＠お腹いっぱい。 2009/07/31(金) 16:48:19]

>>160
マジだよ。JP DNS が落ちた訳じゃないらしいけど。
みんみんが、言っているんだから間違いない！

[0162 NoName 2009/07/31(金) 16:55:19]

みんみんて誰だよ

[0163 名無しさん＠お腹いっぱい。 2009/07/31(金) 17:01:04]

>>162
JPRSの中の人
民田雅人

[0164 NoName 2009/07/31(金) 17:03:52]

ほんとだメールアドレスがみんみんだ
俺もうｐしよう
これはやばそうだ

[0165 名無しさん＠お腹いっぱい。 2009/07/31(金) 17:11:16]

(ﾟДﾟ)ノ⌒SMF
Solaris10純正は落ちたら再起動してくれるよ

[0166 名無しさん＠お腹いっぱい。 2009/07/31(金) 18:36:47]

>>165
それで良いのか？
アップデートないの？

[0167 名無しさん＠お腹いっぱい。 2009/07/31(金) 19:31:25]

http://sunsolve.sun.com/search/document.do?assetkey=1-66-264828-1

[0168 名無しさん＠お腹いっぱい。 2009/07/31(金) 20:33:00]

ｽﾞｺ(AA略

[0169 名無しさん＠お腹いっぱい。 2009/07/31(金) 23:20:58]

OSX ServerのアップデートがAppleから落ちてこないのは気のせい？

[0170 名無しさん＠お腹いっぱい。 2009/07/31(金) 23:53:17]

龍谷大の人がexploitのコード載せちゃったからね

[0171 名無しさん＠お腹いっぱい。 2009/08/01(土) 00:14:32]

>>170
あらら・・・
手回しの良いことで。

せめて週明けまで待てばいいのに。

[0172 名無しさん＠お腹いっぱい。 2009/08/01(土) 00:23:02]

>>165
落ちるんじゃなくてnamed生きたまま応答しなくなるという嫌らしさ

ほんとに他愛のないUDPパケット一個で即死する
発信元IPが偽造されたら追跡もできないな
プロバイダ各社のエグレスフィルタ採用状況はどうなんだっけ？

[0173 ななし 2009/08/01(土) 01:42:22]

>>172
環境依存なのかRHEL5を使っているウチではnamedが死ぬけどね。

[0174 名無しさん＠お腹いっぱい。 2009/08/01(土) 15:19:24]

>>173
ウチの環境では起こっていない。@RHEL 5 64bit

[0175 173 2009/08/02(日) 03:45:55]

>>174
assertionで落とされているという認識なので、CPUアーキテクチャの
違い(32bit/64bit)に影響を受ける部分とは思えないんだけど、興味深い
話ですね。

検証できる環境もないし、する必要もないのでそれだけですが。

[0176 名無しさん＠お腹いっぱい。 2009/08/03(月) 21:34:42]

tmが出張してtinydnsの宣伝してるけど、メンテが期待できないものを薦めるなんて正気の沙汰とは思えない。
IPv6対応にするだけでも他人が書いたパッチが必要とか・・・DNSSEC対応できるの？

[0177 名無しさん＠お腹いっぱい。 2009/08/03(月) 21:53:43]

>>176
tinydns ねぇ。あったねそんなの。
ところで、どこの話題？俺の入っていないMLなんだろうけど

[0178 名無しさん＠お腹いっぱい。 2009/08/03(月) 22:20:03]

>>177
tss氏の日記（2009-07-29）へのコメント。
「コンテンツサーバとキャッシュサーバの分離」とか、安全なDNSサーバのPoCとしては十分な役割を果たしたと
思うけど、もう引退させた方が良いでしょ。

[0179 名無しさん＠お腹いっぱい。 2009/08/03(月) 22:36:49]

>>178
Res ありがとう。どこか判った。
つーか、なんちゅう極端な人たちだ。

[0180 名無しさん＠お腹いっぱい。 2009/08/04(火) 10:29:08]

今ならunbindおすすめ？

[0181 名無しさん＠お腹いっぱい。 2009/08/04(火) 10:42:51]

>>180
unboundな。

コンテンツサーバなら、NSD使えばいいんでね。

[0182 名無しさん＠お腹いっぱい。 2009/08/04(火) 18:12:54]

手元の検証用マシンに載ってたDNS鯖（9.3.6-P1）に
PoC（perl版, C版）投げても平気な顔してるうちのDNS鯖。

PoCの設定の仕方がおかしいのか(´・ω・｀)

[0183 名無しさん＠お腹いっぱい。 2009/08/04(火) 19:16:05]

>>182
ログはどうなの？↓が出ている？
/ANY: 'RRset exists (value dependent)' prerequisite not satisfied (NXRRSET)

[0184 名無しさん＠お腹いっぱい。 2009/08/04(火) 19:21:27]

>>183
レス�d
C版でやるとソレが出たわ

perl版は正しいrndcのkey nameとkey入れんとダメなんかいな

[0185 184 2009/08/04(火) 19:50:09]

perl版にkey nameとkeyを実際に設定している値にすると >>183 のログが出たわ。

[0186 184 2009/08/04(火) 20:19:40]

http://www.ntt.com/icto/security/images/sr200803101.pdf の通りにやってみたが
PoCは途中で止まらずprint後にプロンプトに戻るし、
ログには >>183 が出るだけだわ('A`;)

今日はもう遅いのでまた明日チャレンジしてみる ﾉｼ

[0187 名無しさん＠お腹いっぱい。 2009/08/04(火) 21:21:07]

>>184
私が見たPoCのコードだと、構造体のパディングが考慮されてなくて
うまく動かないかもしれないように見えたんだけど。Cで書かれたやつね。

[0188 名無しさん＠お腹いっぱい。 2009/08/08(土) 01:49:21]

DNS担当って損だよな。

影響大きいのに、金は安い。
SEでさえ、きちんと仕組みを理解している人が少ない。
だから、いつも説明に困る。。
コンテンツとキャッシュを区別できるひとはどれだけいるのだろう。。

[0189 ななし 2009/08/08(土) 13:55:55]

>>188
>コンテンツとキャッシュを区別できるひとはどれだけいるのだろう。。

さすがにそれはお前の環境だけの問題では？という気がするが・・・。

[0190 名無しさん＠お腹いっぱい。 2009/08/09(日) 00:15:20]

>>189
んなことはない。
客先に説明するときは、まず、コンテンツとキャッシュを説明する。

[0191 189 2009/08/09(日) 10:32:21]

>>190

客にはそうだと思うけど、>>188は客相手の話なのか？

[0192 名無しさん＠お腹いっぱい。 2009/08/10(月) 17:00:01]

NICの故障も、ケーブル抜けも、ハブの故障も、DNSのダウンも、
ファイルサーバーのダウンも、プロキシサーバーのダウンも、
ウェブサーバーのアクセス禁止処置も、なんでもかんでも、
「ネットが落ちてるんですけど、どのくらいで直りますか」
と言う奴に比べると120%ましだと思うんですけど何か。

[0193 名無しさん＠お腹いっぱい。 2009/08/10(月) 17:09:47]

見当外れの予想で口を挟みまくるヤツもイヤだなあ

[0194 188 2009/08/11(火) 00:36:02]

客といってもSEだよ。しかも、大手だったりする。

こんなやつらがalteonなんてつかっていると思うと怖いわー

[0195 184 2009/08/14(金) 11:08:26]

手元の本番サーバ（8.3.5-P2）にPoCしかけたらnamedあっさり止まりやがった(´・ω・｀)
そっこー対処しますた。

検証環境の9.3.6-P1には例のPoCは効かんのかいな。



>>194
5年近くインフラ周り全般の管理をやってる俺だけど、
キャッシュ鯖とコンテンツ鯖の違いを知ったのは3年くらい前だ。

システム管理の先輩社員がおらず、俺よりも知識・技術が上の人（教えてくれる人）が
居ない状況だとはいえすげえ恥ずかしいわ('A`;)

[0196 名無しさん＠お腹いっぱい。 2009/08/16(日) 21:47:09]

>>195
viewつかってるとか？

[0197 名無しさん＠お腹いっぱい。 2009/08/18(火) 23:55:34]

http://tomocha.net/diary/?20090817#200908171

ime.nuだめぽ。

[0198 名無しさん＠お腹いっぱい。 2009/09/02(水) 04:41:11]

xname更新遅せー

[0199 名無しさん＠お腹いっぱい。 2009/09/03(木) 00:35:53]

すごいこと発見。

某大手新聞社のネームサーバはオープンリゾルバです。
しかも、サブドメインの権限委譲を別のネームサーバにしてます。
で、その権限委譲した先のネームサーバは自分のＡレコードを間違って応答します。

これを組み合わせると、どうなるでしょう？？

[0200 名無しさん＠お腹いっぱい。 2009/09/03(木) 08:39:48]

ひさしぶりの大先生チェックですね。

[0201 名無しさん＠お腹いっぱい。 2009/09/03(木) 09:29:33]

>>199
どこだろうと思って朝日読売毎日だけざっと調べてみたけど
セカンダリDNSがオープンリゾルバだったりするのもあるな。



・・・・・・うちの会社も似たようなもんだから他所様を笑えないんだがな

[0202 名無しさん＠お腹いっぱい。 2009/09/03(木) 23:19:13]

co.jpだね。
ためしてみたら、オープンリゾルバのほうは見事にアクセスできなくなった。。
怖！

もう片われがオープンリゾルバじゃないから助かっているが。


オープンリゾルバは世の中に結構あるよね。
いまさらオープンリゾルバをやめるのはそりゃ、厳しいわな。

うちもセキュリティ向上のため、オープンリゾルバやめたらいろいろトラブルあったよ。
でも、思い切るしかないんだな、、これ。

[0203 名無しさん＠お腹いっぱい。 2009/09/04(金) 00:10:10]

勝手に使ってるくせして文句言ってくる奴でも居るの？

[0204 名無しさん＠お腹いっぱい。 2009/09/04(金) 23:19:29]

コンテンツ使っているやつが、キャッシュ（リゾルバ）としてつかってたとかね。

ＤＮＳサーバだからこれ使えとわからないやつがいってたりね。

[0205 名無しさん＠お腹いっぱい。 2009/09/05(土) 00:54:03]

>>204
ACL書いて組織内からのqueryは通せばいいだけだな

できれば組織内向けリゾルバサーバとしての機能だけを残して(daemonもそれ専用のものに変えて)
コンテンツサーバとしては分離してリナンバーしてNICへの登録を変更してしまうというのがよい
これならほうぼうのresolv.confを書き直して歩く必要はない

[0206 名無しさん＠お腹いっぱい。 2009/09/05(土) 16:21:26]

>>205
コンテンツを違うサーバに移して、キャッシュのみにしたあと、ログを確認。
ログから抽出したある程度のアドレスに対しては、変更してもらうように依頼。
最後はばっさり。

[0207 名無しさん＠お腹いっぱい。 2009/09/14(月) 18:03:23]

ローカルだけで使用する目的で仮で『aiueo』というだけのドメインで
namedを作ったのですが、dig aiueo; でちゃんと返ってくるところ
までできました。

そこでWindowsのコマンドプロンプトから『ping aiueo』をしてみたの
ですが以下のメッセージが出てpingできません。

Ping request could not find host aiueo. Please check the name and try again.

コマンドプロンプトで『nslookup aiueo』ではちゃんとIPが引けているの
ですが ping では上のようなメッセージが出てしまいます。

hostsに直接書けばこれは『ping aiueo』通ったのですが、DNSだと『aiueo』
のようなドメインはダメなのでしょうか？

[0208 名無しさん＠お腹いっぱい。 2009/09/14(月) 18:05:24]

>>207
そのWindows機はそのnamedに聞きにいくようになってるのか？

[0209 名無しさん＠お腹いっぱい。 2009/09/14(月) 18:12:37]

ドット「.」がひとつ以上含まれていないと DNSは参照しないというしようだったような。

[0210 名無しさん＠お腹いっぱい。 2009/09/14(月) 18:25:31]

>>208,209
ありがとうございます。そうなんですね。
ping aiueo.
で飛びました！！
でも『aiueo.』はなんとなく気持ち悪いのでちゃんと.comやら付けようと思います。

[0211 名無しさん＠お腹いっぱい。 2009/09/14(月) 18:37:12]

>>210
実在するドメインは使わない方がいいぞ

[0212 名無しさん＠お腹いっぱい。 2009/09/14(月) 22:07:08]

ローカルだって一目で確実に分るように、
http://--.--/
としようとしたんですが、IE6が毎回落ちてしまいますね(>_<)

[0213 名無しさん＠お腹いっぱい。 2009/09/14(月) 23:03:14]

板違い。

[0214 名無しさん＠お腹いっぱい。 2009/09/15(火) 15:22:02]

なんで .local にしないんだ

[0215 名無しさん＠お腹いっぱい。 2009/09/15(火) 15:52:15]

RFC2606か何かで出してくれてもいいのにね
もっと短く".lan"でもいいと思うけど。

http://example.com/
って実際に接続できるサイトだったとは知らなかった。

[0216 名無しさん＠お腹いっぱい。 2009/09/15(火) 23:49:17]

dyndnsか何かで取ったドメインを使うのが俺のおすすめ

[0217 名無しさん＠お腹いっぱい。 2009/09/16(水) 20:55:38]

example.comワロタ。
NXDOMAINが返ってくることを期待してたらどうするんだw

Site Finder対策？

[0218 名無しさん＠お腹いっぱい。 2009/09/16(水) 22:34:22]

どこのメーカーも例示といったらacme.comだった頃が懐かしい

[0219 名無しさん＠お腹いっぱい。 2009/09/17(木) 11:57:13]

ttp://acme.com
これもあるな

[0220 名無しさん＠お腹いっぱい。 2009/09/17(木) 23:46:16]

アクメ に一致する日本語のページ 約 558,000 件中 1 - 10 件目 (0.15 秒)


えっちなのはいけないとおもいます（＞＜）

[0221 名無しさん＠お腹いっぱい。 2009/09/18(金) 02:43:57]

幼稚

[0222 名無しさん＠お腹いっぱい。 2009/09/22(火) 10:09:17]

bind9を使ってopendnsみたいなサービスしたいんですが、、
何か参考になるURLあれば教えてください。

[0223 名無しさん＠お腹いっぱい。 2009/09/22(火) 13:02:56]

>>222
迷惑だから止めろ

[0224 名無しさん＠お腹いっぱい。 2009/09/22(火) 14:36:50]

その程度の知識しかないくせにいらんこと考えるな手を出すな

[0225 名無しさん＠お腹いっぱい。 2009/09/29(火) 07:36:12]

最近、jp.msn.com の名前解決に失敗するんだけど
気のせい?

http://thednsreport.com/?domain=jp.msn.com
http://thednsreport.com/?domain=jp.kaw.cb3.glbdns.microsoft.com
とかでチェックしたら、かなりデタラメなんだけど、
名前解決できない程の問題ではないよね。

[0226 名無しさん＠お腹いっぱい。 2009/09/29(火) 09:26:56]

dns はどこの

[0227 225 2009/09/29(火) 23:33:37]

>>226
bind9.3.5-P2 に以下のパッチ適用してます。
http://security.FreeBSD.org/patches/SA-09:12/bind.patch

[0228 名無しさん＠お腹いっぱい。 2009/09/30(水) 01:23:45]

root server has changed

[0229 225 2009/10/01(木) 01:40:09]

はっきりした原因は不明だけど、
自分のマシンから以下のサーバへの問い合わせ、
またはその応答がどこかで失われてるらしい。
glb1.glbdns.microsoft.com
glb2.glbdns.microsoft.com

以下の事例がかなり類似してたので、
http://www.linuxquestions.org/questions/linux-networking-3/bind-problem-for-one-domain-name-726997/

フォワーダを指定して回避することにした。
zone "microsoft.com" {
type forward;
forward only;
forwarders { xxx.xxx.xxx.xxx; };　#プロバイダ提供のname server
};

[0230 名無しさん＠お腹いっぱい。 2009/10/04(日) 06:16:01]

>>202
が犯罪行為の告白にしか見えないのは俺だけ？
何を試したんだｗ

[0231 名無しさん＠お腹いっぱい。 2009/10/04(日) 07:51:17]

>>230
きっと関わらない方が無難だと、俺も思う。

[0232 名無しさん＠お腹いっぱい。 2009/10/04(日) 18:01:45]

>>230
なんで犯罪なの？

[0233 名無しさん＠お腹いっぱい。 2009/10/04(日) 22:25:50]

>>232
他人のDNSに毒入れして正規の応答を返せない状態にしたら、
偽計業務妨害かな。

[0234 名無しさん＠お腹いっぱい。 2009/10/04(日) 23:13:05]

知ったかをしている勘違い野郎がいるな

[0235 名無しさん＠お腹いっぱい。 2009/10/05(月) 11:48:03]

>>234
誰のこと？

[0236 名無しさん＠お腹いっぱい。 2009/10/05(月) 12:52:12]

俺だよ、オレオレ！

[0237 名無しさん＠お腹いっぱい。 2009/10/06(火) 00:00:15]

>>230
ネームサーバとして公開されているゾーンのＡレコードを引いて何処が悪いんだ？
そんな設定でＤＮＳサーバを公開しちゃいかんでしょ。

[0238 名無しさん＠お腹いっぱい。 2009/10/19(月) 22:28:18]

e.root-servsers.netが応答しねぇー

[0239 名無しさん＠お腹いっぱい。 2009/10/19(月) 23:25:09]

それipaddress変わったし

[0240 238 2009/10/20(火) 00:01:18]

ttp://www.root-servers.org/
ここ参照じゃマズイ？

[0241 名無しさん＠お腹いっぱい。 2009/10/20(火) 00:32:01]

>>240
IANAをみるべき。http://www.internic.net/zones/named.root

[0242 238 2009/10/20(火) 07:44:17]

>>241
thx

192.203.230.10かぁ〜
やっぱり応答しないな・・・大学からなら繋がる様だが・・・

[0243 名無しさん＠お腹いっぱい。 2009/11/25(水) 00:22:58]

http://www.hash-c.co.jp/info/20091124.html

これって、DNS Rebindingなんて大げさなもの使わなくても、
iモードIDを知っていればHTTPヘッダを小細工すれば
同じようなことできるんじゃないの？

iモードＩＤはＷｅｂサイト持ってれば取得できるわけだし。

俺の認識違い？

[0244 名無しさん＠お腹いっぱい。 2009/11/25(水) 01:36:42]

>>243
携帯のUAに偽装してってことなら、普通はそれが出来ないように
アクセス元のIPアドレスもチェックする。けど。
かんたんログイン自体が脆弱って結論出てなかったっけ。

[0245 名無しさん＠お腹いっぱい。 2009/11/25(水) 22:29:10]

>>244
ってことはこの発見は何をいまさらって感じ？

唯一IPチェックをかいくぐれる可能性があるということか。

[0246 名無しさん＠お腹いっぱい。 2009/11/27(金) 01:16:21]

 　　　　　　　　　__,,／　　_, ----｀ヽ　　：.
　　　　　：. 　／　_　　　　　___　　　､＼
　　　　　　 / ／　　　i　　　 　 ＼ 　 ＼＼　：.
　　 　 ：.　,'./ 　 　 　 i　　ヽ:.　 　ヽ:.:..　ヽ.ヽ
　　　　　 ,'/　　　 / .ハ ヽ　ヽ:.:.:.:.　ヽ::..　ヽヽ　：.
　 　 　：. |i .i　i　 .i /　 ヽ ﾄ ､ ＼､:.:.:. ',:.',:.:.lヽ}
　 　 　 　|i .i　l 　:Ｎ＿, -弋　＼弌弋ナ:}:.:}
　　　　：. |i∧ ',　:{　,ｨjモﾄ　＼　 ｲjミﾄｲｲＶ　：.　　な…
　　 　 　 .|　 :ﾒヽ.', `ozＺ} 　 　　 izN｡ﾊ::{　　　　　なんなんだよもん？
　 　 　 ：. |　 :ヾ_! ゝ　"ﾞﾞ　　　 ' 　｀ﾞ ハ.:',　：.　　　ここ、どこだよもん？
　　　　　　|　 :.:_ｲ .:.ヽ. 　　(二ﾌ　, ｲ :.:.:!:.ヽ　　　　　なんであたし
　　　：.　 / rｨｲ |　:.:.ヽ: ＞r／｀＜ノ .:.::.}ヽ､＼：.　　　貼られたんだよもん？
　　　 　 / ∧l;l　!　:.:.:.:/／{二￣ .} ..:..::ﾘ//ハ.:＼
　：.　 ／　.{. ',ヾ､ヽi .:.:.{ ／(^｀　　|.:.:.:./／: : :.}: . ヽ.：.
　　 /　/　 ） ヽ ヾ､ヽ:.ﾊ　ﾔ{　　 ∧／.-‐'": : |:.:.　i ',
　 ./ .,ｲ　.:..}　: :＼ヾレ'ﾊ　∧__ノﾉﾊヾ､　 : : : l:.:.: .ﾊ ',
　 { /｜ .:.:ﾊ　: : :i Ｙ {ヾ｀Ｙヽﾆン'ノ}: : } : : : :/:.:.:/　}:.}
　 Ｖ　| .:.:/:.:|_,ｨ'￣　 ヽ三{　｀ー-ノ : ｲ : : :/:.:i.:{　　リ
　　　 ヽ:.:{､.:.Ｖ　　　　 : : ﾍ　　　　 : : {: : :/:.::∧|
　　　　 ヽ! ）人　　　　: : :人　 　 　 : : : / ＼!　：.
　　　　　　"　 ヽ　: : : : :/イ{　　　　　:.ノ: : : :.＼　：.
　　　　　　　：.　 ＼__／//: :＼______／: : : : : : : ヽ
　　　　　　　　　　　/　//: : :|;|: : : : : : i: : : __: : : : ',
　　　　 　 ：. 　 　 / ､ {;{　　 |;|　　　. : i／. : : : : : :|
　　　　　　　 　 ／　｀Ｙ;{. . . .|;|. : : : ／i: : : : : : : : :l

[0247 名無しさん＠お腹いっぱい。 2009/11/30(月) 13:30:10]

bind 9.3 の host と nslookup でコマンドラインでネームサーバを指定したとき、そのネームサーバが
落ちてたときに resolv.conf に書いてあるネームサーバを使った結果が返ってきます。
9.2 と 9.4 では意図したとおり connect time out になるんですが、この 9.3 の動きってバグですか？

[0248 逆引きの質問 2009/12/01(火) 21:59:08]

質問をさせてください。
現在、solaris10, bind9を使っています。
slaveサーバ側でmasterサーバからゾーン転送ができるように設定をし、
named.confの再読み込みを実施しました。
しかし、この段階ではまだmasterサーバ側ではslaveへのゾーン転送設定はしていません。
そのため、slaveサーバ側にはゾーンファイルが作成されておらず、
当然refresh間隔などの情報も持っていません。
この状態がずーと続いた場合、slaveサーバは、定期的にmasterサーバに対して
ゾーン転送の要求を行いますか？

ログ(/var/adm/messages)を見ると、どうも何もしないような気がするのですが・・
また、途中、named.confの再読み込みを何度かしたことはありますが、それでもエラーログをはいた跡はありませんでした

[0249 sage 2009/12/02(水) 22:10:09]

行わない

[0250 sage 2009/12/02(水) 22:11:47]

BINDにバグはない。すべては仕様。

[0251 名無しさん＠お腹いっぱい。 2009/12/02(水) 22:18:51]

ソース読めば。

[0252 sage 2009/12/02(水) 23:42:07]

nslookupなんか使わなきゃいいのに

[0253 名無しさん＠お腹いっぱい。 2009/12/03(木) 19:49:02]

"Nslookup is obsolete."って記述が最近消えたって聞いたんだけど

[0254 名無しさん＠お腹いっぱい。 2009/12/03(木) 19:58:49]

表示したってどうせ馬鹿は理解できないからだろ

[0255 名無しさん＠お腹いっぱい。 2009/12/03(木) 20:22:51]

なんで nslookup いかんの？

[0256 名無しさん＠お腹いっぱい。 2009/12/03(木) 20:39:29]

おせっかい

[0257 名無しさん＠お腹いっぱい。 2009/12/03(木) 22:02:04]

すなおに聞きに行かずにまず余計なことを聞いてから処理を始めるから。

[0258 名無しさん＠お腹いっぱい。 2009/12/04(金) 10:21:40]

>>257
最近はそれやめたんじゃなかったっけ。

[0259 名無しさん＠お腹いっぱい。 2009/12/04(金) 12:00:16]

>>248
SOA 書き換えない限り slave は何もしないぞ

[0260 名無しさん＠お腹いっぱい。 2009/12/09(水) 04:34:52]

自宅のネットワークトラフィックを減らしたいので、キャッシュ用のBINDを立ち上げています。
BINDで最大限キャッシュする設定を教えてください。

[0261 名無しさん＠お腹いっぱい。 2009/12/09(水) 10:41:00]

DNSでどんだけトラフィック食ってるんだ？

[0262 名無しさん＠お腹いっぱい。 2009/12/09(水) 14:31:02]

>>260
ググれカス
http://www.atmarkit.co.jp/flinux/rensai/bind911/bind911a.html

[0263 名無しさん＠お腹いっぱい。 2009/12/09(水) 17:39:10]

>>262
これって、キャッシュ時間やメモリの最大値を設定してるだけで、
元の(外部の)DNSサーバーが返したキャッシュ時間を超えて
強制的にローカルでキャッシュすることはできないのでは?

質問は、何がなんでも一度問い合わせたDNS情報は
強制的に無期限でキャッシュしたいということだと思うが。

[0264 名無しさん＠お腹いっぱい。 2009/12/09(水) 18:30:11]

>>263
そもそも論だと、トラフィック削減のためにDNSの情報をcacheするトラフィックを削減したい
って考えからしておかしいから。

[0265 名無しさん＠お腹いっぱい。 2009/12/09(水) 18:34:03]

考えがおかしいかどうかは聞いていません。
トラフィックが削減できればいいんです。

[0266 名無しさん＠お腹いっぱい。 2009/12/09(水) 18:56:25]

たいして削減できないよ。

[0267 名無しさん＠お腹いっぱい。 2009/12/09(水) 19:05:45]

たいして削減できなくてもいいからやりかた教えろよ

[0268 名無しさん＠お腹いっぱい。 2009/12/09(水) 19:43:37]

>>267
resolv.confに
nameserver 8.8.8.8
と書く

[0269 名無しさん＠お腹いっぱい。 2009/12/09(水) 19:47:38]

普通にキャッシュサーバ立てれば
メモリ使いきることはないと思うけどなぁ。
>>263みたいなことやりたいの？

[0270 名無しさん＠お腹いっぱい。 2009/12/09(水) 20:42:51]

>>260
negative hit し続けることほど悲惨なものはないから普通はそういうことはしない

クライアントサイドの DNS lookup のトラフィックなんざ
Yahoo!Japan のトップページを一回開いたら吹き飛ぶような量でしかない

[0271 名無しさん＠お腹いっぱい。 2009/12/09(水) 20:55:20]

DNSとしてのトラフィックを減らしたいのです。
httpとの比較を言われても意味ありません。

今現在、どのDNSの名前解決をしているかを
(最初の1回を除いて)外部に漏らしたくないのです。

[0272 名無しさん＠お腹いっぱい。 2009/12/09(水) 20:59:02]

TTL切れたら再度聞きに行くのはアリ？

[0273 名無しさん＠お腹いっぱい。 2009/12/09(水) 21:00:15]

むしろTTLを無視して無限大にしたいと言う質問かと

[0274 名無しさん＠お腹いっぱい。 2009/12/09(水) 21:03:01]

>>273
そこをはっきり言わないんだよね。なぜか。

[0275 名無しさん＠お腹いっぱい。 2009/12/10(木) 00:57:08]

サーバが引っ越したらどうするつもりなんだろうね

[0276 名無しさん＠お腹いっぱい。 2009/12/10(木) 07:13:24]

>>275
デスクトップ用途なら毎日起動しなおすから、
DNSサーバーの移動のような長いスパンは考えなくていい。
たまたま起動中にどこかのDNSサーバーが移動した場合は
手動でキャッシュサーバーを再起動すればいいだけ。

[0277 名無しさん＠お腹いっぱい。 2009/12/10(木) 07:18:24]

どれが質問者かわからんな。
トリップつけてくれ。

[0278 名無しさん＠お腹いっぱい。 2009/12/10(木) 09:51:28]

>>276
アホか
変更される可能性が高いのはDNSサーバ以外の話だろ
動的IPアドレスに対応するレコードなら1日に何回も変わる場合がある

[0279 名無しさん＠お腹いっぱい。 2009/12/10(木) 09:58:42]

>>278
動的IPのサイトなんてアクセスしません。
あと、ラウンドロビンのサイトがあっても1つに固定して無問題。

[0280 名無しさん＠お腹いっぱい。 2009/12/10(木) 10:14:01]

BINDなんかやめてdjbdns使うのがおすすめ

[0281 名無しさん＠お腹いっぱい。 2009/12/10(木) 10:19:35]

>>280
でもTTL無視はできないよね。
何使うにしろ改造しないと無理じゃないかなぁ。

[0282 名無しさん＠お腹いっぱい。 2009/12/10(木) 21:45:38]

CDNでデータ供給しているサイトあてのアクセスとかはどうするつもり?
あれはかなり激しく向き先が変わるぞ

[0283 名無しさん＠お腹いっぱい。 2009/12/11(金) 09:07:58]

いまどきdjbdnsなんかおすすめすんな

[0284 名無しさん＠お腹いっぱい。 2009/12/11(金) 09:50:33]

>>283
なんで？

[0285 名無しさん＠お腹いっぱい。 2009/12/11(金) 15:23:08]

BIND使いならforwarders指定するのが良いんじゃない？
ttp://acapulco.dyndns.org/blog/2009/12/06/632

[0286 名無しさん＠お腹いっぱい。 2009/12/11(金) 15:29:37]

>>285
トラフィックは減らないんじゃない？

[0287 名無しさん＠お腹いっぱい。 2009/12/11(金) 15:51:32]

米Neustar、リアルタイムDNS更新を目指すイニシアティブを設立
http://internet.watch.impress.co.jp/docs/news/20091211_335219.html

DNSキャッシュを制御しよう! だそうで。
(いろいろとアタック系の別の問題が激しく起きそうな)

[0288 名無しさん＠お腹いっぱい。 2009/12/13(日) 17:19:44]

A-192-168-0-1.EXAMPLE.COMとかでAレコードひくと
192.168.0.1を返してくるDNSサーバを提供してるドメインってないですか？

[0289 名無しさん＠お腹いっぱい。 2009/12/13(日) 18:00:58]

>>288
何がしたいの。

[0290 名無しさん＠お腹いっぱい。 2009/12/13(日) 18:08:28]

echo '192.168.0.1 A-192-168-0-1.EXAMPLE.COM' >> /etc/hosts

[0291 名無しさん＠お腹いっぱい。 2009/12/13(日) 19:52:02]

>>290
ありがとう。今環境がないので月曜日に試してみます。

[0292 名無しさん＠お腹いっぱい。 2009/12/13(日) 22:44:23]

え、それでいいの！？

[0293 288 2009/12/14(月) 01:27:37]

>>289
スゴーク.長い.任意の.サブドメイン名.A-192-168-0-1.EXAMPLE.COM
という名前を、

>>290
自分の管理下にないホストにも参照させたい。

ということです。

Dynamic DNSサービスでシコシコ登録すればできるんですが、
そういうサービスないかなと思いました。

[0294 名無しさん＠お腹いっぱい。 2009/12/14(月) 10:39:36]

意味わからん。

[0295 名無しさん＠お腹いっぱい。 2009/12/14(月) 23:21:04]

>>293
リゾルバサーバを powerdns-recursor にすると、
ほかのゾーンから引いてきたリソースレコードに /etc/hosts (等任意のファイル)に
書いた内容をオーバーライドして返事をしてくれる。
ソフトウェア開発上の都合で fake resolver をつくらなければならないときにかなり便利。

[0296 名無しさん＠お腹いっぱい。 2009/12/25(金) 17:51:07]

Dec 25 17:35:03 localhost named[17732]: unexpected RCODE (REFUSED) resolving '54.244.149.89.in-addr.arpa/PTR/IN': 217.20.116.2#53
Dec 25 17:45:31 localhost named[17732]: unexpected RCODE (REFUSED) resolving '54.244.149.89.in-addr.arpa/PTR/IN': 217.20.115.2#53

こういうログが溢れてるんですけど、これって何何でしょうか?

[0297 名無しさん＠お腹いっぱい。 2009/12/25(金) 18:59:42]

何何でしょうか -> 何なのでしょうか

[0298 名無しさん＠お腹いっぱい。 2009/12/26(土) 01:30:21]

http://www.google.co.jp/search?rlz=1C1CHMA_jaJP357JP357&sourceid=chrome&ie=UTF-8&q=unexpected+RCODE+(REFUSED)+resolving

[0299 名無しさん＠お腹いっぱい。 2010/01/22(金) 06:16:34]

ちょいと質問させてください。
VPSサービスで鯖運用、DNSサーバにBindを使用しているのですが、
FreeDNSreport
ttp://thednsreport.com/
というサイトで、以下のようなWarningとErrorがでるのですが、何が原因でしょうか？
プライマリを自分のDNSサーバ、セカンダリをVPSサービス側で用意されたものを設定
HTTPもSMTPも特別問題なく動いているのですが、failで警告表示がでているので気になって・・・。
warnはいくつかのParentネームサーバであなたのドメインの解決はできないよって怒られていてるようなのですが。

warn Glue at parent nameservers
WARNING. The parent servers (I checked withd.dns.jp.) are not providing glue for all your nameservers.
This means that they are supplying the NS records (host.example.com), but not supplying the A records That may cause some extra miliseconds in DNS.
This will usually occur if your DNS servers are not in the same TLD as your domain

fail No NS A records at nameservers
Error: some servers does not provide A records for nameservers

At ***********.***** [***.***.***.***]　　←VPSで使用しているドメインとIP

No A record for *******.****　　←VPSサービス側で用意しているセカンダリDNS

[0300 名無しさん＠お腹いっぱい。 2010/01/22(金) 08:57:35]

公開サーバとして登録されていないサーバを指定してるんだろ。

[0301 名無しさん＠お腹いっぱい。 2010/01/22(金) 20:47:34]

ＬＩＮＵＸ系のＤＮＳの構築っていくら取れるんですか？
社内で別部署の偉い人から頼まれたんです。

報酬は「うちの余った予算で好きなもの買ってやる」、だそうです。

一応仮で立てまして、言われた条件は全てクリアはしたとは思っています。
社内からは４セグメント、２度ドメインＡＣＬ制限と全ホストの正逆引きＯＫ
セキュリティ(iptableでアクセス制限)とバックアップ(週一で社内サーバーに
sambaマウントでコピーするcron)
運用と保守に関してはその部署の女の子が担当だそうで。
直接config触ると多分泣いちゃうので(僕が)webminで設定変更を
可能に(イントラ、ＳＱＬ、webmin、日本語化)
サーバーの監視ソフト(nagios)と緊急用メールサーバー。
グローバルは４つ。うち一つは社外からの緊急保守用。

これっていくら取れます？
つーかこんなんでいいの？全部フリーなんですけど。
別会社名で通販を始めるそうで。
素材もフリー。色々ググッて構築なんですけど。

これ本当にいいの？良いなら一台いくら取れるの？

やめたほうがいいですかね？
いや世間なんてそんなモンだよですかね？

[0302 名無しさん＠お腹いっぱい。 2010/01/22(金) 20:57:33]

日本語でおｋ

[0303 名無しさん＠お腹いっぱい。 2010/01/22(金) 22:54:19]

フリーだからって知識がないと設定出来ないんだから金は取っていいよ

ただし設定間違えてアクセス出来なくなっても知らないよwww

損害賠償請求されたらもらった金全部返すくらいの覚悟は必要かな

責任負えるなら自信持って受ければ良いよ

[0304 名無しさん＠お腹いっぱい。 2010/01/22(金) 22:56:00]

余った予算全取りできるでしょう

[0305 名無しさん＠お腹いっぱい。 2010/01/23(土) 02:23:40]

社内で別部署って書いてるから自分とこの会社の中の話と思ってたんだが違うのか？
そんで、>>301が作ったやつを再販するからどのくらいの金額設定すればいいのか？という話に見えたんだが。

[0306 anon 2010/01/23(土) 07:40:06]

DNS勉強する前に日本語勉強しる

[0307 名無しさん＠お腹いっぱい。 2010/01/23(土) 16:10:09]

>>300
うーん、いまいち理解できません・・・。馬鹿で申し訳ない。
VPSサービス側が用意したセカンダリDNSが公開サーバとして登録されていないって
ことでしょうか？　そもそも登録とはいかに・・・？
勉強不足なのはわかっておりますので、答えとは言いませんがヒントだけでも。

[0308 名無しさん＠お腹いっぱい。 2010/01/23(土) 16:19:19]

知ってるがおまえには教えない（AA略

[0309 名無しさん＠お腹いっぱい。 2010/01/23(土) 16:37:36]

>>308 ×　正しくは…
○　知らないから教えられない

[0310 名無しさん＠お腹いっぱい。 2010/01/23(土) 16:48:45]

>>307
"DNS グルー" でググれ

[0311 名無しさん＠お腹いっぱい。 2010/01/23(土) 18:13:13]

>>309
煽っても何も出ませんよ

[0312 名無しさん＠お腹いっぱい。 2010/01/23(土) 22:40:05]

>>311
被害妄想すぎる

[0313 名無しさん＠お腹いっぱい。 2010/01/25(月) 04:37:59]

WEBでドメインが弾けない場合にOpenDNSみたいに独自のエラー画面出すにはどうしたらいい？

[0314 名無しさん＠お腹いっぱい。 2010/01/26(火) 00:23:37]

>>313
好きなの選べ
・DNSサーバを細工する
・OSのリゾルバを細工する
・ブラウザを細工する

[0315 名無しさん＠お腹いっぱい。 2010/01/26(火) 07:15:26]

>>313
・ドメインが弾けた→（はじけた=拒否）→見せないぜｻﾞﾏｰﾐﾛ
・ドメインが弾けなかった→（はじけなかった）→エラー画面出すぜｻﾞﾏｰﾐﾛ
こうですね？

[0316 名無しさん＠お腹いっぱい。 2010/01/26(火) 22:59:31]

>>301
工数としてどれだけ計上して部門間請求していいかという話?
かかった時間に一定の係数かけて計上しなよ。
作業するのも時間ゼロじゃないんだからきっちり請求あげろ。

[0317 名無しさん＠お腹いっぱい。 2010/01/30(土) 03:08:18]

>>316
301です。
今日偉い人同士話し合いで２０万現金で付け替えで決着していました。
んで知らない間に本体も稼動していました。
全支店用のセカンダリーとしても使っていくんだそうで。
仕様書書くのが超面倒くさい

ありがとうございました

[0318 名無しさん＠お腹いっぱい。 2010/01/30(土) 16:40:53]

仕様書代も含まれちゃってるのか。追加で費用もらうべきだなあぁ。

[0319 名無しさん＠お腹いっぱい。 2010/01/31(日) 10:18:31]

この後でサポート要請が際限なく来たりして。
レコード追加したくなる度に依頼が来るとか、PC不調になるたびに
念のため見てくれとか話が来るとか。

[0320 名無しさん＠お腹いっぱい。 2010/01/31(日) 16:53:58]

昔お客さんから「PCから変な音がするから来てくれ」って言われて
一時間掛けて逝って見たらキーボードの上に物が載ってただけだった

[0321 名無しさん＠お腹いっぱい。 2010/02/23(火) 15:55:48]

DNSサーバを2台立てて
A-DNSはA-WEBのアドレスを返す
B-DNSはB-WEBのアドレスを返す
なんてことはやっていいことですか。

[0322 名無しさん＠お腹いっぱい。 2010/02/23(火) 15:57:46]

googleのDNSはgoogleのアドレスを返して、
yahooのDNSはyahooのアドレスを返してるけど何か問題でも？

[0323 321 2010/02/23(火) 16:23:25]

A-DNSとA-WEB、B-DNSとB-WEBはそれぞれ同じVMサーバー内で動いています。
どちらかのVMが死んでも、もう片方で運用できるかを考えています。
A-WEBとB-WEBの中身は定期的に同期させています。

[0324 名無しさん＠お腹いっぱい。 2010/02/23(火) 17:12:32]

NameServerのスレで何を聞いているんだ？

[0325 名無しさん＠お腹いっぱい。 2010/02/23(火) 17:13:17]

考えるんじゃなくて、本を読もう。バッタ本とか。
DNSの基本的な理解がまったく足りてない。

[0326 321 2010/02/23(火) 17:33:44]

DNSサーバの立て方とかは本にあるんですが、
>>321
のような運用をしていいのかいけないのかが分からないのです。
ゾーンの内容は必ず同期させないといけないのですか？

[0327 名無しさん＠お腹いっぱい。 2010/02/23(火) 17:39:48]

そういう基本を書かずに設定ファイルの書き方だけしか載ってないような本なら捨てろ

[0328 名無しさん＠お腹いっぱい。 2010/02/23(火) 18:07:45]

同期させないとしても君の目的は満たせない。

[0329 名無しさん＠お腹いっぱい。 2010/02/23(火) 21:46:05]

>>326
AkamaiのDNSサービスを買うといいよ

[0330 名無しさん＠お腹いっぱい。 2010/02/23(火) 23:48:40]

>>321
マジレスすると、何をやりたいかがその文面からは読み取れない。

　上位のDNSに、そのドメインのNSレコードをA-DNSとB-DNSに
　しているってこと？
　
　ま、普通にLB使うことを勧める

[0331 321 2010/02/24(水) 10:16:49]

LBはロードバランサですね。
例えばDNS、サーバがある所がまるごと、大げさに言って建物全体が
停電とかルータが壊れたという事態になったときに、
あらかじめ同じ構成を離れた場所に作っておいて、そちらに向ける
ってことをしたいのです。
そんな場合でもLBは使えますか？

[0332 名無しさん＠お腹いっぱい。 2010/02/24(水) 10:18:46]

そんな重要なサーバなら
ちゃんとお金かけてSIerに相談すべき。

[0333 321 2010/02/24(水) 10:37:14]

サーバが重要かどうかは問題ではありません。
お金が掛けるとか掛けないかってことでもないです。
方法が可能なのかってことが知りたいのです。

[0334 名無しさん＠お腹いっぱい。 2010/02/24(水) 10:55:24]

>>331
GSLB

[0335 たう 2010/02/24(水) 12:49:04]

>>333
そういう設定をすることはできるが、思惑どおりには動かない。
に一票。

[0336 321 2010/02/24(水) 13:05:51]

一度名前解決ができてキャッシュが利いているなら無理ですが、
そうではないクライアントが接続するのに、一方がすべて死んでいたなら、
他方のDNSとその名前解決で接続出来そうな気がしたのですが、
実際はそうではないのですね。

[0337 名無しさん＠お腹いっぱい。 2010/02/24(水) 13:11:58]

試しにやってみたら

[0338 名無しさん＠お腹いっぱい。 2010/02/24(水) 14:13:27]

>>321
ロードバランサーが壊れたらどうするの？とか考えていくと究極的にはAS取ってBGP喋る話になる。
いずれにせよこのスレのネタじゃぁない

[0339 名無しさん＠お腹いっぱい。 2010/02/24(水) 20:01:32]

>>321
君がかんがえているより世の中はよっぽど発達している。


　アカマイなり、GSLBなり。

[0340 名無しさん＠お腹いっぱい。 2010/02/25(木) 02:16:44]

お手軽ロードバランシングならDNS使うよりIPVS+keepalivedおすすめ。スレチだけど。

[0341 名無しさん＠お腹いっぱい。 2010/02/25(木) 07:24:15]

この板的にはpfのround - robinと言って欲しいところ
LVS+keepalivedほどの機能はないがその場にあるものを使える点でずっとお手軽

[0342 名無しさん＠お腹いっぱい。 2010/03/05(金) 15:56:42]

自宅鯖の質問スレに投下した馬鹿がいたので本人が仰るとおり無断転載しとくw
http://pc11.2ch.net/test/read.cgi/mysv/1260157258/614-619　が前置き


628 名前：615[sage] 投稿日：2010/03/05(金) 13:42:31 ID:???
シカトされるかと思ってたんですが
テスターしてもいいって人が1人はおられて、ひと安心・・・

なんで、昨晩がんばってホームページぽい説明ページを作りました。
今朝がたドメインも買い直しました。

日本語.jpを買ってあったんですが、nslookup が日本語に対応してなくて
代わりに xn--〜 と書かなくてはいけないことに買った後で発覚・・・

http://cc.wariate.jp/
です
cc は カントリーコードの略で、割り当てカントリーコード、って意味で付けました

スレチでしたら、ヨソへ無断転載いただいて構いません

[0343 名無しさん＠お腹いっぱい。 2010/04/12(月) 21:17:30]

すみません。誰か教えてください。
DNSSECの勉強中ですが、1つのドメインに対して複数のZSK公開鍵のDNSKEYレコードを
登録する理由は何でしょうか？

dig @localhost se. dnskey +dnssec
を実行すると複数出てきます。
seドメインのzsk公開鍵は１つで十分ではないでしょうか？

[0344 名無しさん＠お腹いっぱい。 2010/04/12(月) 21:42:09]

WEPキーが4つ入力できる理由と同じのはず

[0345 名無しさん＠お腹いっぱい。 2010/04/14(水) 22:52:20]

bind9.5でのloggingの設定について教えてください。

dns&bind5版やサイトでは、
logging {
channel "チャネル名" {
file "出力ファイル名";
severity dynamic;
　　};
category default {"チャネル名";};
};
を設定すれば、すべてのログがファイルに出力されると書いていましたが、
実際設定したところ、すべてでもなくまたsyslog(から/var/log/messagesへ)
にも出力されていました。
面倒でも、すべてのカテゴリに対して、
category カテゴリ {"チャネル名";};
を追加したらファイルへすべて出力され、syslogへの出力もなくなりました。

これって、本やサイトの説明が間違っているのでしょうか？

[0346 名無しさん＠お腹いっぱい。 2010/04/14(水) 23:08:15]

デフォルトでsyslogに出すチャネルが存在して、
そのチャネルと同じ名前でsyslog以外に出すように
上書きしてない？

[0347 名無しさん＠お腹いっぱい。 2010/04/17(土) 01:24:00]

>>346
named.confでデフォルトで書かれていた設定は以下の通りです（現在はコメントアウト）
#logging {
# channel default_debug {
# file "data/named.run";
# severity dynamic;
# };
#};

[0348 名無しさん＠お腹いっぱい。 2010/04/17(土) 01:37:53]

pv6対応のdns構築中なんですが、ループバックアドレス(::1)に対する逆引きだけが
どーしてもうまくいきません。　
一応設定は、KDDIのＨＰを参考にしました。
ttp://www.kddi.com/business/customer/internet/powered/dns_ipv6.html

現在の設定は、
vi named.conf
zone "0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.ip6.arpa" IN {
type master;
file "zonefile/localhostv6.rev";
};

vi zonefile/localhostv6.rev
$TTL 1D
@ IN SOA nssv1.example.jp. root.example.jp.(
2010033002 ; serial
6H ; refresh
1H ; retry
1W ; expire
900 ) ; minimum
;
NS localhost.
;
1 PTR localhost.

[0349 348のつづき 2010/04/17(土) 01:42:23]

# dig @localhost -x ::1 ptr +norec
;; flags: qr aa ra; QUERY: 1, ANSWER: 0, AUTHORITY: 1, ADDITIONAL: 0
;; QUESTION SECTION:
;1.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.ip6.arpa. IN PTR

;; AUTHORITY SECTION:
1.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.ip6.arpa. 86400 IN SOA 1.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.ip6.arpa. . 0 28800 7200 604800 86400

flagsにaaがあることと、authority sectionのSOAレコードから、
自サーバ内の別の設定ファイルを見ているようなんですが、どうしてもその理由が分かりません。
同じzonefile内に置いているIPv4のループバック、グローバルの逆引き、正引き、IPv6のグローバルの逆引きは
正常に応答できています。

[0350 名無しさん＠お腹いっぱい。 2010/04/17(土) 01:56:36]

>>349
BINDのバージョンくらい書け
そして disable-empty-zone でググれ

[0351 名無しさん＠お腹いっぱい。 2010/04/17(土) 03:33:08]

>>350
ツンデレ回答乙でした。直りました。
disable-empty-zone〜の3行追加しただけです。
ちなみに fedora9 BIND 9.5.0b2 です。
ググッたら、named.confにデフォルトで書かれているようでしたが、
自分のnamed.confにはありませんでした。

昔のログには、
automatic empty zone: 1.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.IP6.ARPA
というものが出ていました。

[0352 名無しさん＠お腹いっぱい。 2010/04/30(金) 23:59:01]

助けてください！
汎用JPのdnsを書き換える方法ありませんか？
Aレコード？、CNAME？全て消えてしまいました。
サーバーへ向いていません。
今すぐ書き換えたいです！
または、別のアドレスに転送でも良いです。
ほぼ素人ですが、どなたかよろしくお願いします。

[0353 名無しさん＠お腹いっぱい。 2010/05/01(土) 05:48:40]

>>352
意味不明なんだが、ドメイン更新してなくて削除されたとか。

[0354 名無しさん＠お腹いっぱい。 2010/05/01(土) 05:58:59]

なんで DNS の仕組みそのものを理解しないで bind とか設定しようとしてる訳？
にわかネットベンチャーの社員か？

[0355 名無しさん＠お腹いっぱい。 2010/05/08(土) 12:26:40]

自宅サーバのcentOS5.4にbindをインストールしようと思っています。
その前に、bindというかdnsの機能を確認したいんですが、

クライアントからurlのリクエストが来る
対応するIPアドレスをdnsが返す
クライアントがそのIPアドレスに接続する
ブラウザで表示

って流れですよね？
てことは固定のグローバルIPアドレスとドメインをを持ってなければ
dnsインストールしても意味がないんでしょうか？

こんなボケた質問するのにdnsを入れようと言うのは、単にlinuxの設定本に
書いてあることを全部やってみようという理由と、
postfixでのメール送信にかかわりがあるらしいからという理由です。

初心者質問ですみませんが、お願いします。

[0356 名無しさん＠お腹いっぱい。 2010/05/08(土) 12:31:42]

>>355
そういう質問をする時は、OSもバージョンも関係ないんだから、
CentOSとかLinuxとかのキーワードは伏せて質問しないと叩かれるよ

[0357 ななし 2010/05/08(土) 15:23:10]

>>355
閉じた環境で試す分には意味ある。
がんばれ。

[0358 名無しさん＠お腹いっぱい。 2010/05/09(日) 03:49:26]

>てことは固定のグローバルIPアドレスとドメインをを持ってなければ
>dnsインストールしても意味がないんでしょうか？

なんでそう思ったの？

[0359 名無しさん＠お腹いっぱい。 2010/05/09(日) 06:00:41]

Archivo resolv conf
http://www.ajaxman.net/wp-content/uploads/2008/09/resolvconf.jpeg
resolv conf ?rne?i
http://www19.atpages.jp/imagelinkget/get.php?t=v&u=www.archlinuxtr.org/kurulum/images/kurulum026.png
kuro 09 png
http://www2.wapres.org/kuro-box/img/kuro_09.png
図3　 nameserver という文字列を含むファイルの検索
http://image.gihyo.co.jp/assets/images/admin/serial/01/ubuntu-recipe/0024/thumb/TH400_0024-03.png
netconfig wbel331 png
http://www.obenri.com/_minset_wbel3/image/netconfig_wbel331.png

[0360 名無しさん＠お腹いっぱい。 2010/05/10(月) 15:30:08]

http://www.ajaxman.net/wp-content/uploads/2008/09/resolvconf.jpeg
http://www.archlinuxtr.org/kurulum/images/kurulum026.png
http://www19.atpages.jp/imagelinkget/get.php?t=v&u=www2.wapres.org/kuro-box/img/kuro_09.png

[0361 名無しさん＠お腹いっぱい。 2010/05/10(月) 21:56:43]

>>356,357
お礼遅れました、ありがとうございます
>>358
勘違いしてました。今はローカル向けで設定の勉強してます

すみませんさらに追加の質問させてください。
今bind9で設定していて、ローカルIPの192.168.0.10にdns(bind)とhttpd, postfixその他サーバを入れています。
で、逆引き設定したのですがnslookupの検証でうまくいきません。

　> 192.168.0.10
　Server: 192.168.0.10
　Address: 192.168.0.10#53
　*** Can't find 10.0.168.192.in-addr.arpa.: No answer
というエラーが出てしまいます。

該当のゾーン設定ファイルは以下の通りです。
　$TTL 86400
　0.168.192.in-addr.arpa. IN SOA ns.sample.co.jp. root.sample.co.jp. (
　 2010050802 ;Serial
　 7200 ;Refresh
　 3600 ;Retry
　 604800 ;Expire
　 3600 ;Minimum TTL
　)
　 IN NS ns.sample.co.jp.
　10 IN PTR ns.sample.co.jp.

どこに原因があるのでしょうか？
環境の説明はもう少し続きます（次のレスへ）

[0362 名無しさん＠お腹いっぱい。 2010/05/10(月) 22:08:47]

named-checkzoneとnamed-checkconfを活用せよ。

[0363 361 続き 2010/05/10(月) 22:22:11]

補足１）named.confでの正引き用、逆引き用ゾーン設定は以下の通りです
　 zone "sample.co.jp"{
　 type master;
　 file "sample.co.jp.db";
　 allow-transfer{none;};/*転送許可するスレーブサーバ*/
　 };
　 zone "0.168.192.in-addr.arpa" {
　 type master;
　 file "0.168.192.in-addr.arpa.db";
　 allow-transfer {none;};
　 };
　※named-checkconfコマンドでエラーは表示されません。

補足２）nslookupでの検証では、正引きは正常に返ります（以下の通り）
　> www.sample.co.jp
　Server: 192.168.0.10
　Address: 192.168.0.10#53
　www.sample.co.jp canonical name = ns.sample.co.jp.
　Name: ns.sample.co.jp
　Address: 192.168.0.10

補足３）また、同一ローカルネットワーク上の他マシンのfirefoxでwww.sample.co.jpをブラウジングしようとすると
「www.sample.co.jp という名前のサーバが見つかりませんでした。」とエラーになります。
※実は、このドメインはインターネット上に実在してて、アクセスできるはずのものです

補足４）このbindの設定以前に、内部ネットワークのマシン（macとwin）には、192.168.0.10またはwww.hogehoge.comに
ブラウズすると、サーバ（192.168.0.10）のapache中のサイト（www.hogehoge.com）が見えるよう設定してあります。

不要な情報や補足があるかもしれませんが、関係しているのかなと思われたことを書かせていただきました。
どうして逆引きがエラーになるのか、また www.sample.co.jpへのブラウジングがなぜ失敗するのか
説明いただけたらうれしいです。長くてすみません、よろしくお願いします。

[0364 名無しさん＠お腹いっぱい。 2010/05/10(月) 23:20:54]

前提条件がさっぱりわからん。
sample.co.jpはインターネット上のサイトなの？LAN上なの？
www.hogehoge.comはどうやって名前解決してたの？
コンテンツサーバとキャッシュサーバの違いは理解してる？

[0365 名無しさん＠お腹いっぱい。 2010/05/10(月) 23:26:46]

質問者のレベルをみるとオライリー「DNS&BIND」を10回くらい読んで
DNSの仕組みを理解してからDNSに手を付けた方がいい気がする。

[0366 名無しさん＠お腹いっぱい。 2010/05/10(月) 23:41:30]

>>364
すみません。sample.co.jpは、本当は（本に書いてある通りだと）www.itboost.co.jpです
このドメインを取得したと言う仮の前提でやっているんですが、これってこの本を書いた会社のドメインなので
www.itboost.co.jpにアクセスすれば表示されるはずなんです（ブラウザで）
今は192.168.0.10のネームサーバでこのドメインへのIPアドレス設定をしてるけど、
まだ対応するwebサイトを設定してないから接続エラーなんでしょうか？　すみません。

あと、質問する場所間違えたのがあるんですが、コピペします。

＞bindのゾーンファイルを検証する、named-checkzoneがうまく動きません
＞以下のようになります。
＞[root@localhost named]# named-checkzone itboost.co.jp.db
＞usage: named-checkzone [-djqvD] [-c class] [-o output] [-t directory] [-w directory] [-k (ignore|warn|fail)] [-n (ignore|warn|fail)] zonename filename
＞何が原因なのでしょうか？
＞現在の階層でls -laすると
＞-rw-r----- 1 root named 270 5月 9 21:36 itboost.co.jp.db
＞があるのは確認できます。

これはなぜでしょうか？

>>365
すみません、いろんなサイトや本で読んでるんですが、どうもよくわからないです…

[0367 名無しさん＠お腹いっぱい。 2010/05/10(月) 23:45:51]

sample.co.jp も www.hogehoge.com も実在するので注意。

[0368 名無しさん＠お腹いっぱい。 2010/05/10(月) 23:57:49]

www.itboost.co.jpって引くたびに応答が違うのでちょっと調べてみたら、
ns.itboost.co.jpとdns2.itboost.co.jpはwww.itboost.co.jpのAレコードを返さない。
こんな最低な設定をしてる会社の本を信用しちゃダメ。
素直にオライリー本を買いなさい。

[0369 366 2010/05/11(火) 00:00:51]

上の投稿の named-checkzoneの質問は解決しました
お騒がせしました
関連のゾーンファイルへのnamed-checkzoneはどれもOKでした

なんで逆引きがうまくいかないのかな

[0370 名無しさん＠お腹いっぱい。 2010/05/11(火) 00:08:57]

dns.tk.itboost.co.jpしかwww.itboost.co.jp答えてくれないね
TTLも300秒ばっか、DDNSで運用してるのかな？

[0371 名無しさん＠お腹いっぱい。 2010/05/11(火) 00:15:59]

>>369
named-checkconfを-zオプション付きで走らせてみた？

[0372 名無しさん＠お腹いっぱい。 2010/05/11(火) 01:10:40]

まず、設定したサーバ上で、ゾーン自体の確認してみたら？

$ dig @127.0.0.1 0.168.192.in-addr.arpa. SOA +norec

NOERRORでANSWER SECTIONに設定したSOAレコードが確認できる？
SERVFAILとかなら、ゾーン自体ダメだと思う。

[0373 366 2010/05/11(火) 07:15:27]

>>371,372
ありがとうございます、それぞれこうなりました。
[root@localhost named]# named-checkconf -z
zone localdomain/IN: loaded serial 42
zone localhost/IN: loaded serial 42
zone 0.0.127.in-addr.arpa/IN: loaded serial 1997022700
zone 0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.ip6.arpa/IN: loaded serial 1997022700
zone 255.in-addr.arpa/IN: loaded serial 42
zone 0.in-addr.arpa/IN: loaded serial 42
zone itboost.co.jp/IN: loaded serial 2010050901
zone 0.168.192.in-addr.arpa/IN: loaded serial 2010050802
zone 10.0.168.192.in-addr.arpa/IN: loaded serial 2010050802
zone itboost.co.jp/IN: loaded serial 2010050901
zone 0.168.192.in-addr.arpa/IN: loaded serial 2010050802

[root@localhost named]# dig @127.0.0.1.0.168.0192.in-addr.arpa.SOA +norec
dig: couldn't get address for '127.0.0.1.0.168.0192.in-addr.arpa.SOA': failure

digの方はおかしいですね、なんでだろう


あと、ローカルのゾーン設定用にaclを以下のように設定したところ
acl "localnets"{
192.168.0.0/24;
127.0.0.1;
};
/etc/named.conf:24: attempt to redefine builtin acl 'localnets'
と警告が出ました。既に定義済みのものを再定義してるってことだと思いますが
どこで既に定義してるんでしょうか？　named.conf中には見つからなかったんですが…

[0374 名無しさん＠お腹いっぱい。 2010/05/11(火) 07:32:29]

> zone itboost.co.jp/IN: loaded serial 2010050901
> zone 0.168.192.in-addr.arpa/IN: loaded serial 2010050802

2回ずつ読まれてる。

> zone 10.0.168.192.in-addr.arpa/IN: loaded serial 2010050802

いいの？

> [root@localhost named]# dig @127.0.0.1.0.168.0192.in-addr.arpa.SOA +norec

digの使い方間違えてる。man嫁。

[0375 名無しさん＠お腹いっぱい。 2010/05/11(火) 11:11:48]

>>373
"builtin" acl 'localnets'
たしかbindしたインターフェースに振られたアドレスあたりは
自動でこのaclに定義されてる。

[0376 名無しさん＠お腹いっぱい。 2010/05/11(火) 17:52:19]

>>377
127.0.0.1 と 0.168.192.in-addr.arpaの間はスペース入れれ。

そもそも
＞zone itboost.co.jp/IN: loaded serial 2010050901
＞zone 0.168.192.in-addr.arpa/IN: loaded serial 2010050802
＞zone 10.0.168.192.in-addr.arpa/IN: loaded serial 2010050802
＞zone itboost.co.jp/IN: loaded serial 2010050901
＞zone 0.168.192.in-addr.arpa/IN: loaded serial 2010050802

同じゾーンが出てるぞ。named.conf内で同じゾーンファイルで
複数回ゾーン設定しちゃってるんじゃない？

[0377 名無しさん＠お腹いっぱい。 2010/05/11(火) 20:38:13]

ITBoostが運営してるっぽいSTACK*とかいうサイトもDNSの設定が腐ってるな…

[0378 名無しさん＠お腹いっぱい。 2010/05/11(火) 22:19:23]

NSのうち片方のDNS、co.jpをjpに変えたんだろうけど、NS変えるの忘れてるな。
元のドメインは放棄しているみたいだからやろうと思えば簡単に乗っ取れそう。
JPNICが気をつけろ、と必死に宣伝してるのにこの有様。

[0379 366 2010/05/11(火) 23:23:00]

皆さん詳しいですね。本当にありがとうございます。
以前買ったbindの本があるの思い出したので、皆さんの回答とあわせて読み直してます。

>>376
うっかりしてました、ありがとう。やり直したらこうなりました。
[root@localhost named]# dig @127.0.0.1 0.168.0192.in-addr.arpa.SOA
; <<>> DiG 9.3.6-P1-RedHat-9.3.6-4.P1.el5_4.2 <<>> @127.0.0.1 0.168.0192.in-addr.arpa.SOA
; (1 server found)
;; global options: printcmd
;; connection timed out; no servers could be reached


複数回ゾーン設定してるんじゃないかという件ですが、してました。
view "localhost_resolver"{}とview "internal"{}の中で同じものを設定していました。
本の説明では、DNS自身とローカルネットワーク上のwinから確認するためにそうすると
書いてあります。
調べたら、多分ここの設定と同じかな。問題あるんでしょうか？（読んで勉強し直します。）
ttp://d.hatena.ne.jp/japanrock_pg/20090723/1248359871

bind難しいですね…　ほんとお世話になります、すみません

[0380 名無しさん＠お腹いっぱい。 2010/05/12(水) 00:37:51]

>>379

viewごとの細かい設定とかが必要ないんなら、
まずはview無しで単純に書いてみたら？

[0381 名無しさん＠お腹いっぱい。 2010/05/13(木) 18:59:03]

BINDが入ってるローカル鯖で
[root@localhost named]# dig @127.0.0.1 0.168.0192.in-addr.arpa.SOA
を実行したところ、以下の結果が出ました。
これは逆引き設定がうまくいってると考えて良いのでしょうか？
NXDOMAINというのが気になるんですが
（ドメインを指定した正引きの場合、問題なのはわかるんですが）

; <<>> DiG 9.3.6-P1-RedHat-9.3.6-4.P1.el5_4.2 <<>> @127.0.0.1 0.168.192.in-addr.arpa.SOA +norec
; (1 server found)
;; global options: printcmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NXDOMAIN, id: 25808
;; flags: qr ra; QUERY: 1, ANSWER: 0, AUTHORITY: 1, ADDITIONAL: 0
;; QUESTION SECTION:
;0.168.192.in-addr.arpa.SOA. IN A
;; AUTHORITY SECTION:
. 9796 IN SOA a.root-servers.net. nstld.verisign-grs.com. 2010051201 1800 900 604800 86400
;; Query time: 0 msec
;; SERVER: 127.0.0.1#53(127.0.0.1)
;; WHEN: Thu May 13 02:55:54 2010
;; MSG SIZE rcvd: 119

[0382 名無しさん＠お腹いっぱい。 2010/05/13(木) 20:26:36]

>>381
in-addr.arpa. とSOAの間にスペースを
dig @127.0.0.1 0.168.192.in-addr.arpa. SOA

[0383 名無しさん＠お腹いっぱい。 2010/05/13(木) 20:43:56]

>>382
うまくいきました！　ありがとうございました

[0384 名無しさん＠お腹いっぱい。 2010/05/17(月) 07:56:17]

動けばいい、っていうんじゃなくて、動作の理解をしなさいよ。

[0385 名無しさん＠お腹いっぱい。 2010/06/01(火) 04:35:23]

unboundでGoogle Public DNS使おうと思って、

forward-zone:
name: "."
forward-addr: 8.8.8.8
forward-addr: 8.8.4.4

を設定したけれど、解決できないドメインがある

# drill example.com @127.0.0.1
だと解決できないが、
# drill example.com @8.8.8.8
とすると解決できる。

恐らくウチの環境(or設定)が悪いだけ、と思ってるけれど、
解決できるドメインもあるので原因が分からない・・

[0386 名無しさん＠お腹いっぱい。 2010/06/01(火) 11:01:16]

>>385
そのドメインの設定が腐ってる可能性もあると思うよ。

[0387 名無しさん＠お腹いっぱい。 2010/06/01(火) 23:53:10]

>>368みたいな腐った設定はゴマンとあるしな
stack*は相変わらずlameっぽ

[0388 名無しさん＠お腹いっぱい。 2010/06/02(水) 00:26:34]

>>385
日本でGooglePublicDNS使うとAkamai他のCDN関係を全部日本以外に転送されてしまうから
ウェブブラウズなどが遅くなるだけでうれしいことはなにもないぞ。OpenDNSでも同様。

あれを日本から使ってうれしいのは「自組織以外からDNS参照をおこなったらどうみえるか」を
手軽に検証できることだけ。

[0389 名無しさん＠お腹いっぱい。 2010/06/02(水) 00:47:16]

>>388
1月末に提案されたドラフトは01になったね。
ttp://tools.ietf.org/id/draft-vandergaast-edns-client-ip-01.txt

検証目的であればここも便利
ttp://www.dns-oarc.net/oarc/services/odvr

[0390 名無しさん＠お腹いっぱい。 2010/06/11(金) 00:51:08]

BINDの動的なインターフェースなどのアドレスを一定時間毎に動的にListenする機能って
rootで動かしていないとうまく機能しないのかな？

[0391 名無しさん＠お腹いっぱい。 2010/06/11(金) 01:18:10]

0.0.0.0:53にbindしていただくという方法での回避はできなかったから
やっぱりrootで動かすしかないかなぁ。

[0392 名無しさん＠お腹いっぱい。 2010/06/11(金) 03:05:30]

>>390
リファレンスのinterface-intervalの項目に制約は書かれていないけど駄目？
DebianではPPPのup時にrndc reconfigで回避してる。

[0393 名無しさん＠お腹いっぱい。 2010/06/15(火) 03:17:52]

>>392
ありがとうございます。
reconfigでもやっぱりpermission deniedという理由でbindさせてもらえてませんでした。
restartしてしまえばいいのかな？コストがアレですけど。

[0394 名無しさん＠お腹いっぱい。 2010/06/16(水) 20:49:00]

この板のスーパーハカー様方に質問です。

hamusoku.com. IN NS ns1.domain.livedoor.com
IN NS ns1.domain.livedoor.com
IN CNAME blog-01.livedoor.jp

これってRFC違反だと思うのですがどうでしょう。
ちなみにWIN2008R2のDNSサーバだとエラーになって引けません。
最近のBINDではどうですか？

[0395 名無しさん＠お腹いっぱい。 2010/06/16(水) 21:07:18]

>>394
これいかんね。
http://bonz.squares.net/~dais/misc/rfc1912j.html#cname

[0396 名無しさん＠お腹いっぱい。 2010/06/16(水) 21:20:58]

おかしいね。
とりあえず bind 9.6.1-P1 と unbound 1.4.3 では引けちゃったけど、
エラーにするキャッシュ DNS があったとしても不思議ではない。

ただ、bind ならこういう腐ったゾーンはエラーにして読み込まなかったような。
……と思ったら、なんか nsd っぽいなぁ。
nsd って bind よりゾーンファイルのバリデーションが緩いんだよなぁ。

[0397 名無しさん＠お腹いっぱい。 2010/06/16(水) 22:14:21]

394です。
ありがとうございます。
ライブドアにこんなん引けねーよと言ってみたのですが
「問題を認識できません」て返されました。
こういうお馬鹿さんはどうすればいいんでしょうね。

[0398 名無しさん＠お腹いっぱい。 2010/06/17(木) 00:28:12]

相手にするおまえがおバカさんだ
日本はこういう国になっちまったんだ諦めろもう終わり

[0399 名無しさん＠お腹いっぱい。 2010/06/17(木) 09:40:04]

DNSOPSあたりで話題に出せば誰か反応するかも。

[0400 名無しさん＠お腹いっぱい。 2010/06/17(木) 12:28:36]

TwitterでLivedoorの技術系の中の人に直接つっこんでみるとか

[0401 名無しさん＠お腹いっぱい。 2010/06/18(金) 00:07:12]

>>400

俺もそう思った。
サポートに言っても障害として検知していない状態で、類似のクレームも
他になければ取り合わなさそう。

[0402 名無しさん＠お腹いっぱい。 2010/06/18(金) 03:58:34]

>>399
参加者あまり多くないんじゃない？
空気読まずにjanogとか(w

>>401
国税庁の時も全く返事が来なくて、忘れたころにこっそり直してたな。

[0403 名無しさん＠お腹いっぱい。 2010/06/18(金) 20:04:56]

>>402
DNSOPSをsubscribeしているひとはJANOGもsubscribeしてるだろう

[0404 名無しさん＠お腹いっぱい。 2010/06/21(月) 08:14:22]

JANOGに投げて空気変えてほしいな。

[0405 名無しさん＠お腹いっぱい。 2010/07/01(木) 12:35:08]

るーと更新おめでとう!!
　　　　　　　　　　.o゜*。o
　　　　　　　　　／⌒ヽ*゜*
　　　∧_∧　／ヽ 　 　）｡*o　　ｯﾊﾟ
　 　 (・ω・)丿゛￣￣' ゜
.　 ノ/　 /
　　ノ￣ゝ

[0406 名無しさん＠お腹いっぱい。 2010/07/01(木) 21:37:27]

windowsでもdjbdns使いたいのだが駄目かな

[0407 名無しさん＠お腹いっぱい。 2010/07/01(木) 23:38:26]

>>406
変態

[0408 名無しさん＠お腹いっぱい。 2010/07/02(金) 02:23:48]

>>406
変態だな……。

[0409 名無しさん＠お腹いっぱい。 2010/07/03(土) 00:47:26]

>>406
DJ本人乙

[0410 名無しさん＠お腹いっぱい。 2010/07/03(土) 21:09:28]

愛が感じられるような

[0411 名無しさん＠お腹いっぱい。 2010/07/16(金) 23:29:13]

ルートサーバーがDNSSEC対応したらしいが、
お主らのキャッシュサーバーは対応やった？

[0412 名無しさん＠お腹いっぱい。 2010/07/17(土) 10:25:37]

>>411
うちのはBIND9.6系でトラストアンカーの自動更新は未対応っぽいから
しばらく様子見かな。鍵はどのくらいの間隔で更新されるの？

[0413 名無しさん＠お腹いっぱい。 2010/07/17(土) 11:58:15]

bindは9.7じゃないとsha-2が使えないから、9.6だとそっちが引っかかる。

[0414 名無しさん＠お腹いっぱい。 2010/07/17(土) 12:10:42]

http://www.iepg.org/2009-11-ietf76/rootsign-ietf76-iepg.pdf
によりますと
KSKは2〜5年ごと
ZSKは年4回
だそうですが。

[0415 名無しさん＠お腹いっぱい。 2010/07/17(土) 18:17:22]

>>413
そこは気になったけど、9.6.2rc1で9.7からバックポートされたので問題ないよね？
ttp://lists.isc.org/pipermail/bind-announce/2010-February/000621.html

[0416 名無しさん＠お腹いっぱい。 2010/07/17(土) 18:32:19]

>>414
それなら導入しても大丈夫そうだな。
KSK変わるときはニュースになりそうですし。

ところで、現時点でルートゾーンは署名されたけど、
既にDNSSEC導入済みのTLDへの署名はまだだよね？

これは次のセレモニー以降でZSKの更新の際に行われるのかな。
スケジュールでてる？

[0417 anonymous 2010/07/17(土) 21:49:33]

いくつかのccTLDにDSが入っています。

[0418 名無しさん＠お腹いっぱい。 2010/07/17(土) 22:40:06]

>>417
確かに8個ほど入ってた。.CATなんてあったんだ。
http://www.root-dnssec.org/faq/
dig . AXFR @xfr.lax.dns.icann.org

自ドメインが検証できるようになるまではまだ時間がかかりそうだ。

[0419 名無しさん＠お腹いっぱい。 2010/07/18(日) 00:05:24]

設定方法・・・ってほどでもないけど。
"9.6 or higher"は誤りで"9.6.2 or higher"に訂正予定とのこと。
ttp://www.isc.org/community/blog/201007/using-root-dnssec-key-bind-9-resolvers

keyはコッチで確認すること。
ttps://data.iana.org/root-anchors/

[0420 名無しさん＠お腹いっぱい。 2010/08/12(木) 10:42:04]

>>394
この件と同種？で okwave に質問してる椰子がいるが
「普通のことです。違反でもなんでもありません。」って回答くらってるぞ

どっちが正しいんだ？

http://okwave.jp/qa/q6101868.html

[0421 名無しさん＠お腹いっぱい。 2010/08/12(木) 10:48:17]

okwave の回答が間違ってる。
その回答に対する質問主のフォローが正解。

[0422 名無しさん＠お腹いっぱい。 2010/08/12(木) 11:01:57]

そうか

いやなに、俺が立ててる DNS サーバーでも
ライブドアのあれみたいな書き方やってるんだw
ホスト名なしのドメイン名を別ホストへcnameさせてる。

A レコード書くと、ホスト引っ越しのときに不便なんだが。。
今のところクレーム来てないが、バレる前に直しておいたほうがいいのか

[0423 名無しさん＠お腹いっぱい。 2010/08/12(木) 11:59:26]

質問の仕方がまずいんだと思う。
「Aの別名にBを使っているけどいいの?」って読みとられてしまっているよね

[0424 名無しさん＠お腹いっぱい。 2010/10/14(木) 01:08:48]

DNS障害でYahooのほとんどのサービスが落ちてたね

[0425 名無しさん＠お腹いっぱい。 2010/10/14(木) 01:44:18]

具体的にはどーだったの？
hostやdigで単純に引くとaレコードが帰ってこなくて
明示的にaレコードを指定すると戻ってきたみたいだけど

[0426 名無しさん＠お腹いっぱい。 2010/10/14(木) 10:02:45]

primary name server = yahoo.co.jp
responsible mail addr = postmaster.yahoo.co.jp
serial = 2010101401
refresh = 1800 (30 mins)
retry = 900 (15 mins)
expire = 86400 (1 day)
default TTL = 900 (15 mins)

丸１日は途中のDNSがキャッシュ値を返してくれるの？

[0427 名無しさん＠お腹いっぱい。 2010/10/15(金) 14:06:25]

自分が参照してるキャッシュのタイミング次第だろ。

expire直前にヤフーが死ねばすぐにアウトになる。

なんか、負荷分散サーバの障害とかいうてるみたいだけど、
権威サーバをIPAnycast化とかしてたんかな？

それともYahooクラスだと権威サーバでもロードバランサ
入れないとダメポなくらい負荷高いのかね？

[0428 名無しさん＠お腹いっぱい。 2010/10/15(金) 18:27:53]

普通はBindで困ることって特にないよな。
DNS運用業者やってたときは、10万ドメイン以上あったから色々考えることあったけども。

[0429 名無しさん＠お腹いっぱい。 2010/10/18(月) 11:37:39]

「BIND」な。

[0430 名無しさん＠お腹いっぱい。 2010/10/25(月) 18:53:45]

2008R2 な DNS 鯖だと
recruit.co.jp のドメイン情報が全く読めないんだが
SOA レコードすら引けない。
なんでだ！？

2003 な DNS 鯖で引くと大丈夫

[0431 430 2010/10/25(月) 18:59:20]

>>394 と同じ理由？
とりあえず、2008R2 の DNS 鯖で ISP の DNS にフォワーダかけたらうまくいく。

[0432 名無しさん＠お腹いっぱい。 2010/10/25(月) 19:02:45]

Windowsの話はよそでやったら。

[0433 名無しさん＠お腹いっぱい。 2010/10/25(月) 19:03:13]

>>430
ポートが開いてないんだろ

[0434 名無しさん＠お腹いっぱい。 2010/10/25(月) 20:01:58]

他は引けるからポートの問題じゃないよ

[0435 名無しさん＠お腹いっぱい。 2010/10/25(月) 20:24:37]

recruit.co.jp が特定の環境下で名前解決できないという話は別の所でもでていたような…
janogだったかdnsopsだったか

[0436 名無しさん＠お腹いっぱい。 2010/10/26(火) 00:30:25]

512バイト超えてるんだろう

[0437 名無しさん＠お腹いっぱい。 2010/10/26(火) 22:07:15]

recruit.co.jpはこれと同じ原因だよ
ttp://www.vwnet.jp/Windows/WS08R2/EDNS0/EDNS0.htm

[0438 名無しさん＠お腹いっぱい。 2010/11/06(土) 03:43:18]

BIND10使ってるひとどのくらいいますか？

[0439 名無しさん＠お腹いっぱい。 2010/11/08(月) 11:16:37]

20人くらい。

[0440 名無しさん＠お腹いっぱい。 2010/11/26(金) 11:36:45]

政府によるDNSポイゾニングっていよいよ本格的に始まったんじゃない？
検出した気がする
先日の法相更迭はサインを渋ったからだとみた

[0441 名無しさん 2010/11/27(土) 15:55:54]

DNSSEC対応どーすんべ。。。

[0442 名無しさん＠お腹いっぱい。 2010/11/27(土) 17:31:50]

>>441
慌てる必要はないよ。必要になったらやればいい。

[0443 名無しさん＠お腹いっぱい。 2010/12/02(木) 00:57:02]

眺めている段階

[0444 名無しさん＠お腹いっぱい。 2010/12/02(木) 16:15:10]

BIND: cache incorrectly allows a ncache entry and a rrsig for the same type
Versions affected: 9.6.2 - 9.6.2-P2, 9.6-ESV - 9.6-ESV-R2, 9.7.0 - 9.7.2-P2
Severity: High
https://www.isc.org/software/bind/advisories/cve-2010-3613

BIND: Key algorithm rollover bug in bind9
Versions affected: 9.0.x to 9.7.2-P2, 9.4-ESV to 9.4-ESV-R3, 9.6-ESV to 9.6-ESV-R2
Severity: Low
https://www.isc.org/software/bind/advisories/cve-2010-3614

BIND: allow-query processed incorrectly
Versions affected: 9.7.2-P2
Severity: High
https://www.isc.org/software/bind/advisories/cve-2010-3615

[0445 名無しさん＠お腹いっぱい。 2010/12/02(木) 16:37:31]

http://ya.maya.st/d/201012a.html#s20101201_1
CNAME の間違った使い方

>>394-397

[0446 名無しさん＠お腹いっぱい。 2010/12/02(木) 16:55:57]

http://blog.livedoor.jp/techblog/archives/65340720.html
> ライブドアドメインではこれまでdjbdnsを使用していましたが、
> 今年の11月1日にNSDというソフトウェアにリニューアルしまして、
> 新機能と同時にこのCNAME問題に対応しました。

やっと対応したって事かな。

[0447 名無しさん＠お腹いっぱい。 2010/12/03(金) 01:23:19]

localhost.livedoor.jp has address 127.0.0.1
localhost.livedoor.com has address 127.0.0.1

この設定はよろしくないらしいけど削除するとまずいことでもあるのかな。

http://www.securityfocus.com/archive/1/486606

[0448 名無しさん＠お腹いっぱい。 2010/12/03(金) 10:35:56]

/etc/hosts に localhost がなかったり、
あっても hosts を参照せずいきなり DNS に聞く実装でも、
resolv.conf に search livedoor.jp と書いてあれば
localhost を問い合わせても 127.0.0.1 がちゃんと返ってくる。

……というメリットはあるけど、たいしたメリットでもないので
消してもいいと思う。

[0449 名無しさん＠お腹いっぱい。 2010/12/03(金) 10:59:18]

デメリットを聞いてるんだが

[0450 名無しさん＠お腹いっぱい。 2010/12/03(金) 11:20:17]

だからそういう環境で localhost の名前解決ができなくなるんだってば。

FQDN じゃなかったら勝手にドメイン名を補完してしまうものもあるので、
localhost. のゾーンを作っておけば済むという話じゃないんだな。

[0451 名無しさん＠お腹いっぱい。 2010/12/03(金) 19:53:34]

searchオプションの恩恵うける場面てそんなに多いのかな？
外の人にとっては意味ないし、中の人にしたってプログラムがsearch依存で名前解決するのも気持ち悪いだろうし。

[0452 名無しさん＠お腹いっぱい。 2010/12/03(金) 20:19:29]

>だからそういう環境で localhost の名前解決ができなくなるんだってば。

つまりそれ以外のデメリットは無いということですね。

それならば削除する必要はないですね。

[0453 名無しさん＠お腹いっぱい。 2010/12/03(金) 21:18:51]

>>452は>>447のリンク先を日本語で解説してくれる人を釣ろうとしてるの？

[0454 名無しさん＠お腹いっぱい。 2010/12/03(金) 21:22:34]

なるほど！

[0455 名無しさん＠お腹いっぱい。 2010/12/03(金) 21:51:53]

ローカルＰＣで個人用ブックマークの検索サーバを立てた人がいるとする。

Referer: http://your.private.pc/search?q=hoge

からこの検索サーバのURLを知った攻撃者は、
こりゃ脆弱そうなURLだわいと何らかの方法で

http://localhost.livedoor.jp/search?q=<;script>...</script>

を本人に踏まさせて、実際に脆弱でかつlivedoor利用者であれば
livedoor.jpのCookieの詐取に成功する。

CUPSのような広く知られたものがあれば後半だけでいい。

こんなとこ？

[0456 名無しさん＠お腹いっぱい。 2010/12/05(日) 13:02:44]

あとはNXDOMAIN連発とか？

[0457 名無しさん＠お腹いっぱい。 2010/12/06(月) 00:59:34]

こういうの一度書いちゃうとなかなか消せないんだよね。
副作用が怖くて。

[0458 名無しさん＠お腹いっぱい。 2010/12/06(月) 09:19:43]

なくなって困るのは中の人くらいじゃないの？
中からの問い合わせからだけ名前解決するんじゃだめなん？

[0459 名無しさん＠お腹いっぱい。 2010/12/07(火) 02:47:47]

AmazonのDNS　これいいんじゃない？
http://aws.amazon.com/route53/
http://aws.typepad.com/aws_japan/2010/12/amazon-route-53-the-aws-domain-name-service.html

[0460 名無しさん＠お腹いっぱい。 2010/12/07(火) 03:47:54]

Wikileaksをホスティングしていることでもおなじみの信頼と実績だな

[0461 名無しさん＠お腹いっぱい。 2010/12/07(火) 08:07:03]

アタックされたから追放したんじゃなかったのか

[0462 名無しさん＠お腹いっぱい。 2010/12/10(金) 00:21:00]

>>459
まだこんな馬鹿がいるのか

[0463 名無しさん＠お腹いっぱい。 2010/12/10(金) 21:27:40]

>>459
-DDoSを喰らったときの課金のありよう
-名前参照が終わるまで多段*4の参照が発生する
等を考えると若干首を傾げる。
Amazonにしては詰めの甘さを感じずにいられない。

Amazonがわのメンテナンスの都合でネームサーバのIPアドレスを
任意につけかえられるように設計するとこうなるのはわかるけれど。

[0464 名無しさん＠お腹いっぱい。 2011/01/07(金) 02:19:48]

2010年はBIND9の脆弱性が多くて嫌になった
でもUnboundとかnsdに移行する勇気がないヘタレ

[0465 名無しさん＠お腹いっぱい。 2011/01/07(金) 10:07:11]

数としてはたしかに多かったけど、dnssec を有効にしてなければ
放置しても問題ないものがほとんどだった気が。
dnssec はまだ本格的に使われてないからコードが枯れてないんだよね。
とはいえ、nsd/unbound は問題を起こしてないからそれを言い訳にはできないけど。

[0466 名無しさん＠お腹いっぱい。 2011/01/07(金) 10:11:13]

見つかってないだけかも。

[0467 名無しさん＠お腹いっぱい。 2011/01/07(金) 16:09:39]

Unboundはキャッシュとして使う限りはBIND9と遜色ない
機能はあると思う。DNSSEC validatorとしては最新の仕様に
追従してるし、ローカルデータもフォワーディングゾーンも設定できる。
Unboundに無い機能ってviewくらい？

[0468 名無しさん＠お腹いっぱい。 2011/01/07(金) 21:21:11]

>>467
Unboundはラウンドロビンを無視してTTLが切れるまで常に同じアドレスを返す
というちょっと切ない仕様があったけどアレはその後どうなったのかな

[0469 名無しさん＠お腹いっぱい。 2011/01/07(金) 22:03:15]

最新の1.4.7でもラウンドロビンしないよ
権威サーバから教えてもらった順番のまま答える

> dig +short @localhost www.l.google.com
66.249.89.104
66.249.89.99
> dig +short @localhost www.l.google.com
66.249.89.104
66.249.89.99
> dig +short @localhost www.l.google.com
66.249.89.104
66.249.89.99
> dig +short @localhost www.l.google.com
66.249.89.104
66.249.89.99

[0470 名無しさん＠お腹いっぱい。 2011/01/07(金) 22:17:59]

権威サーバから得たデータは変にいじらずにそのまま
クライアントに返すべきだ、DNSの仕様にもラウンドロビンなんて
定義されてない、というのがUnbound側としての立場だったはず。

とはいえ、ラウンドロビンは必要な機能なんだろうなぁ
Windows Vista は複数Aレコードを得ると
RFC 3484 Rule 9 にしたがって特定のIPを選択
するのでラウンドロビンが効かないんだけど、
Win7 はラウンドロビンが効くように変更されたりしてるし

[0471 名無しさん＠お腹いっぱい。 2011/01/07(金) 22:21:23]

UNIXの getaddrinfo()もラウンドロビンが効くように変更してください！

[0472 名無しさん＠お腹いっぱい。 2011/01/14(金) 01:17:03]

BSDやglibc派生のスマフォンは
DNSラウンドロビン的にどう動くんだろ？

[0473 anonymous 2011/01/18(火) 23:57:00]

いよいよjpドメインでもDNSSEC使えるようになりましたが、
おまえらDNSSEC使いますか？

[0474 名無しさん＠お腹いっぱい。 2011/01/19(水) 18:03:47]

いやべつに

[0475 名無しさん＠お腹いっぱい。 2011/01/19(水) 19:35:29]

そのうち対応しないととは思っているが検証が面倒くさい
今のところキャッシュDNS鯖の負荷が無駄にあがってるだけだな

[0476 anonymous 2011/01/19(水) 19:56:58]

DNSSECは効果の割に苦労が大きすぎるから普及は難しいんじゃないか
キャッシュはともかく、権威サーバの運用がとっても面倒だからなー

だいたいDNSSECなしのDNSだってちゃんと運用できてねーし
DNSSECがまともに運用できるとはおもえない

[0477 名無しさん＠お腹いっぱい。 2011/01/19(水) 20:15:30]

なんか IA64(itanium) の大風呂敷を広げたけど受け入れられず、
中庸な AMD64 が受け入れられるような感じ。

だれか DNSSEC よりもうちょっと手軽な仕組みを考えないかな

今思いついたアイデア：

署名の連鎖を考えず、
1.ドメイン(例：example.jp)の管理者は、自分の権威サーバに各種レコードと一緒に、証明書を意味するレコード(Xとする)も登録する
2.ドメイン管理者は、ベリサインから証明書を取得したとする。
3.リゾルバは、example.jp ゾーンの問い合わせをしたときに、ベリサインにも証明書の鍵? みたいなの(Yとする)を取得する。
4.XとYをつじつまが合えば、ドメイン example.jp はクラックされていないと判断する。

SSL みたいにすれば、署名の連鎖とか考えなくてすむんだけどどうでしょう。

[0478 anonymous 2011/01/19(水) 20:35:41]

とりあえずはTXIDを128ビットとかに
増やすだけでよかったんじゃね
source port randomizationや0x20のやってることの本質は
それだし

[0479 名無しさん＠お腹いっぱい。 2011/01/19(水) 20:54:39]

>>477
それをやると証明書屋さんばっかり儲かっちゃうのよね。
SSL って netscape の独自規格が元になってるので、
政治的な話とは無関係に仕様が決まっちゃったけど、
インターネットのガバナンスってそういう特定の誰かに
集中/依存する仕組みを嫌うんだよね。

そうはいってもすべてを分散管理できる仕組みなんて作れないので、
IANA とか ICANN とかの組織にそういうのまかせるようにしてあるんだけど、
それでもなお不満がある人も多いわけで。
これが営利の私企業だったらどうなっていたことか、と。
SSL 証明書ってインターネットにおいては営利企業が牛耳ってる数少ない例外なんですよ。

[0480 名無しさん＠お腹いっぱい。 2011/01/19(水) 21:16:02]

>>476
DNSSEC は付け焼き刃の勉強ではすぐにボロが出て失敗するので、
よほど自信あるかよほどの物好きでなければはじめから手を出さない方がいい。
概要だけ理解して、必要だと思えば信頼できる業者にアウトソースする、
つまり手間はかけずに金をかけるのが正しい道だと思う。

もっとも、信頼できる業者がどれだけ存在するのかはなはだ疑問ではあるが。

[0481 名無しさん＠お腹いっぱい。 2011/01/19(水) 21:22:08]

>>479
PKIの維持ってコストがかかるから儲からないとやってられんでしょう
DNSSECのコストをエンドユーザに転嫁しないモデルで、
本当にやっていけるのかねぇ

[0482 名無しさん＠お腹いっぱい。 2011/01/20(木) 12:24:39]

下のはフィッシング用？のコピーサイトなんだけど
正引きしても本家のウォルマートのIP返す

これって技術的にどうやってんの？

ちなみにトップページだけコピーしてるみたいでaguseでチェックしても安全と判定される

http://walmart.f8f8.us/

[0483 名無しさん＠お腹いっぱい。 2011/01/22(土) 16:11:45]

http://www.google.co.jp/search?q=site:arpa

arpaにAレコード作ると何か便利なことでもあるの？

[0484 名無しさん＠お腹いっぱい。 2011/01/22(土) 23:02:12]

ただの設定ミスのような気がする

[0485 名無しさん＠お腹いっぱい。 2011/01/23(日) 17:27:29]

walldnsみたいなことができる。

[0486 名無しさん＠お腹いっぱい。 2011/01/24(月) 07:58:25]

ネームサーバがin-bailiwickにできるから、逆引きにかかる手間が減ったりする

[0487 名無しさん＠お腹いっぱい。 2011/01/24(月) 21:45:56]

なるほど、わからん。

[0488 名無しさん＠お腹いっぱい。 2011/01/24(月) 23:52:17]

http://www.e-ontap.com/internet/nagoya-u/img46.html
に書いてある、コンテンツサーバがキャッシュサーバを兼ねていると
DDos に弱い、ということについて質問です。

自分がDNSサーバやサイトを構築する場合、いちおうコンテンツサーバと
キャッシュサーバは分けて構築していますが、上記のように
兼ねているとDDosに弱い(→ 兼ねていなければ強い？)というのがわかりません。

私が example.jp というドメインを持っているとして、
コンテンツサーバとキャッシュサーバは分けているとする。
分けていても、コンテンツサーバに直接 DDosアタックを掛ければ、
コンテンツサーバは応答が遅くなったりできなくなると思うのですが。

上記の資料では、DNS への DDos 攻撃はキャッシュサーバへ行われることが多い
という前提がある?

[0489 名無しさん＠お腹いっぱい。 2011/01/25(火) 01:23:06]

キャッシュサーバの足回りは動的IPで済む
コンテンツサーバはどうしても固定IPでないと運営が辛い

[0490 名無しさん＠お腹いっぱい。 2011/01/25(火) 08:32:08]

djb教の教えが微妙に混ざっていると思う。経典にあたれば考えがわかると思うよ。

[0491 488 2011/01/25(火) 10:04:09]

>>489-490
レスどうもありがとうございます。
教典とは以下のことでしょうか?
http://djbdns.qmail.jp/djbdns/separation.html
ここに書いてあることは感覚的には納得がいきます。

外に晒しているDNSサーバがキャッシュサーバの場合、再起検索も受け付ける
↓
再起検索は、再起検索でない検索より負荷が掛かる
↓
検索を多数受け付けるとサーバの負荷が上がる

一方、コンテンツサーバは再起検索を受け付けないように設定する
↓
DDoS(多数の再起検索)が投げられた
↓
再起検索を拒否するように設定されたDNSサーバは、超多数のDNSクエリを
受け付けても、拒否するだけならなんとか耐えられる

こんな感じでしょうか。

[0492 名無しさん＠お腹いっぱい。 2011/01/25(火) 10:24:35]

DDoS 攻撃を受ける、というよりも、
DDos 攻撃の踏み台に使われることがあるんでやめた方がいい。
# 詳細は dns amp でぐぐれ

allow-recursive で再帰検索の acl をかければ防げるけど、
権威サーバと共用してるようなところではどうせそんなことしてないだろう。

[0493 488 2011/01/25(火) 10:43:30]

>>492
dns amp でググってヒットした記事をいくつか読みました。
なるほど、自分で管理しているDNSサーバのレスポンスよりも、
誰でも使えてしまうキャッシュサーバをインターネット上に置いてしまうことが問題ですね。
(http での open proxy を、インターネット上に置くな、というのと同じか)。

どうもありがとうございました。

[0494 名無しさん＠お腹いっぱい。 2011/01/26(水) 00:18:44]

そろそろBINDも再帰検索受付不可をデフォルトとして
ACL書いた先だけ可能にするという設定になっていいと思うんだよな
9.8あたりでそうしていただきたい

[0495 名無しさん＠お腹いっぱい。 2011/01/26(水) 01:16:06]

>>494
9.4.あたりからそうなってますが。
allow-queryなどのオプションと連動するので中途半端に設定してると意味がないですが。

[0496 名無しさん＠お腹いっぱい。 2011/01/28(金) 00:10:26]

BIND9 のクエリ制限の設定って
allow-query
allow-query-cache
allow-recursion
っていう3つの項目あるけど、この3つの相互作用は
とても分かりづらいよね
9.7.2-P2のallow-queryが効かないバグとか見てると開発者さえ
理解してるか怪しいんじゃないか

[0497 名無しさん＠お腹いっぱい。 2011/01/28(金) 00:37:41]

セキュリティホールもいつになっても止まらないし、
もう BIND の時代は終わりだと思う

sendmail が Postfix になったように、BIND に取って代わるソフトウェアは出てこないのだろうか
コンテンツサーバ→NDS、キャッシュサーバ→unbound がいちおうあるけど。

MyDNS、maraDNS ってどうなの？

[0498 名無しさん＠お腹いっぱい。 2011/01/28(金) 01:28:35]

>>497
そこで、BIND X・・・じゃなくてBIND 10ですよ。

[0499 名無しさん＠お腹いっぱい。 2011/01/28(金) 02:18:20]

売店

[0500 名無しさん＠お腹いっぱい。 2011/01/30(日) 21:44:27]

PowerDNSは?

[0501 名無しさん＠お腹いっぱい。 2011/01/30(日) 22:41:55]

え?

[0502 名無しさん＠お腹いっぱい。 2011/01/31(月) 14:00:59]

え?

[0503 名無しさん＠お腹いっぱい。 2011/02/02(水) 21:13:27]

>>500
フルリゾルバの PowerDNS recursor は2年くらい前から使っているが問題なく動いている
hosts に書いた情報も一緒に混ぜてクライアントに返してくれる機能がなにげに便利

ゾーンサーバ側(PowerDNS Authoritative Server)は使ってないのでわからん

DNSSEC関係については、ゾーンサーバ側が試験中、フルリゾルバ側はまだ

[0504 名無しさん＠お腹いっぱい。 2011/02/04(金) 03:37:28]

PowerDNSよさげだなぁ
いまさらながら評価してみるか

[0505 名無しさん＠お腹いっぱい。 2011/03/04(金) 13:06:12.13]

運用方法について聞きたいんだけど、
例えば2台のDNS(dns1とdns2)と、2台のwwwサーバ(www1とwww2)を用意して、
dns1に問い合わせが来たときはwww1を返す
dns2に問い合わせが来たときはwww2を返す
ということは普通にやってもいいことですか。

[0506 名無しさん＠お腹いっぱい。 2011/03/04(金) 13:30:44.57]

dns1はwww IN CNAME www1
dns2はwww IN CNAME www2
みたいに。

[0507 名無しさん＠お腹いっぱい。 2011/03/04(金) 14:01:55.88]

>>505
普通はやらない。

[0508 名無しさん＠お腹いっぱい。 2011/03/04(金) 14:05:57.46]

>>505
普通にAレコード2つ書くんじゃだめなの？

[0509 名無しさん＠お腹いっぱい。 2011/03/04(金) 14:20:42.81]

>>505
負荷分散とリダンダント両立できないからやめとけ。

[0510 名無しさん＠お腹いっぱい。 2011/03/04(金) 14:21:04.06]

だな
両方のDNS鯖で

www IN CNAME www1
www IN CNAME www2

って書いとけばラウンドロビンする

[0511 名無しさん＠お腹いっぱい。 2011/03/04(金) 14:59:11.03]

CNAMEはさむ必要ないと思うけどな。
直接Aでいいじゃん。

[0512 名無しさん＠お腹いっぱい。 2011/03/04(金) 15:39:33.87]

DNSって鯖の死活なんて分からないよね？
仮にwww1が死んでもそのままアドレスは返すってことかな。

[0513 名無しさん＠お腹いっぱい。 2011/03/04(金) 15:47:04.73]

そうだよ。

[0514 名無しさん＠お腹いっぱい。 2011/03/04(金) 18:52:10.35]

名前解決するだけ

[0515 名無しさん＠お腹いっぱい。 2011/03/04(金) 20:17:53.27]

>>510
CNAMEの多重指定はRFC違反じゃ？
書くならAを2行書くべきだろう。

クライアントの地理情報によって返すアドレスを変えるという手法ならどこかの会社が特許取ってたな。
8.8.8.8とか使われるとアウトだが。

[0516 名無しさん＠お腹いっぱい。 2011/03/04(金) 20:23:11.04]

え、あれ特許なの？
どこの会社？

[0517 名無しさん＠お腹いっぱい。 2011/03/04(金) 21:31:22.95]

HTTP限定でいいならredirect使ってふりわけた方がいいと思う。

[0518 名無しさん＠お腹いっぱい。 2011/03/05(土) 02:57:53.56]

>>517
詳しく

[0519 名無しさん＠お腹いっぱい。 2011/03/05(土) 08:23:05.12]

DNSで負荷分散を解決するんじゃなくて、HTTPフロントエンドで解決するということだろう

[0520 名無しさん＠お腹いっぱい。 2011/03/05(土) 18:15:55.95]

webサーバを二重化したいのにそれをwebサーバにやらせてもしょうがなくね。
リダイレクタが落ちたら終わりじゃん。

[0521 名無しさん＠お腹いっぱい。 2011/03/05(土) 18:56:09.72]

ではリダイレクタも二重化するということで

[0522 名無しさん＠お腹いっぱい。 2011/03/05(土) 19:00:32.90]

大元の人の話は全然二重化の話じゃないんだけど

[0523 名無しさん＠お腹いっぱい。 2011/03/05(土) 20:02:40.65]

なら何がしたかったんだろう。

[0524 名無しさん＠お腹いっぱい。 2011/03/05(土) 21:09:43.50]

開発環境向け、イントラ向け、または、フィッシング詐欺

[0525 名無しさん＠お腹いっぱい。 2011/03/06(日) 11:50:38.39]

>>505
CNAMEじゃなくてAならやったことあるよ。
DNSラウンドロビンの負荷分散が効かないクライアント
向けに負荷分散したかったので（冗長性は別のしくみで確保）
CNAMEだとダメな理由は思いつかない

DNSラウンドロビン効かないクライアント向けに負荷分散して、
かつ冗長性を持たせたいなら、www1とwww2でDNSサーバ動かす
というテクニックもあるぞ

[0526 名無しさん＠お腹いっぱい。 2011/03/07(月) 10:37:01.48]

>CNAMEだとダメな理由は思いつかない

CNAMEは1個だけ、ってRFCに明記されてるから。
そうするとうまく動かないとかそういうことじゃなく。

[0527 名無しさん＠お腹いっぱい。 2011/03/07(月) 11:08:15.00]

DNSサーバそれぞれに1個だけ書くんでしょ。

[0528 505 2011/03/07(月) 12:47:08.59]

dns1とwww1、dns2とwww2をそれぞれセットにして、
2台の仮想サーバーに入れようと考えたのですが、
片側の仮想がダウンしたときでも、この方法ならサービスが継続できるかと思いまして。

[0529 名無しさん＠お腹いっぱい。 2011/03/07(月) 13:29:13.46]

レコードがキャッシュされちゃってたら意味なくね？
それともダウンしたイベント契機とかでちゃんとシリアル上げるようにするの？

[0530 名無しさん＠お腹いっぱい。 2011/03/07(月) 13:33:31.63]

TTLを短くしとけばいける気もするな。
シリアルは別に上げなくてもいい。

まぁ、普通のやり方ではないけど。

[0531 名無しさん＠お腹いっぱい。 2011/03/07(月) 20:11:09.20]

TTL無視するクライアントあるからね。Internet ExplorerはDNSレコードを引いた結果を
TTLにかかわらず1800秒キャッシュするし（一度IE落とせばOK）、某携帯電話屋の
プロクシサーバは3600秒だった。某サーバソフトは起動時にDNS引いて
その結果を死ぬまで保持する。

それでもOKな用途なら、

> dns1とwww1、dns2とwww2をそれぞれセットにして、
> 2台の仮想サーバーに入れようと考えたのですが、
> 片側の仮想がダウンしたときでも、この方法ならサービスが継続できるかと思いまして。

同じようなようなことをやってるところは知ってる。
そこでは仮想サーバを分離せずに、ApacheとBIND を同時に動かす
サーバを2台用意して、
・どっちかのサーバのネットワークが落ちれば、そのサーバのBINDには
　到達できなくなるので、そのサーバのApacheのアクセスは無くなる。
・Webサーバプロセスの応答を自分自身で監視して、応答に異常があればBINDも停止させることで
　そのサーバのApacheへのアクセスを無くす。
・メンテで片方のサーバ止めたい時はBINDを止めるだけでいい。
ということをやってた。今でも動いてるけど、問題が起きたという話は聞いてないです。

[0532 名無しさん＠お腹いっぱい。 2011/03/08(火) 10:19:19.62]

ちょっと教えて。
ゾーンファイルを変更した後に適用させるのは、
/etc/init.d/bind9 restart でいいかな。

[0533 名無しさん＠お腹いっぱい。 2011/03/08(火) 10:53:26.13]

reload でいいんじゃないの。
その /etc/init.d/bind9 ってスクリプト読んでみ。

[0534 名無しさん＠お腹いっぱい。 2011/03/08(火) 11:00:05.70]

ごめん、reloadあった。
どうもです。

[0535 名無しさん＠お腹いっぱい。 2011/03/08(火) 11:18:09.59]

rndc reload example.com の方がよい。
ゾーンを指定しないと全ゾーンが読み直されるので、
大量のドメインを収容してる場合は非常に重くなる。
数ゾーン程度ならたいして変わらんけどさ。

[0536 名無しさん＠お腹いっぱい。 2011/03/08(火) 12:08:53.36]

ありがとう。覚えとく。

[0537 名無しさん＠お腹いっぱい。 2011/03/08(火) 12:26:24.23]

ああ、
viewで内外を分けたとき、外ゾーンの転送が使えないことがいま分かったよ...

[0538 名無しさん＠お腹いっぱい。 2011/03/09(水) 00:57:18.88]

>>531
それいいな！
dns1とdns2に持たせるレコードのTTLを違うようにすれば
不等負荷分散もできそうだ

[0539 名無しさん＠お腹いっぱい。 2011/03/09(水) 16:44:19.87]

メンテで片方のサーバ止めたい時はBINDを止め
た瞬間からlame delegationです

[0540 名無しさん＠お腹いっぱい。 2011/03/09(水) 16:52:57.11]

>>539
わかってないな。NSレコードは両方書いておくんだよ。
ってかやってることはGSLBと変わらん。

[0541 名無しさん＠お腹いっぱい。 2011/03/09(水) 18:02:54.65]

lameっちゃlameだけど、ゾーンに複数ある権威サーバのどれかが故障で
止まってる状態に過ぎないわな。
普通にあり。

[0542 名無しさん＠お腹いっぱい。 2011/03/09(水) 18:07:12.73]

計画メンテならちゃんとTTLを調整してレコードを書き換えてやれば良いだけ
必要もないのに故意に権威サーバを障害状態にして世のキャッシュに被害を与える
どこがありなのか明快に説明してほしい

[0543 名無しさん＠お腹いっぱい。 2011/03/09(水) 18:48:07.92]

複数ある権威サーバのうちどれかが故障して応答返せなかったり、
ネットワーク障害で到達できなかったり、パケロスで応答が帰らな
かったりは、普通にDNSで想定されてるし、しょっちゅう起こってる。
その時のキャッシュサーバ（フルリゾルバ）の動作も
RFC 1034の時代から明確に決められてる（別のNSを選択する）ので
lameを放置したりしない限り問題ないというのが俺の認識なんだけども。

> 計画メンテならちゃんとTTLを調整してレコードを書き換えてやれば良いだけ

そういう生真面目な態度は嫌いじゃないし、それが正しいことは同意する。
でも、自ゾーンの権威サーバのメンテのために、上位ゾーンの
レジストラにメンテ対象のNSレコード消してもらってメンテ終わったら
復活してもらうのか？（2台あったらそれを2回やるのか？）
NSレコードの変更に金がかかるレジストラもあるというのに。

[0544 名無しさん＠お腹いっぱい。 2011/03/11(金) 07:23:55.68]

DNSSECできないね

[0545 名無しさん＠お腹いっぱい。 2011/03/11(金) 07:27:18.08]

そうでもないか・・・

2台のサーバで同じZSKとKSK使えばOK？

[0546 名無しさん＠お腹いっぱい。 2011/03/11(金) 09:06:04.28]

2台でZSK/KSKが違っても問題なし
どちらも有効な署名があって両方のDSレコードが
親ゾーンに登録されていればいい
どうせDNSSECなんか難しすぎて誰も運用できないが

[0547 名無しさん＠お腹いっぱい。 2011/03/15(火) 10:21:50.44]

SOAレコードのアドレスってAレコードに書いてないといけないんだよね？
ttp://www.atmarkit.co.jp/flinux/rensai/bind02/bind02.html
のサンプルはそう書かれてないし、むしろ最後にはCNAMEに書いてるんだけど、
これは間違い？

[0548 名無しさん＠お腹いっぱい。 2011/03/15(火) 11:27:57.50]

そもそもあれ使われることあんのかな。

[0549 名無しさん＠お腹いっぱい。 2011/03/15(火) 11:36:12.39]

SOAよりNSのホスト名がCNAMEされてるのが気になるな。
RFC1912の7ページあたり。

[0550 名無しさん＠お腹いっぱい。 2011/03/15(火) 18:40:27.76]

素人はCNAME使うなと言いたい

[0551 名無しさん＠お腹いっぱい。 2011/03/19(土) 15:26:20.92]

bind9とheartbeatの組み合わせで片側を再起動したりすると
起動後に名前解決できなくなるってことある？
bind9をリスタートさせれば戻るんだけど。

[0552 名無しさん＠お腹いっぱい。 2011/03/19(土) 16:08:34.94]

>>551
heartbeat使ってないからわからないけど
BINDが自分のIPアドレスを認識してないんじゃない？
定期的にインターフェイスチェックして見つけてくれると思うけど。

[0553 名無しさん＠お腹いっぱい。 2011/03/19(土) 16:27:01.63]

>>552
netstat -lnで確認したらどうもそうらしい。
haresourcesにbind9を追加してheartbeatと連動するようにしたらできｔ。

[0554 名無しさん＠お腹いっぱい。 2011/03/19(土) 23:06:13.53]

>>552
ユーザーをrootから一般ユーザへ降格させてると特権ポートがバインドできなくなって(以下略
restartではなくstop->startが必要になる。

[0555 名無しさん＠お腹いっぱい。 2011/03/22(火) 12:15:08.53]

今まであまり意識したことなかったが、
BINDって 0.0.0.0 や :: に bind(2)できないのか……

[0556 名無しさん＠お腹いっぱい。 2011/04/03(日) 01:52:48.53]

.comドメインもDNSSEC対応か
verisign.comさえ署名してないのに誰が使ってるのかね

[0557 名無しさん＠お腹いっぱい。 2011/04/06(水) 22:21:17.21]

お名前で取得したドメインを、さくらのサーバーで使用するためにNSの設定を完了し、数分後にwhoisで確認するとNSはしっかりさくらになっており、サーバーのIPもさくらになっています。
aguseなどで確認したり、関東の友人数人に確認してもらうと、しっかり反映されてページが表示されるのですが、自分の住んでいる地域だけは、ISPを変えてもPCを変えても、お名前のドメインパーキングページが表示されます。pingで確認しても、IPはお名前のままです。
もちろん24時間ほどでしっかり見れるようになるのですが、なぜ自分の住んでいる地域だけが、反映が遅いのでしょうか…？
ちなみに、GMO系列以外で取得したドメインは、即反映されて自分の地域でも普通に閲覧できます。
何年もずっと疑問なのですが、説明してくれるようなサイト等はありませんか？

[0558 名無しさん＠お腹いっぱい。 2011/04/07(木) 00:28:25.23]

浸透いうな、の類？

[0559 名無しさん＠お腹いっぱい。 2011/04/07(木) 00:43:07.12]

単にネガティブキャッシュヒットしてただけだろ。
「ISPを変えても」が実際にはアクセス網のOEM提供で実態は一緒だったりもするし。

[0560 名無しさん＠お腹いっぱい。 2011/04/07(木) 10:55:12.13]

キャッシュサーバーなんぞ、自分で立てるなりgoogleのを使うなりすればいーんでね？

[0561 名無しさん＠お腹いっぱい。 2011/04/07(木) 10:59:50.53]

そもそも板違いじゃね。

[0562 名無しさん＠お腹いっぱい。 2011/04/07(木) 11:11:04.43]

あ

[0563 名無しさん＠お腹いっぱい。 2011/04/07(木) 11:13:21.89]

会社のHP、外からはhttp://www.・・・・で見ることができるのに、
社内から直接ローカルIPを叩かないと見れません。
なぜですか。

[0564 名無しさん＠お腹いっぱい。 2011/04/07(木) 11:26:57.69]

ネットワーク管理者に聞いてください。

[0565 名無しさん＠お腹いっぱい。 2011/04/07(木) 12:09:54.12]

>>557 plus
さ
っip
　　くらは咲いて居て始めてみれる物ですが…

[0566 名無しさん＠お腹いっぱい。 2011/04/07(木) 18:33:25.81]

turbolinuxをDNSに設定しろて…。
誰かおすすめサイト教えてくだちぃ

[0567 名無しさん＠お腹いっぱい。 2011/04/07(木) 18:42:57.73]

そんなのどうでもいいじゃん

[0568 名無しさん＠お腹いっぱい。 2011/04/07(木) 19:00:11.72]

>>566
やり方は環境によって違うので、
ネットワーク管理者に聞いてください。

[0569 anonymous 2011/04/07(木) 20:02:04.86]

turbolinuxってまだ生きてるのか

[0570 名無しさん＠お腹いっぱい。 2011/04/08(金) 10:27:48.03]

死んでます

[0571 anonymous 2011/04/10(日) 05:47:36.90]

>>556
exanames.com
infoblox.com
jasadvisors.com
verisignlabs.com

jpドメインは iij.ad.jp と jprs.co.jp くらいしかなさそう？

[0572 名無しさん＠お腹いっぱい。 2011/04/10(日) 22:15:24.72]

どのDNSを選べばいいんよ
iwayuru設定ファイルコピペと文字列置換だけで手軽に運用してえのよ

[0573 名無しさん＠お腹いっぱい。 2011/04/11(月) 08:10:13.21]

それなら設定ファイルを引っ張ってくるところにあわせればー

[0574 名無しさん＠お腹いっぱい。 2011/04/11(月) 10:00:30.88]

>>572
そういう人はサーバ運用しない方がいい。

[0575 名無しさん＠お腹いっぱい。 2011/04/11(月) 10:23:18.39]

>>571
jp だと、sannet のレンサバを使ってるドメインがほとんどすべて DNSSEC 化してる。
ユーザーがやめてくれと申し出ないかぎりデフォでやるという、
神対応なんだかひどい仕打ちなんだかよくわからんことになってる。

[0576 アクロンなら毛糸洗いに自信が持てます 2011/04/11(月) 17:07:32.91]

地震に強い、DNSの設定方法を教えてください

[0577 名無しさん＠お腹いっぱい。 2011/04/11(月) 20:57:07.50]

>>576
地域的分散

お金あるなら、IPAnycastオヌヌメ

[0578 名無しさん＠お腹いっぱい。 2011/04/15(金) 03:24:38.58]

>>575
おー本当だ

[0579 名無しさん＠お腹いっぱい。 2011/04/16(土) 20:09:23.45]

プロバイダー自らDNSポイズニングする日が来るとは思ってもいなかった・・・
8.8.8.8に逃げるか
でも遅いんだよな

[0580 名無しさん＠お腹いっぱい。 2011/04/16(土) 20:32:49.86]

別にブロッキング回避する目的ではないが、俺はUnboundのWin32版を動かしてるよ
インストールするだけで127.0.0.1でDNSSEC Validator付き
DNSサービス起動するので便利。
http://www.unbound.net/download.html

このやり方が普及するとDNS権威サーバの負荷が上がっちゃうな

[0581 名無しさん＠お腹いっぱい。 2011/04/21(木) 23:49:15.12]

ブロッキング始まったか
DNSポイゾニング方式ってどうやってるんだ？
BINDとかで簡単にできるのかな？

[0582 名無しさん＠お腹いっぱい。 2011/04/22(金) 00:13:01.19]

プロバイダにブロッキングされるこんな世の中じゃ

[0583 名無しさん＠お腹いっぱい。 2011/04/22(金) 00:43:55.43]

>>581
RPZ

[0584 名無しさん＠お腹いっぱい。 2011/04/22(金) 00:49:42.62]

RPZってBIND9.8の機能だからプロバイダはまだ使ってないんじゃね
普通に named.confに zone "blocked.example.com" { ... }
を延々と書いてるはず

[0585 名無しさん＠お腹いっぱい。 2011/04/24(日) 16:36:54.93]

DNSでフィルタリングなのか
Privoxyみたいなソフトを仲介させて全体か一部を逐一弾くめんどい形式なのかと思ってた

[0586 名無しさん＠お腹いっぱい。 2011/04/24(日) 17:17:24.65]

実施している所ってgoogleなどの8.8.8.8は使えないのかな
外部へのudp53は止めてるのかねえ

[0587 名無しさん＠お腹いっぱい。 2011/04/24(日) 21:01:06.36]

>>585
DNSが多いらしい

>>586
8.8.8.8では今のところフィルタリング無しみたいだ
googleってブロッキングリストの供給受けているのに
http://www.netsafety.or.jp/about/003.html

うちのISPが提供してるDNSサーバでは問題のドメインは
ブロックされてるが（Aを問い合わせるとニセのIPが返る）、
53/udpは素通しみたいなので、8.8.8.8やローカルのBINDを
使えばブロックされない
なんというザル。。。。

[0588 名無しさん＠お腹いっぱい。 2011/04/24(日) 21:22:20.08]

100%はムリでも、8割9割の人をブロックできればいいんじゃね
参照DNSを8.8.8.8に設定変更できる人がどれだけいるのかと

……エロの力は絶大だからわからんな

[0589 名無しさん＠お腹いっぱい。 2011/04/25(月) 11:50:28.04]

ISPのコールセンターにロリエロサイトを見れない問い合わせが相次いでたりすんのかな

[0590 名無しさん＠お腹いっぱい。 2011/04/25(月) 12:25:41.19]

>>587
googleはweb検索表示にリストを参照するらしい
http://www.netsafety.or.jp/news/press/press-003.html

[0591 名無しさん＠お腹いっぱい。 2011/04/25(月) 13:39:36.31]

検索結果じゃなくGoogle Public DNSの話でしょ？

[0592 名無しさん＠お腹いっぱい。 2011/04/25(月) 13:46:54.60]

間違えて見てはいけないので、リストください。

[0593 名無しさん＠お腹いっぱい。 2011/04/25(月) 14:40:43.30]

>>591
そうだね。
だからgoogleのDNSサーバーはブロッキングの影響を受けないと思われる

[0594 名無しさん＠お腹いっぱい。 2011/04/25(月) 14:49:28.59]

8.8.8.8ってグローバルサービスだからなぁ
一国内でしか有効でないフィルタかけても
って事なんでしょう
それともviewみたいにソースIPによってフィルタ変える？

[0595 名無しさん＠お腹いっぱい。 2011/04/25(月) 16:54:59.96]

通信の秘密を侵害しない方法としちゃ上策？

[0596 名無しさん＠お腹いっぱい。 2011/04/26(火) 09:19:21.01]

第二十一条　２
検閲は、これをしてはならない。通信の秘密は、これを侵してはならない。

[0597 名無しさん＠お腹いっぱい。 2011/04/26(火) 10:27:36.72]

>>596
憲法は、国家から国民に対しての保証であって、
国民が国民に対してやっちゃいけないことを規定するものじゃないんだ。

[0598 名無しさん＠お腹いっぱい。 2011/04/26(火) 10:36:12.72]

（検閲の禁止）
第三条 　電気通信事業者の取扱中に係る通信は、検閲してはならない。

[0599 名無しさん＠お腹いっぱい。 2011/04/26(火) 10:43:36.74]

話それてますよー。

[0600 名無しさん＠お腹いっぱい。 2011/04/26(火) 14:41:52.76]

逸らさせたんだよ
計画通り・・・ｸｸｸ

[0601 名無しさん＠お腹いっぱい。 2011/04/30(土) 04:59:32.93]

DNSブロッキングによる児童ポルノ対策ガイドライン
http://good-net.jp/usr/imgbox/pdf/20110427091336.pdf

[0602 名無しさん＠お腹いっぱい。 2011/05/06(金) 21:14:59.67]

DNSSECについて教えてください。

たぶん何年か後にルートゾーンのトラストアンカー(DNSKEY)が更新されるタイミングがあると思いますが、そのときDNSキャッシュサーバ側の対応ってどうなるんでしょう？

1. ルートゾーンの署名に使われるDNSKEYが新しくなる瞬間にいっせーので世界中のキャッシュにセットするトラストアンカーを更新してキャッシュもクリアする
　⇒まさかそんなはずはない

2. ルートゾーンの新しいDNSKEYは実際に署名に使われるまで十分長い期間をもって周知されるので、世界各地のキャッシュサーバには事前にそれをセットしておく（ルートゾーンのトラストアンカーが2つセットされている状態になる）
　⇒たぶんこれ？　新旧のトラストアンカーを区別できるの？

3. RFC5011で自動更新なので素人は心配すんな
　⇒だったらいいなぁ

[0603 名無しさん＠お腹いっぱい。 2011/05/07(土) 23:20:47.80]

更新するまでDNSSECが廃れないといいですね

[0604 名無しさん＠お腹いっぱい。 2011/05/09(月) 10:35:29.61]

>　⇒たぶんこれ？　新旧のトラストアンカーを区別できるの？

yes
複数ある鍵のいずれかで検証成功すれば OK、ということになってる。

>3. RFC5011で自動更新なので素人は心配すんな

パーミッションがあいてなくて更新すべきファイルに書き込めなかったという
未来が見えるよ……

[0605 名無しさん＠お腹いっぱい。 2011/05/10(火) 02:12:35.91]

>>584
RPZ早速セキュリティホールかよ
http://jprs.jp/tech/security/bind980-vuln-rpz.html

[0606 名無しさん＠お腹いっぱい。 2011/05/15(日) 13:30:46.00]

DNSポイゾニングでブロックと聞いて久々にISPのDNS使ってみたら
行きつけのサイトが見れなかった
ウウウウウウウウウウウンン

[0607 名無しさん＠お腹いっぱい。 2011/05/15(日) 16:41:14.71]

>>606
話題のぷららですか。

[0608 名無しさん＠お腹いっぱい。 2011/05/15(日) 17:03:45.96]

ぷららならばしょうがないがさてどこだろう

[0609 名無しさん＠お腹いっぱい。 2011/05/15(日) 18:19:53.16]

ぷららってDNSポイゾニングじゃないんだな

[0610 名無しさん＠お腹いっぱい。 2011/05/15(日) 20:47:40.60]

コンテンツフィルタですた

[0611 名無しさん＠お腹いっぱい。 2011/05/17(火) 19:16:59.44]

DNS鯖陥落したの

PC側実害無しでけど、飛ばし先ヤバイよ!

このドメイン名は、ICEに襲われました - 国土安全保障調査（タイトル18 U.S.C2254.の当局の下で米国地方裁判所によって出されるseizre warratに基づく）

[0612 611 2011/05/17(火) 19:27:02.78]

児童ポルノのAdvertisement,distribution,transpotration,receipt,and所有は、最初に対するそのキャリー処罰が連邦prison,aで30年、犯罪者の時間を計る連邦犯罪を250,000ドルのfine,forfeitureと賠償に任命します。

Windowsだとカード番号入力画面出るのか
250ドル　250000ドルなら米韓政府グルだな
欧州串経由では、404

[0613 名無しさん＠お腹いっぱい。 2011/05/18(水) 01:00:31.62]

日本語でおｋ（英語でもおｋ）

[0614 名無しさん＠お腹いっぱい。 2011/05/18(水) 02:51:38.66]

中学生レベルの英語を機械翻訳にかけて
日本語になっていない文字の羅列を貼って喜んでいる奴は何をしたいんだ

[0615 名無しさん＠お腹いっぱい。 2011/05/18(水) 09:53:39.01]

prison,a
プリゾン・ア
と読めばいいのかコレ

[0616 名無しさん＠お腹いっぱい。 2011/05/27(金) 15:39:41.53]

またかよ……
http://www.isc.org/software/bind/advisories/cve-2011-1910

[0617 名無しさん＠お腹いっぱい。 2011/05/27(金) 15:43:28.23]

こっちもか……
http://unbound.nlnetlabs.nl/downloads/CVE-2011-1922.txt

[0618 名無しさん＠お腹いっぱい。 2011/05/27(金) 15:49:15.37]

穴多すぎだよなぁ。
根本的になんとかならんのかね。

[0619 名無しさん＠お腹いっぱい。 2011/05/27(金) 18:00:46.63]

皆でnsd+unboundかPowerDNSとかに移行するしかないのか？

[0620 名無しさん＠お腹いっぱい。 2011/05/28(土) 04:46:42.58]

( ´∀｀)つ Microsoft DNS server

[0621 名無しさん＠お腹いっぱい。 2011/05/28(土) 16:59:40.56]

ラウンドロビンしてくれるのってBINDだけだっけ

[0622 名無しさん＠お腹いっぱい。 2011/05/30(月) 07:50:51.95]

今週はパッチ入りバージョンの検証で残業予定、めんどくせー

[0623 名無しさん＠お腹いっぱい。 2011/05/30(月) 12:34:53.75]

おめ

[0624 名無しさん＠お腹いっぱい。 2011/05/31(火) 00:50:44.47]

unboundの assertionで落ちるのは DoSというのかね
コンパイル時に--enable-checking や --enable-debug つけて
ないと当たらないし

[0625 名無しさん＠お腹いっぱい。 2011/05/31(火) 00:57:26.85]

BINDの脆弱性はまたDNSSEC絡みか
DNSSECのために脆弱性増えてるなら
なんのためDNSSECかわからんぞ

[0626 名無しさん＠お腹いっぱい。 2011/05/31(火) 11:47:07.98]

クライアント側実装も怪しいもんだな＞DNSSEC
で、banスクリプトどこにあんの?

[0627 名無しさん＠お腹いっぱい。 2011/06/07(火) 13:11:35.95]

BIND9の内向き解決にIPv6アドレスを登録するときって
リンクローカルアドレスでいい？

[0628 名無しさん＠お腹いっぱい。 2011/06/07(火) 15:22:19.72]

DNS 的には登録することに問題はないと思うけど、
それを参照するアプリに問題が起きないかどうかは別の話。
少なくともリンクローカルじゃルータを越えられない。
内向きじゃルータとか気にしなくてもいいかもしれないけど、
そういうプライベート用途であればリンクローカルアドレスではなく
ユニークローカルアドレスを使った方がいいと思う。

[0629 名無しさん＠お腹いっぱい。 2011/06/07(火) 16:29:52.48]

リンクローカルな名前解決はmDNS使ってしまいたい

[0630 名無しさん＠お腹いっぱい。 2011/06/08(水) 09:04:58.89]

AAAA遮断したったwwwwwww

[0631 名無しさん＠お腹いっぱい。 2011/06/08(水) 14:58:24.50]

アッー

[0632 名無しさん＠お腹いっぱい。 2011/06/16(木) 12:10:00.95]

recursion って副作用があるね

[0633 名無しさん＠お腹いっぱい。 2011/06/16(木) 13:34:05.70]

というと?

[0634 名無しさん＠お腹いっぱい。 2011/06/29(水) 22:25:09.38]

janogで話がでてるが、
jpゾーンのnsがBIND 9.7.3-P3という版に
なってる
公開されてる最新版はP1
セキュリティホール来るか？

> dig @a.dns.jp version.bind chaos txt
"9.7.3-P2"

[0635 634 2011/06/29(水) 22:28:34.86]

>>634
ああまちがえた9.7.3-P2ね

[0636 ななし 2011/07/02(土) 21:01:24.33]

c.dns.jpで使っているultradnsってなに？

[0637 名無しさん＠お腹いっぱい。 2011/07/03(日) 00:11:06.46]

>>636
c.dns.jpのIPアドレスをwhoisしてみ？
ソフトではなくサービス名じゃないか。
なに使ってるか知らないけど。

[0638 名無しさん＠お腹いっぱい。 2011/07/05(火) 22:33:14.39]

>>634
CVE-2011-2464, CVE-2011-2465
9.8.0-P4, 9.7.3-P3, 9.6-ESV-R4-P3

[0639 名無しさん＠お腹いっぱい。 2011/07/05(火) 23:38:23.42]

強烈だねぇ
allow-queryでも防げないとか
どんだけだよこれ

[0640 名無しさん＠お腹いっぱい。 2011/07/06(水) 12:56:33.03]

定期脆弱性

[0641 名無しさん＠お腹いっぱい。 2011/07/06(水) 20:15:21.17]

allow-***の見直しをしてほしい。
わかりにくいったらありゃしない。

[0642 名無しさん＠お腹いっぱい。 2011/07/06(水) 20:18:40.00]

むしろ見直しをしたら訳がわからなくなったと思われ

[0643 名無しさん＠お腹いっぱい。 2011/07/06(水) 20:54:44.90]

さすが9.4だ、何ともないぜ

[0644 名無しさん＠お腹いっぱい。 2011/07/06(水) 21:00:02.24]

>>643
こういうことらしい
ttps://lists.isc.org/pipermail/bind-users/2011-July/084364.html

[0645 名無しさん＠お腹いっぱい。 2011/07/06(水) 22:55:33.70]

BINDここまで品質悪いのは何でだぜ？
BIND10になれば良くなるんだろうか

[0646 名無しさん＠お腹いっぱい。 2011/07/06(水) 23:44:52.33]

月刊『重複をお許しください』

[0647 名無しさん＠お腹いっぱい。 2011/07/07(木) 07:36:11.78]

なんでtar玉が7M近くも有る、そこまで複雑なことやってるか？
修正箇所を含めてコメントがさっぱり無いので検証が面倒い
しかし代替品も中途半端なものばかり

[0648 名無しさん＠お腹いっぱい。 2011/07/07(木) 10:15:38.26]

bind捨てれば幸せ
かも

[0649 名無しさん＠お腹いっぱい。 2011/07/07(木) 10:19:06.05]

tar 玉の中身を見ればわかるけど、ソース以外のものがほとんどだよ。
ドキュメントだけで10MBとか、テストツールだけで5MBとか。

[0650 名無しさん＠お腹いっぱい。 2011/07/07(木) 14:03:42.61]

以下のやりとりの中で、「9.4以下はコード上に脆弱性はあるけど、 攻撃方法が見つかっていないし、安全そうだから、発表しない んだよ。」っという結論に達していいのだろうか。

ttps://lists.isc.org/pipermail/bind-users/2011-July/084368.html

[0651 名無しさん＠お腹いっぱい。 2011/07/07(木) 16:26:21.08]

潜在的に穴はあるけど、外からはその穴をつつけないから危険ではない。
……というところまではいいけど、発表しないんじゃなくて、
その穴を直した修正版をそのうちリリースする、とあるね。
たぶんそれが 9.4 の最終版になるのかな。

[0652 名無しさん＠お腹いっぱい。 2011/07/07(木) 22:20:42.19]

で、実証コードは？

[0653 名無しさん＠お腹いっぱい。 2011/07/07(木) 22:34:38.76]

実証できていないから安全ですｗ
安全だから対応しなくていいんですｗ

[0654 名無しさん＠お腹いっぱい。 2011/07/07(木) 23:09:45.19]

実際問題として修正されたのは9.4には無い部分のコードだからな
というわけで本当に>>643

[0655 名無しさん＠お腹いっぱい。 2011/07/08(金) 11:41:30.14]

>>651
この場合のwillは、「予定」ではなく、「願望」だと思われ。
従って、修正版は出ない。

[0656 名無しさん＠お腹いっぱい。 2011/07/08(金) 15:53:43.75]

>>655
9.4-ESV-R5rc1 出ました

[0657 名無しさん＠お腹いっぱい。 2011/07/08(金) 16:53:05.84]

>>656
これまた、失礼いたしました。
rhel の9.2は平気なの？

[0658 名無しさん＠お腹いっぱい。 2011/07/08(金) 17:10:44.31]

>>657
http://www.isc.org/software/bind/security/matrix
redhatがパッチをバックポートしてるだろうから最新のRPMを使ってるかぎりは
たぶん大丈夫だろうけど、少なくとも素の 9.2 はとても使えたもんじゃない。

[0659 名無しさん＠お腹いっぱい。 2011/07/08(金) 21:03:47.52]

>>655
キリッ！

[0660 名無しさん＠お腹いっぱい。 2011/07/09(土) 09:32:02.50]

>>656
いやいや、cve-2011-2464,2425関係ないアップデートじゃないか？changelogに何も書いてないし

[0661 名無しさん＠お腹いっぱい。 2011/07/09(土) 09:32:59.64]

>>654
が正しいのかな？

[0662 名無しさん＠お腹いっぱい。 2011/07/09(土) 09:55:53.36]

>>655 は出たらアップデートしなくちゃいけなくて面倒だから
出ないでほしいなぁという655と俺の願望

[0663 名無しさん＠お腹いっぱい。 2011/07/09(土) 09:56:59.72]

>>661 今回の穴だけに限って言えばね

[0664 名無しさん＠お腹いっぱい。 2011/07/09(土) 17:32:29.29]

>>660
節穴ですか？

ttp://ftp.isc.org/isc/bind9/9.4-ESV-R5rc1/RELEASE-NOTES-BIND-9.4-ESV.html

Bug Fixes
9.4-ESV-R5rc1
? Improved the mechanism for flagging database entries as negative cache records;
the former method, RR type 0, could be ambiguous. [RT #24777]

[0665 名無しさん＠お腹いっぱい。 2011/07/09(土) 17:36:24.11]

BUGではあるがSECURITYでないのがみそということね。

[0666 名無しさん＠お腹いっぱい。 2011/07/09(土) 18:58:49.07]

>>665
正解

[0667 名無しさん＠お腹いっぱい。 2011/07/11(月) 09:19:02.46]

>>663
いや、validator.cに同等の修正が入ってる

[0668 名無しさん＠お腹いっぱい。 2011/07/11(月) 21:26:30.75]

>>644にすべて書いてあるのに何ごちゃごちゃ言ってんだよ。

[0669 sage 2011/07/12(火) 21:25:18.97]

DNS Invalid Compress DoS とか

[0670 名無しさん＠お腹いっぱい。 2011/07/12(火) 22:54:06.65]

高尚な話題の所、しょうもないこと聞いていい？

host.a.example.com, host.b.example.com の両方によくアクセスするので、
検索ドメインの設定を example.com にしておいて、
host.a や host.b の名前でアクセスするのは、
スタブリゾルバやOS・アプリの実装に依存した方法？

[0671 名無しさん＠お腹いっぱい。 2011/07/16(土) 06:35:27.68]

ホスト名が一段深いのはどうなのかってこと？

[0672 名無しさん＠お腹いっぱい。 2011/07/16(土) 12:41:15.10]

>>670
その環境で楽したいだけなんでしょ?
環境依存かどうか気にしてもしょうがないんじゃない?

[0673 名無しさん＠お腹いっぱい。 2011/08/01(月) 21:37:17.56]

質問があるのですがbomd9.4.3から
最新のbind9.8.0-p4に更新したら
名前解決が遅くなりました。
解決方法はありますか？

[0674 名無しさん＠お腹いっぱい。 2011/08/01(月) 21:38:55.02]

間違えました。
bind9.4.3から9.8.0-p4でした

[0675 名無しさん＠お腹いっぱい。 2011/08/01(月) 22:14:09.31]

named -4
で起動

[0676 名無しさん＠お腹いっぱい。 2011/08/19(金) 07:05:31.69]

bomd 9.4.3　はいいね

[0677 名無しさん＠お腹いっぱい。 2011/08/19(金) 08:13:12.20]

何それ

[0678 名無しさん＠お腹いっぱい。 2011/08/19(金) 08:30:02.96]

中だけ（右手だけ？）ずれている感じか

[0679 名無しさん＠お腹いっぱい。 2011/08/19(金) 10:57:35.48]

なんかバクハツしそうだね

[0680 名無しさん＠お腹いっぱい。 2011/08/23(火) 12:07:48.65]

しかもdaemonっぽい

[0681 名無しさん＠お腹いっぱい。 2011/08/31(水) 18:27:32.12]

NSレコードがよく分からないので教えてください
ドメイン業者のレンタルDNSレコードを使わずに自分でDNS鯖を立てたいのですが、
mydomain.comというドメインを取得し、ns1.mydomain.comとns2.mydomain.comというDNS鯖を立てるとき
mydomain.comのNSレコードにns1.mydomain.comとns2.mydomain.comを指定しますよね
その場合ns1.mydomain.comとns2.mydomain.comはAレコードを持っていなければいけないようですが、
そのns1のAレコードはどこで設定するのでしょう？
ns1はmydomain.comの下位にあるのでそれを管理するのはmydomain.comのNSレコードで設定したns1mydomain.com…
となって名前解決できなくならないのはなぜですか？

[0682 名無しさん＠お腹いっぱい。 2011/08/31(水) 18:36:54.53]

>>681
mydomain.comなら今現在 NSレコードも Aレコードも引けるね。
つまり、自己解決されたんですね、おめでとうございます。

[0683 名無しさん＠お腹いっぱい。 2011/08/31(水) 18:39:52.24]

いや、例えで出しただけです
実在するドメインだったんですかすみません

[0684 名無しさん＠お腹いっぱい。 2011/08/31(水) 19:33:38.40]

このスレには昔から「例示のドメインには example.com とか使え」教のキチガイが棲みついてて
嫌がらせだけが目的の何の役にも立たない >>682みたいなレスしてくるから気をつけるんだな

>>681 それを解決するのがglue レコード。
http://ja.wikipedia.org/wiki/Glue_Record
良い説明が見つからんなぁ

[0685 名無しさん＠お腹いっぱい。 2011/08/31(水) 20:13:19.22]

>>684
それ系のメーリングリストも一緒に購読しておくと
名無しでもそれをやってるのが誰なのか見当が付いてくるｗ

まぁ他人のドメインを使っちゃうのはまずいとは思うけどね。
Hoge Lumber Companyさんのドメインとかｗ

[0686 名無しさん＠お腹いっぱい。 2011/08/31(水) 20:19:43.64]

Glueレコードですか、なるほど
その設定をレジストラのサイトで探せばいいわけですね、わかりました
ありがとうございます

[0687 名無しさん＠お腹いっぱい。 2011/08/31(水) 20:24:04.38]

>>684
rootサーバが使ってると思われるゾーンファイルは
各トップレベルドメインのNSがずらーっと書いてあって
さらにその下にそのNSが指してる名前のAやAAAAも
ずらーっと書いてあるね。

[0688 名無しさん＠お腹いっぱい。 2011/08/31(水) 21:08:12.43]

運用上はどうでもいい疑問かもしれませんが、
NSレコードの設定ってTLDを管理してるネームサーバに直接記録されるんですか？
それともレジストラのネームサーバに記録されるんですか？

[0689 名無しさん＠お腹いっぱい。 2011/08/31(水) 23:07:19.92]

>>688
「TLDを管理しているネームサーバ」と
「レジストラのネームサーバ」を具体的に考えれば分かる。
たぶん。

[0690 名無しさん＠お腹いっぱい。 2011/08/31(水) 23:42:34.03]

実在するドメインを例示に使わないのは当然のマナー。
example教は俺も嫌いだが、主張は全く正しい。

[0691 名無しさん＠お腹いっぱい。 2011/09/01(木) 00:06:41.26]

爺か？爺なのか！？

[0692 名無しさん＠お腹いっぱい。 2011/09/01(木) 00:22:57.66]

マナー(笑)

[0693 名無しさん＠お腹いっぱい。 2011/09/01(木) 00:24:01.05]

若さしか取り柄のないDQNが開き直りですか

[0694 名無しさん＠お腹いっぱい。 2011/09/01(木) 00:48:19.25]

example教が「DNS & BIND」とか見れば発狂するよなー
movie.eduとか何だよｗｗｗ
第4版まではこの体たらくだが
第5版では直ってるのかな？

[0695 名無しさん＠お腹いっぱい。 2011/09/01(木) 03:35:43.46]

example教の糞なところは、example.なんとかを使えとでしゃばるくせに
質問にはノータッチなところだろ。
質問に答えられないほどの無能なのに何やってんの？みたいなｗ

[0696 名無しさん＠お腹いっぱい。 2011/09/01(木) 09:34:09.39]

第5版でも movie.eduだよ >>694
突っ込むなら先にこっちだよね

[0697 名無しさん＠お腹いっぱい。 2011/09/01(木) 19:27:45.59]

俺はおっさんなのでacme.comが好きだ

[0698 名無しさん＠お腹いっぱい。 2011/09/01(木) 23:51:54.41]

>>697
初めて見たときはドキドキしたのを思い出した
そんな俺もおっさん

[0699 名無しさん＠お腹いっぱい。 2011/09/02(金) 03:41:59.64]

Plan9のエディタかと思ってどきどきしちゃった

[0700 名無しさん＠お腹いっぱい。 2011/09/02(金) 07:38:11.63]

打ち合わせでマニュアルの例示見ながら皆でacme連呼してたな〜

[0701 名無しさん＠お腹いっぱい。 2011/09/02(金) 09:46:41.52]

電話番号の例示にも 0×0-1234-5678 っていうのがよく使われるが、
実在するぞ。さぞ迷惑だろうな。

[0702 名無しさん＠お腹いっぱい。 2011/09/02(金) 09:54:01.85]

懸賞の当選者名の例示にも セシウムさん っていうのがよく使われるが、
実在するぞ。さぞ迷惑だろうな。

[0703 名無しさん＠お腹いっぱい。 2011/09/02(金) 10:16:36.43]

>>701
それは実在しないだろ。

[0704 名無しさん＠お腹いっぱい。 2011/09/02(金) 12:04:35.28]

>>703
正規表現でないから分からないと申したか

[0705 ひろゆき 2011/09/12(月) 08:21:56.06]

続きはこちらで

くだらない質問はここに書き込め!なんでもアリ24
http://pc.2ch.net/test/read.cgi/unix/1053748966/

BIND その2
http://pc.2ch.net/test/read.cgi/unix/1042989999/

djb(3)
http://pc.2ch.net/test/read.cgi/unix/1047117464/

[0706 名無しさん＠お腹いっぱい。 2011/09/21(水) 19:07:13.05]

8.8.8.8でiPhoneが速くなった!と言ってる人がそれなりにいるということは
余程グダグダなDNSキャッシュサーバが多いってことなのかのう

[0707 名無しさん＠お腹いっぱい。 2011/09/21(水) 22:34:19.67]

禿携帯のインフラがクソなのは鉄板じゃないか

[0708 名無しさん＠お腹いっぱい。 2011/09/22(木) 01:24:08.18]

>>707
3G回線のDNS変更じゃないぞ

[0709 名無しさん＠お腹いっぱい。 2011/09/22(木) 07:40:12.28]

8.8.8.8とか結構改善されているかも

[0710 名無しさん＠お腹いっぱい。 2011/09/22(木) 12:22:51.45]

>>708
あほん興味ないから知らんかった
検索してみたら気味悪いくらい拡散してるな

禿のばらまいたアクセスポイントがキャッシュサーバになってて
キャッシュにヒットしないから遅いって話じゃないの？

[0711 名無しさん＠お腹いっぱい。 2011/09/22(木) 20:03:36.76]

8.8.8.8であるCDNサーバ引くとRTT倍増ｷﾀｺﾚｗ
相変わらず使えねーじゃん

[0712 名無しさん＠お腹いっぱい。 2011/09/23(金) 01:40:20.25]

>>706
十分にユーザ数があれば、メジャーなサイトは大体キャッシュ済み
になるので8.8.8.8がやってるプリフェッチの優位性も薄れるし、まともに
運用されているISPのDNSキャッシュのほうが総合的に良い結果になるはず
なんだけど、やっぱりまともでないキャッシュが多いんだろうなぁ

[0713 名無しさん＠お腹いっぱい。 2011/09/23(金) 10:01:59.85]

児ポトラップがかなりのオーバーヘッドになってそうｗ
あとIPv6関連か。

最近一発目はアドレスが存在しないエラーが出るサイトが時々ある。

[0714 名無しさん＠お腹いっぱい。 2011/10/10(月) 19:05:31.08]

unboundのprefechって、キャッシュにヒットしたレコードの
TTLが残り少なくなってたら裏で問い合わせをしてTTLを更新するってものなんだな
"popular items"じゃわからんつーの > マニュアル

さすがに放っておいても勝手に問い合わせして
キャッシュを維持するようにしたら怒られるか。

[0715 名無しさん＠お腹いっぱい。 2011/10/11(火) 09:49:28.93]

>>714
google public dnsなんかも同じようなことやってるはず。

今は確認してないが、サービス開始当時はそんな挙動をしてたよ。

[0716 名無しさん＠お腹いっぱい。 2011/10/11(火) 16:36:12.33]

DNSのプリフェッチは、キャッシュサーバがやるにしろクライアントが
やるにしろデメリットが大きい割にメリット少ないのでやめてほしいところ。
Unboundのプリフェッチはまだお行儀がいいほうだが、
FirefoxやChromeがやってるプリフェッチはISPのDNSキャッシュサーバの
負荷を無駄に上げるだけで、結果的に悪くなる方向に誘導しているに等しい。
ベンチマークで勝つためには必要かもしれないが。

[0717 名無しさん＠お腹いっぱい。 2011/10/12(水) 09:58:20.03]

>>716
ブラウザのプリフェッチとキャッシュサーバの
プリフェッチは少し意味合いが違うんじゃ？

キャッシュのは、ちゃんとTTLが切れてから普通
に1回聞きに来るだけだし、googleのだと使用頻度
に応じて、キャッシュを維持する候補から外れる
みたいだし。

ブラウザのはたしかにキャッシュに負担が掛かる
ので、はた迷惑だけどね。

[0718 名無しさん＠お腹いっぱい。 2011/10/12(水) 17:41:00.76]

UnboundはTTLが10%を切ったキャッシュ済みレコードにクエリが
あったときにそのレコードをプリフェッチする。すべての
DNSキャッシュサーバがUnboundのプリフェッチをするようになると
人気があるドメインのDNS権威サーバの負荷が10%上がる。

Unboundのプリフェッチはデフォルトでオフだし、unboundあまり
普及していないから問題にはならないけど、同じことをBIND9でデフォルトで
オンで実装されると困る人が出てくるかも。
ブラウザのプリフェッチほどひどくないけど。

[0719 名無しさん＠お腹いっぱい。 2011/10/13(木) 10:23:16.97]

>>718
たしかに負荷はあがるけど、自分が管理してる
ドメインへのクエリのレスポンス速度が他人の
キャッシュでも上がると考えれば、うれしい人
もいるかも？

キャッシュが落ちてる時の初回応答ってかなり
時間掛かったりするから、その辺が改善される
ならば、自分的にはうれしい。

[0720 名無しさん＠お腹いっぱい。 2011/10/13(木) 13:03:54.36]

プリフェッチの恩恵あるのは、そのレコードのTTLのexpire直後に同じクエリを
出すことになる最初のユーザのみ。2人目以降は、
人気があるドメインやキャッシュサーバならキャッシュ済み、
そうでなければやっぱりexpireしてるかのどちらか。

Unboundのプリフェッチの実装は悪くは無いと思うけど、そのTTL切れ
直後の1ユーザのためだけに、キャッシュ・権威双方で10%の負荷を
上げてまでやるほどのメリットがあるかは微妙だと思う。
もう少し厳密に評価はしたほうがいいけど。

[0721 名無しさん＠お腹いっぱい。 2011/10/13(木) 19:00:00.60]

負荷の高いキャッシュだと、初回応答の遅れが
他への影響が大きくなるパターンとかがあった
希ガス。

BINDだと、スレッドの大半がそのサイトの応答
待ちになって他のクエリが…とか、dnscacheだと
シングルスレッドの待ち行列が詰まるとかそんな
話を聞いたような？

いずれにせよ、聞いた話なので、確かに厳密な
検証は必要ですね。

つーか、そろそろUnboundを真面目に検証する
時間が欲しい。いい加減業務でも使ってみたい。

[0722 名無しさん＠お腹いっぱい。 2011/10/13(木) 19:56:48.10]

づぴぴｗｗづぐうぃｗちゆうぃｗぴうぃｗ

[0723 名無しさん＠お腹いっぱい。 2011/10/14(金) 03:29:52.55]

昔のことはあまり知らないけど、数万qpsのクエリを処理するキャッシュサーバ
運用してる立場から言わせてもらえば、パケット再送やlame delegationで再帰
問い合わせに時間がかかるケースは頻発するので、それくらいで待ち行列が
溢れて黙りこんでしまうキャッシュサーバは今時有り得ないですね。

Unboundは速いしセキュリティホール少なくていいんだけど、
BINDでは引けるがUnboundで引けないドメインが何個か見つかっているのが心配。
だいたい権威サーバ側の問題なんだけど、BINDは権威サーバの問題に
寛容であの手この手で頑張って引いてくれる。Unboundはかなり
厳格で引けなかったりする。いくら権威サーバ側の問題でも、
お客さんにとっては引けないよりも引けるほうがいいからね。

たとえば Unbound users MLでも出てるけど、BINDとUnboundの
DNSSEC規格解釈の差が原因で、DNSSEC ONのUnboundでは faa.gov が
引けない (BINDでは引ける) 問題は絶賛進行中。

[0724 名無しさん＠お腹いっぱい。 2011/10/14(金) 10:29:29.88]

dnscacheは同時クエリー上限がUDP 200、TCP 20になってる。
この程度は大規模なキャッシュサーバだとわりと簡単に溢れる。
この値はハードコーディングされてて設定ではいじれない。

[0725 tss 2011/10/14(金) 10:53:52.70]

寛容というかいいかげんだからおかしなドメインが溢れかえるし、毒入れなんかもおきやすくなる。
BINDが寛容にみえるのは、過去仕様をころころかえている自分を許すため。
過去には、バグで毒入れできるのをDNSの仕様が悪いなんて嘘をついてもいるし。
これについてはまだ真相は表では語られていない。

[0726 名無しさん＠お腹いっぱい。 2011/10/14(金) 14:35:26.00]

>>724
dnscacheっていうかdjbの思想として、
1台のDNSキャッシュに多数のクライアントぶら下げるんじゃなくて
各自ローカルのキャッシュ動かせ、というのがあった気がする
大規模キャッシュという使い方はあまり想定していないように見える

>>725
その真相を語ってくれよ先生

[0727 名無しさん＠お腹いっぱい。 2011/10/14(金) 18:47:12.00]

マルチスレッド動作のBINDだと、キャッシュExpire後の
初回問い合わせが応答遅いと、他のスレッドで同じクエリ
を出してて応答待ち状態なのに、クエリを出しちゃうとか
はあったかも。

あと、Windowsなんかだと、優先DNSの応答が遅いとすぐに
代替DNS側にもクエリが行くので、代替に負荷が溜まりや
すかった気がする。特にネガティブキャッシュになるレコ
ードだと顕著だったかと…

まあ、ささいな話なんだふが。

>>724
昔どっかのMLでソースを改変してる人を見たような気が
したけど、何かの理由であまり効果がなくてうんぬん
とか話してた気がする。

[0728 tss 2011/10/16(日) 00:16:26.83]

そのうち語る予定。

[0729 tss 2011/10/19(水) 17:29:55.06]

>>726
昨日、DNSOPS-JP ML へ真相の一旦を流しました。
http://www.e-ontap.com/dns/bindmatrix.html

[0730 tss 2011/10/20(木) 00:09:45.00]

一端 orz

[0731 名無しさん＠お腹いっぱい。 2011/10/20(木) 18:29:27.61]

トリップつけてblogのどこかに書いておきなよ先生
ここID出ないんだから

[0732 名無しさん＠お腹いっぱい。 2011/10/20(木) 19:04:32.57]

こういところで自サイトの宣伝する奴はカスだな

[0733 名無しさん＠お腹いっぱい。 2011/10/20(木) 20:50:12.60]

書かれてることはウソではないんだろうが、
3年後にドヤ顔で言われてもなぁ
「DNSプロトコルの脆弱性てはない」
というところは議論の余地はありそうだが
議論しても何も生産的なことはなさそうなんで何も言わない

[0734 名無しさん＠お腹いっぱい。 2011/10/22(土) 21:48:20.54]

ほげー

[0735 名無しさん＠お腹いっぱい。 2011/10/23(日) 19:38:53.40]

崩壊→浸透→移行の次は
「Kaminsky attackはウソだった！」ですか
売名も大変ですね 私大教員も楽じゃない

[0736 tss 2011/10/24(月) 08:17:57.55]

ウォッチしていてくれてありがとう ;-)

[0737 名無しさん＠お腹いっぱい。 2011/10/26(水) 00:26:02.00]

BIND 9.7.3-P3なんだけど、forwarders経由の情報を
ネガティブキャッシュしないっぽいんだけど設定がおかしいのかな？
NXDOMAINもNXRRSET(Aしかないドメイン大してAAAAを引いた場合)
もキャッシュしないみたいなんですが。

// named.conf はこれだけです↓
options {
forwarders { 10.0.0.1;}; // プロバイダのキャッシュサーバ
forward only;
};

[0738 名無しさん＠お腹いっぱい。 2011/10/26(水) 00:28:21.10]

ネガティブキャッシュしないというのは、
NXDOMAIN/NXRRSETになるパターンだと必ずプロバイダのキャッシュサーバ
に聞きに行ってるということです。ポジティブキャッシュは効いてるみたい。

[0739 名無しさん＠お腹いっぱい。 2011/10/26(水) 19:31:34.97]

ほんとだ。何か理由があるのかな。

[0740 名無しさん＠お腹いっぱい。 2011/10/26(水) 20:15:55.47]

ちょうど上でKaminsky attackの話が出てきたので思ったんだけど．．．

ポジティブキャッシュするけどネガティブキャッシュしないってことは
Aしかないドメインに、ニセのAAAAレコードを追加する攻撃が成功する
確率が上がるんじゃね

[0741 tss 2011/10/26(水) 22:02:45.90]

良いところに気がつきましたね ;-)

[0742 名無しさん＠お腹いっぱい。 2011/10/27(木) 00:04:49.70]

あんたいつも上から目線だな

[0743 名無しさん＠お腹いっぱい。 2011/10/30(日) 01:14:35.72]

タイムスタンプみればわかるだろ
寂しいんだよ

[0744 名無しさん＠お腹いっぱい。 2011/10/30(日) 17:16:01.51]

「浸透いうな」が言葉狩り扱いされて残念でしたね先生
その上から目線の態度じゃ仕方ないけどね

[0745 名無しさん＠お腹いっぱい。 2011/10/30(日) 18:36:26.37]

なんで最近「浸透言うな」ネタがはやってるん？
タイムラグが起きる事を端的に表した良い言葉だと思うんだけど
TTL調整は当たり前だろうに

[0746 名無しさん＠お腹いっぱい。 2011/10/30(日) 19:36:38.26]

言葉狩り、とレッテル貼るだけ、ってのも言葉狩り
同じ穴の貉なんだけどなw

[0747 名無しさん＠お腹いっぱい。 2011/10/30(日) 19:50:24.92]

>>745
今騒がれてる「浸透」問題はTTLはほとんど関係ない　言葉の問題でもない
DNS権威サーバの構成や設定や変更手順がまずくて、権威サーバでDNSレコードを変更しても、
TTLが経過しても、世間のキャッシュサーバのデータが新レコードに
なかなか更新されない現象に関する問題

ただ何だか知らんがtss先生が上から目線で「浸透いうな」とtweetしまくって
くれたせいで世間には言葉の問題と捉えられてしまった
（あの文書長くて読む気しないし）

さらにどういう意図か知らないがオレンジ氏が先日の講演で
「浸透という言葉は技術的におかしい」という話だけに終始して言葉の
問題であることを強調してしまった。オレンジ氏ってJPRS広報担当だそうだが

どいつもこいつもオ�hルな……

[0748 名無しさん＠お腹いっぱい。 2011/10/30(日) 20:41:03.02]

「浸透」という言葉を当てるなということ？
Virtualが仮想ではないということのように。

[0749 名無しさん＠お腹いっぱい。 2011/10/30(日) 21:16:27.04]

>>748
DNSの仕組みがわかっていれば「浸透」と表現することはない。

[0750 名無しさん＠お腹いっぱい。 2011/10/30(日) 21:47:21.11]

クライアントが問うまでレコードは一切流れないもんね。

[0751 名無しさん＠お腹いっぱい。 2011/10/30(日) 22:02:19.49]

わかってる人がどう言ってるのか教えてください
ボクもわかってるフリをしたいです

[0752 名無しさん＠お腹いっぱい。 2011/10/30(日) 22:23:59.74]

地球に天体が衝突しそう！

NASA「地球はよく小惑星が落ちてくるんで仕方ないですわー」（本当は軌道を変える方法があるのに）
tss「小惑星いうな」
Orange「あれを小惑星と呼ぶのは技術的におかしい。小惑星の定義とは……」


こうですかわかりません＞＜

[0753 名無しさん＠お腹いっぱい。 2011/10/31(月) 01:32:50.05]

それクスッともこないんだけど

[0754 名無しさん＠お腹いっぱい。 2011/11/03(木) 23:12:21.80]

教授達も、PacketiX VPNでネットワーク作るなり
ＤＮＳの経験を積ませればいいのに･･･
すでに日本にはマシな技術者がいないという事か･･･

[0755 名無しさん＠お腹いっぱい。 2011/11/04(金) 00:16:02.07]

なぜSoftEther

[0756 名無しさん＠お腹いっぱい。 2011/11/04(金) 00:26:07.59]

同じリスト＆キャッシュポイズニング的な意味で
「qmail.jp」「e-ontap.com」は要注意ですね

[0757 名無しさん＠お腹いっぱい。 2011/11/04(金) 01:14:37.80]

大学准教が多数のDNSサーバを攻撃中！（ソースはニュー速）
ってtwitterにデマ流せばいいのか

[0758 名無しさん＠お腹いっぱい。 2011/11/04(金) 01:36:33.07]

次のテンプレで閲覧注意が丁度よいかと
さすがに攻撃はせんでしょ

[0759 名無しさん＠お腹いっぱい。 2011/11/04(金) 01:38:11.93]

くだらねーことしてる暇があったらRFC1912をupdateする活動してくれよ先生

[0760 名無しさん＠お腹いっぱい。 2011/11/04(金) 09:54:56.03]

>>759
RFC1912って何かマズいの？

[0761 名無しさん＠お腹いっぱい。 2011/11/04(金) 10:36:46.56]

>>758
危険なＤＮＳサーバとやらで見に行った後
何されるかわからんけどなｗ

[0762 名無しさん＠お腹いっぱい。 2011/11/04(金) 22:00:47.52]

>>760
RFC1912の内容がさすがに古いんじゃねってこと
Informational RFCのupdateってあるのかどうかしらんけど、
オープンリゾルバやソースポート固定や「浸透」の問題を明示的に
書いたRFCも無いと思うので、そういうのを盛り込んで更新するのがいいと思う
日本国内だけの問題じゃないしね

[0763 名無しさん＠お腹いっぱい。 2011/11/04(金) 22:07:41.49]

open resolverはRFC5358があるか

[0764 名無しさん＠お腹いっぱい。 2011/11/07(月) 15:42:13.05]

DNSが「浸透」するものならinfiltrationとかpenetrationとか言われてるんだろうけど、
実際にはpropagationと言われてるからそれは伝播だろうということだな？

[0765 名無しさん＠お腹いっぱい。 2011/11/07(月) 19:25:15.63]

tssさんの調査かと思った
named[1822]: client 74.115.28.50#10053: query (cache) 'dankaminsky.com/A/IN' denied

[0766 tss 2011/11/08(火) 09:05:39.00]

propagation いうな

[0767 726 2011/11/12(土) 21:17:03.17]

>>729
盛り上がって？ますな

jinmeiさんの言うとおり、Kaminskyの発表自体には誤りはあったけど、
原理は依然有効で、BINDのバグが無くてもニセ委任情報の毒入れ
（の確率を上げること）は可能だしその議論も既出なんだよね。それでよくね？
もう屁理屈モードに入ってきてるけど、あんまり人に絡むもんじゃないよ先生

それにKaminsky attackは間違いだったということをあまり強調しすぎると、
port randomizationみたいな対策しなくていいよという話にもなり
かねんと思う。先生も良くご存じのように、どうせちゃんと説明しても
理解する人は少数なんだし。

ちなみに、DNSSECディスりたくて仕方ないようだけど、誰がプロモしようが
今のままのDNSSECは運用が難しすぎてディスるまでもなく
普及しないから無視していいと思います。まぁ、スペック表に○を増やしたい
人もいるのは見逃してやれよ。DNSなんて差別化できなくて久しくて、
リストラの危機に常にさらされてるわけだから。

[0768 名無しさん＠お腹いっぱい。 2011/11/12(土) 22:31:16.29]

あの攻撃的な論調にもかかわらず当事者と言っていい人からコメントもらえたのに何が不満なんだか
かまってちゃんだな

[0769 名無しさん＠お腹いっぱい。 2011/11/12(土) 23:37:04.96]

上から目線で思わせぶりにうそぶいたところで
痛いお馬鹿さんにしか見えないって気付いてほしいｗ

[0770 名無しさん＠お腹いっぱい。 2011/11/13(日) 00:47:19.44]

いつも核心を書かないよね。
話長引くだけなのに。

[0771 名無しさん＠お腹いっぱい。 2011/11/13(日) 01:30:15.96]

ていうか、早く「論文」とやらを書けよｗ

[0772 名無しさん＠お腹いっぱい。 2011/11/13(日) 19:40:55.20]

仕方ないよ、VISA.co.jpを救ったという実績だけで
天狗になってんだもん。
次の実績は、キャッシュポイズニングって事。

ちなみに、
http://www.aguse.jp/
を使うと、whoisだとかマルウエアだとかチェックしてくれるよ

[0773 名無しさん＠お腹いっぱい。 2011/11/14(月) 11:13:18.09]

DNSSECやDNSCurveが守るのはDNS仕様の穴による
キャッシュポイズニングだけじゃないんだけど、
disってる人はそこのところわかってるのかしら。

DNSSECやDNSCurveは、DNSの穴だけでなく、その穴に頼らず
通信経路上でパケット書き換えするような攻撃に対しても防御する。
telnetやHTTPというプロトコル自体に穴があるわけじゃないけど、
経路上での盗聴を防ぐためにsshやHTTPSを使うのと同じ発想。
port randomizationはあくまでDNSの穴をふさぐためだけのもので、
経路上でなされる攻撃に対してはまったく効果がない。

DNSSECをdisるのは別に好きにすればいいと思うけど、
kaminsky attackはそれほど脅威じゃない、port randomizationだけやってれば
十分だからDNSSECはいらない、って方向から攻めるつもりなら
見当違いだからやめた方がいいよ。同時にDNSCurveもdisることになるし。

経路乗っ取りなんてありえないからdnssecもsshもsslもいらない、
というつもりなら止めないけど。

[0774 tss 2011/11/14(月) 12:46:13.04]

誰だかわかりますよ ;-)
DNSSEC の問題は DNSSEC自体にあるのではなくて、その推進によってそれ以外の対策が疎かにされていることにあります。
port固定もまだまだ多いし、オープンリゾルバもなかなか減らない。
そのあたりの読解よろしく。

[0775 tss 2011/11/14(月) 12:52:13.84]

そうそう。Kaminskyの説明は間違いですが毒入れは簡単です。誤解なきよう。

[0776 名無しさん＠お腹いっぱい。 2011/11/14(月) 14:16:24.24]

DNSSECが無かったからといってそれ以外の対策が今よりも
進んでたかというとそうじゃないだろ。むしろDNSSECを
採用してるオペレータのほうが比較的進んでるでしょ（あくまで「比較的」だが）。
これに関してはdisる対象はDNSSECじゃないと思う。

[0777 名無しさん＠お腹いっぱい。 2011/11/14(月) 15:47:42.60]

>>774
で、相変わらずまともな周知活動やるつもりないんですか？

[0778 名無しさん＠お腹いっぱい。 2011/11/14(月) 17:23:44.46]

もしも、てぃんぽにＩＰがあったら
毒入れこわいです；；

[0779 名無しさん＠お腹いっぱい。 2011/11/14(月) 19:44:13.69]

お前らなんだかんだでtss先生にやさしいじゃねぇか

[0780 名無しさん＠お腹いっぱい。 2011/11/14(月) 21:36:12.30]

べ、べつにあんたのために書いてるわけじゃないんだからね

[0781 名無しさん＠お腹いっぱい。 2011/11/15(火) 16:32:52.71]

アレな人はコントロールできる範囲でコントロールしておかないと余計に面倒くさいからだろ。

[0782 名無しさん＠お腹いっぱい。 2011/11/15(火) 20:49:46.13]

コントロールできると思ってるのかい？

[0783 名無しさん＠お腹いっぱい。 2011/11/15(火) 22:17:00.79]

嘘大げさ紛らわしいデマ発言は片っ端から否定していけばよかろう

[0784 名無しさん＠お腹いっぱい。 2011/11/16(水) 01:06:51.89]

>>782
コントロールできる範囲でならコントロールできるだろう。

[0785 名無しさん＠お腹いっぱい。 2011/11/16(水) 13:14:44.18]

同じ上から目線　ってのは
qmail.jpも同じなんだけどねｗ

[0786 名無しさん＠お腹いっぱい。 2011/11/16(水) 20:17:33.09]

おまえらアップしとけよ

[0787 名無しさん＠お腹いっぱい。 2011/11/16(水) 20:18:57.10]

これこれ
https://www.isc.org/software/bind/advisories/cve-2011-tbd

[0788 名無しさん＠お腹いっぱい。 2011/11/16(水) 21:08:07.93]

メール使えば外からでも撃ち落されるかもってことでFA?
https://lists.isc.org/pipermail/bind-users/2011-November/thread.html

[0789 名無しさん＠お腹いっぱい。 2011/11/16(水) 21:47:27.26]

パッチまだかな

[0790 名無しさん＠お腹いっぱい。 2011/11/17(木) 11:33:13.04]

赤帽
https://bugzilla.redhat.com/show_bug.cgi?id=754398

[0791 名無しさん＠お腹いっぱい。 2011/11/17(木) 12:45:27.24]

パッチは出たけど、とりあえず落ちないようにしただけで穴はふさがれていない。
もしかしたら、素直に落ちてくれた方がまだマシだったという可能性もありうるので要注意。

[0792 名無しさん＠お腹いっぱい。 2011/11/17(木) 13:23:58.36]

原因わかってないんだよね
パッチって言えるのかあれ

[0793 名無しさん＠お腹いっぱい。 2011/11/17(木) 13:26:07.54]

パッチとは言えるだろ。

[0794 名無しさん＠お腹いっぱい。 2011/11/17(木) 13:44:23.70]

CHANGESのとおりだろ？
--- 9.8.1-P1 released ---
3218. [security]
Cache lookup could return RRSIG data associated
with nonexistent records, leading to an assertion
failure. [RT #26590]

[0795 名無しさん＠お腹いっぱい。 2011/11/18(金) 05:55:31.05]

パチパチ
https://rhn.redhat.com/errata/RHSA-2011-1458.html

[0796 名無しさん＠お腹いっぱい。 2011/11/18(金) 07:04:42.30]

商用機に当てる前の検証やってるんだけど
終わった頃に新パッチが出そうで虚しい

[0797 名無しさん＠お腹いっぱい。 2011/11/18(金) 09:53:59.23]

次の仕事加が出来てよかったじゃん
N関連で

[0798 名無しさん＠お腹いっぱい。 2011/11/18(金) 11:20:58.12]

うちのbind-9.2.4ちゃんは元気だよ？

[0799 名無しさん＠お腹いっぱい。 2011/11/20(日) 01:08:08.05]

>>798
よかったな、カツ丼食うか？

[0800 名無しさん＠お腹いっぱい。 2011/11/20(日) 17:57:05.72]

BIND9はバグが多くてダメだな
うちのBIND8.4ちゃんは4年アップしないで済んでるぜ

[0801 名無しさん＠お腹いっぱい。 2011/11/20(日) 18:04:14.75]

8のバグは周知されないだけ。

[0802 名無しさん＠お腹いっぱい。 2011/11/20(日) 18:13:33.19]

マジレスされてもな…
でもBIND8や初期のBIND9のままって所けっこうあるよね
脆弱性発表されないから大丈夫と誤解してる奴もいるんじゃないか

[0803 名無しさん＠お腹いっぱい。 2011/11/20(日) 18:30:43.58]

客先で古いSolarisでBIND4動いてるよ
保守範囲じゃないから知らないふりしてる

[0804 名無しさん＠お腹いっぱい。 2011/11/21(月) 07:41:32.42]

bindで
zone "in-addr.arpa" {
type slave;
file "in-addr.arpa.slave";
masters {
192.5.5.241; // F.ROOT-SERVERS.NET.
};
notify no;
};
で動かしていたのですが

named[???]: zone in-addr.arpa/IN: expired
になっています

やめた理由等が書いてあるページ等
これに関する情報ありますでしょうか？

[0805 名無しさん＠お腹いっぱい。 2011/11/21(月) 08:25:43.88]

そんな設定どこでおぼえたんだ。

[0806 名無しさん＠お腹いっぱい。 2011/11/21(月) 10:15:30.58]

理由を知ってどうしたいのか知りたい。

[0807 名無しさん＠お腹いっぱい。 2011/11/21(月) 14:14:30.74]

>>806
そりゃ晒し上げにゃ、元ネタを聞くのが一番ｗ

[0808 名無しさん＠お腹いっぱい。 2011/11/21(月) 15:15:34.22]

>>804
そんな設定をしたくなった動機の方が気になるわ

[0809 名無しさん＠お腹いっぱい。 2011/11/21(月) 17:00:48.15]

root name server がaxfr受け付けない根拠は RFC 2870と思われる。

>>804 の謎設定の由来はなんとなく分からんでもないが、
今じゃ何の利益もなく害ばかりなのでやめとけ
一応こんな情報はあるけどね
http://dns.icann.org/services/axfr/

[0810 名無しさん＠お腹いっぱい。 2011/11/21(月) 17:02:10.96]

まぁ受け付ける必要ないよね。

[0811 名無しさん＠お腹いっぱい。 2011/11/21(月) 17:07:10.31]

どっかのサンプル設定ファイルに埋まってんのかな。

[0812 名無しさん＠お腹いっぱい。 2011/11/21(月) 17:48:21.31]

FreeBSDの設定サンプルで発見
http://svnweb.freebsd.org/base/head/etc/namedb/named.conf?revision=170914&view=markup

最新だとさすがにコメントアウトされてるが。。。。。

[0813 名無しさん＠お腹いっぱい。 2011/11/21(月) 18:03:25.07]

804です

>>809
ありがとうございます。

設定はFreeBSD 8のサンプルにありました

試験的に1台おこなっていたのですが、いつのまにかエラーを吐いていたので
気になりました。

[0814 名無しさん＠お腹いっぱい。 2011/11/21(月) 22:14:33.38]

「気になりました。」ｗ

[0815 tss 2011/11/22(火) 22:50:21.43]

root server axfr できますよ〜

[0816 名無しさん＠お腹いっぱい。 2011/11/23(水) 00:15:11.42]

root serverでも . の AXFRはできるのはあるね

ルートサーバが in-addr.arpa ゾーンを持たなくなったのが
>>804 ができなくなった理由じゃないの？

[0817 名無しさん＠お腹いっぱい。 2011/12/05(月) 12:03:59.95]

浸透でも伝播でもなく単に正規の手順を踏んでないことによるデッドロックなだけなのね。

[0818 名無しさん＠お腹いっぱい。 2011/12/05(月) 12:07:37.84]

スレーブなんかやめて ttp://www.internic.net/zones/ あたりにある物使って
. のマスターになっちゃえよｗ

[0819 名無しさん＠お腹いっぱい。 2011/12/06(火) 21:36:33.13]

JPRSは minimal-responses yes というworkaroundを省略するのは何でだぜ？
https://deepthought.isc.org/article/AA-00549

[0820 名無しさん＠お腹いっぱい。 2011/12/06(火) 22:09:46.44]

>>818
究極の浸透問題状態だろそれwww

[0821 名無しさん＠お腹いっぱい。 2011/12/07(水) 10:25:52.42]

>>819
権威サーバと混在してる場合は軽減できるけど完全な解決策にはならないからでは。
キャッシュDNSでもlocalhostやAS112ゾーンは持つのがふつーだから、
純粋にキャッシュ専用で動いてるところなんてまずないと思う。

[0822 名無しさん＠お腹いっぱい。 2011/12/07(水) 18:22:16.28]

>>819
更新されたね。

[0823 名無しさん＠お腹いっぱい。 2011/12/19(月) 20:23:43.55]

JPRSはさっさとDNSSECで使うDSレコードを
外部から登録するためのプロトコルを実装して公開して欲しい。

DSレコードの登録が手動とか、面倒くさくてDNSSECを導入できない。

[0824 名無しさん＠お腹いっぱい。 2011/12/19(月) 20:55:14.04]

1年〜数年に1回やれば済むような作業をめんどくさいというのは
「自分にはできない」のを「自分がやらない」理由としてごまかしてるだけ。
SSLの証明書更新とかに比べればずっと手間が少ないのに。

NSの登録だって昔からJPRSに直接はできず、指定事業者経由でしかできないんだから、
DSでそれをできるようにするとはとても思えん。

[0825 名無しさん＠お腹いっぱい。 2011/12/19(月) 21:05:12.34]

ネームサーバーのセキュリティパッチは必要な時に都度当てられるけど、
DSレコードは任意のタイミングで更新するわけにはいかないから自動化したいんだよ。

JPDirectのサービスとして始めればいいよ。

他の事業者は自分で実装すればいいだろ。IIJは出来るようにしたみたいだし。
http://www.iij.ad.jp/company/development/tech/activities/dnssec/index.html

[0826 名無しさん＠お腹いっぱい。 2011/12/20(火) 18:13:16.11]

>>824
JPRSが他TLDの販売をしようとして
コテンパンに叩かれて、「*.dns.jp」の管理一本に
なったはず

[0827 名無しさん＠お腹いっぱい。 2011/12/20(火) 19:27:52.85]

>DSレコードは任意のタイミングで更新するわけにはいかないから自動化したいんだよ。

？？？ いつでも好きなときにできるけど？
DNSSECの仕様の話ではなく、客の都合に合わせてやらなきゃいかんとかいう話なら知らないけど。

外部からDS登録するAPIが存在しないわけではなく、指定事業者（レジストラ）には公開されてると思うよ。
sannetはjpがdnssec対応した初日にレンサバサービスで契約されている全ドメインの
DSを登録したらしいけど、ひとつずつ手でやったとはとても思えない。sannetは指定事業者なので
それ用のAPIを使ったと考えるのが妥当。

ただ、そのAPIを一般に公開できるかというと、ドメインの取得に際して
jprsから認証用のID/PWなどがドメイン所有者に渡されるわけではないので、
認証のしようがない。甘い認証でDSを更新させたらDNSSECの意味がない。
そのへんの認証情報を持ってる指定事業者を経由させるのもしかたないかと。

jpに限らず他のTLDでもレジストラを経由せずにDSを登録できないところばっかり。
自動化できるAPIを作れと言うなら、相手はjprsではなく自分がドメイン管理に使ってる事業者かと。

ちなみに、DS登録用のプロトコルとしてはRFC5910というのがあって、opendnssecはこれに対応してたはず。

>>826
jprsは最近jpだけでなくgTLDも売りはじめたよ。

[0828 名無しさん＠お腹いっぱい。 2011/12/20(火) 20:30:39.50]

>>827
DNSはセキュリティパッチと、正引き・逆引き設定の変更が必要な時以外は、
一度設定したら手間を掛けなくて良かったんだから、
DNSSECを導入した場合でもキーの更新に新たなコスト(時間と金)は掛けたくない。

特にDSレコードの更新前後にKSKのTTLを気にするとかを手動でやりたくない。
DSレコードの更新、KSKの更新、ZSKの更新などを全部自動化したい。

うちの指定事業者はJPDirect(=JPRS)なの。
ドメインにまつわる設定を操作するためのIDとパスワードは、
既にもらっているので、あとはAPIがあれば良いだけなんだけど、
それをJPDirect(=JPRS)に用意して欲しいって言ってるの。

今現在提供されているJPDirectのwebインターフェースを使うことで、
DSレコードの更新は可能なんだけど、これにアクセスするソフトを書くとしても、
JPDirectが提供しているWebインターフェースなんて、いつ仕様が変わるか分からないから、
長期間に渡って動作する見込みが無い物は使えない。

だからJPDirect(=JPRS)には、ちゃんと仕様の決まった
DSレコードの更新方法を提供して欲しい。
既にRFCに習った実装があるなら、提供されるのがそれでも構わない。

[0829 名無しさん＠お腹いっぱい。 2011/12/21(水) 01:22:18.55]

unboundもやられたか
ヤツはDNS四天王のうちでも（ｒｙ

[0830 名無しさん＠お腹いっぱい。 2011/12/21(水) 01:24:18.67]

つ ttp://www.unbound.net/downloads/CVE-2011-4528.txt

[0831 名無しさん＠お腹いっぱい。 2011/12/21(水) 10:28:09.75]

jpdirectはjprsが自前でやってる指定事業者にすぎないから。
jprsへの要望とjpdirectへの要望をごっちゃにしちゃいかん。

jpdirectって新規受け付けを終了しちゃってるが、
既存向けに続けてるのもそのうちやめそうな気がしてならない。
jpdirectそのものをやめたがってる感がアリアリ。
よその事業者にドメインを移管した方がいいような。

[0832 名無しさん＠お腹いっぱい。 2011/12/21(水) 18:34:12.07]

BIND、unbound以外で良い感じのキャッシュサーバって何かある？
PowerDNS recursor試してみようかな

[0833 名無しさん＠お腹いっぱい。 2011/12/21(水) 21:04:25.74]

良い感じってのも色々だしなぁ
DJBのも調査してみたら？

[0834 名無しさん＠お腹いっぱい。 2011/12/21(水) 22:40:07.45]

セキュリティ第一ならdjbdns一択だな
djbwareは嫌いだがこれは認めざるを得ない
もう機能拡張は望めないけど、ほとんどの用途では必要十分だし
不安はIPv6トランスポート対応くらいか

[0835 834 2011/12/21(水) 22:45:30.23]

> 不安はIPv6トランスポート対応くらいか

サードバーティ製のパッチはあるけどね……

[0836 名無しさん＠お腹いっぱい。 2011/12/21(水) 23:01:43.81]

現状JPドメインでIPv6 glue, DNSSEC(DSレコード取次)対応してるレジストラとしては一番安いから無くなると困るなJPDirect。
適当に安いレジストラがDSレコード取次対応してくれれば他に移るんだが。

[0837 名無しさん＠お腹いっぱい。 2011/12/21(水) 23:25:00.06]

GMOの熊谷が余計な横槍入れてきたから、しぶしぶ対応しただけの話でしょ。

[0838 名無しさん＠お腹いっぱい。 2011/12/21(水) 23:39:44.47]

>>834
djbdnsではEDNS0に対応していないから512byte問題を回避できない。
いわゆるdjbwareは既に過去のプロダクトであって、いま動いているものを無理に止めろとまでは言わないが、
新規に使うべきものではない。

[0839 名無しさん＠お腹いっぱい。 2011/12/22(木) 00:07:46.10]

EDNS0はMUSTじゃないでしょ
DNSのTCPトランスポートのサポートはMUSTになったけど
EDNS0がMUSTになる見込みはないと思う

[0840 名無しさん＠お腹いっぱい。 2011/12/22(木) 01:49:34.61]

TCPにフォールバックしないのはqmailかな（パッチはある）
今からdnscacheを新規で入れるのも気がひけるな

[0841 名無しさん＠お腹いっぱい。 2011/12/24(土) 00:00:47.15]

EDNS0はDNSSECのために作られたようなもんだからな
IPv6やDNSSECが必須にならなきゃdjbdnsでも生きていける、ような気がする

[0842 名無しさん＠お腹いっぱい。 2011/12/26(月) 18:28:55.15]

IPv6やDNSSECの情報をDNSで扱う場合、RFC3226でEDNS0への対応は必須とされている。
これはサーバだけでなく、クライアント側も対応せよ、となっている。
つまり、v6のアドレスを問い合わせるならEDNS0を必ず使え、ということ。
まだv6は必須な状況にはなってないけど、現実にばんばん問い合わせてるのに
対応していないdnscacheはよろしくない。

もっとも、RFC3226が言及しているのはv6といってもAAAAじゃなくてA6だし、
DNSSECといってもDS方式じゃなくて実用化されなかったRFC2535方式だけど。
# DOビットを立てるならEDNS0を有効にしろ、という意味に解釈するなら
# 現行のDS方式のDNSSECについてもRFC3226は有効。

[0843 名無しさん＠お腹いっぱい。 2011/12/28(水) 00:01:04.52]

DOビットと聞いてFW-1の余計な機能を思い出した。

[0844 名無しさん＠お腹いっぱい。 2011/12/30(金) 17:44:11.27]

djbdnsの利用を推奨するわけじゃないが……

>>842
A6なんてhistoricalになろうとしてるし、EDNS0のクエリを投げてくる
クライアント(スタブリゾルバ)なんて皆無。EDNS0非対応はその実装を
使わない理由にはならないと思う。

[0845 名無しさん＠お腹いっぱい。 2012/02/18(土) 21:21:06.35]

Ghost Domain Names…
cron で rndc flush で Ghost Busters できるん？

[0846 名無しさん 2012/02/18(土) 22:39:56.52]

それでいいはず。
ついでに浸透いうな対策にもなる。

[0847 名無しさん＠お腹いっぱい。 2012/02/18(土) 22:42:48.70]

一番効果的かつ正しいワークアラウンドだけど、
ISCやJPRSの人がそれを勧めるわけにいかないだろうね。

[0848 名無しさん＠お腹いっぱい。 2012/02/25(土) 14:01:18.59]

>>847
JPRSが「キャッシュDNSサーバーにおいて定期的なキャッシュデータ
のクリアを実施することにより、危険性を低減できます。」
って言ってるぞ

[0849 名無しさん＠お腹いっぱい。 2012/03/08(木) 12:06:58.70]

>>848
それをやる日本ISPが存在するかどうかだがなｗ

[0850 名無しさん＠お腹いっぱい。 2012/03/08(木) 12:27:02.31]

キャッシュは立ち上がりが一番性能低くなるからきついよな。

[0851 名無しさん＠お腹いっぱい。 2012/03/09(金) 04:04:08.13]

1日1回、早朝時間帯にクリアなら問題ないかなぁ
むしろ同じ時間に複数のISPで一斉にクリアされるとTLDな人たちが困るかも？

[0852 名無しさん＠お腹いっぱい。 2012/03/09(金) 09:05:03.49]

なぜ1日1回？

最低1回は権威を委任されなくちゃ成立しない攻撃方法だから、1〜数ヶ月は運用されるでしょ。
1ヶ月に1回で十分だと思うけど。

[0853 名無しさん＠お腹いっぱい。 2012/03/09(金) 10:23:01.00]

大丈夫、bindの穴で定期的に再起動してるから。

[0854 名無しさん＠お腹いっぱい。 2012/03/09(金) 23:18:28.42]

むしろキャッシュなんかやめればクリアする必要もなくなるのに

[0855 名無しさん＠お腹いっぱい。 2012/03/09(金) 23:57:03.94]

>>854
それは、すべて再帰検索で、という意味？
思慮の浅いヤツ…

[0856 名無しさん＠お腹いっぱい。 2012/03/10(土) 00:38:48.37]

というと?

[0857 名無しさん＠お腹いっぱい。 2012/03/10(土) 00:47:04.19]

ルートDNSがとても死ねる。

[0858 名無しさん＠お腹いっぱい。 2012/03/10(土) 17:23:01.76]

>>855
思慮以前の問題かと。
日頃から浸透とか言ってそう＞854

[0859 名無しさん＠お腹いっぱい。 2012/03/10(土) 20:33:59.36]

具体的に。

[0860 名無しさん＠お腹いっぱい。 2012/03/12(月) 17:07:07.76]

キャッシュが無い場合は、なにかアクセスすると必ずルートDNSから問い合わせることになる。

ロケットニュースから引用してみる。
【図解】60秒間にインターネット上で起こっていること ttp://p.tl/Nljh
合計して60で割ると、主だったサービスだけで秒間 2,835,284 回のクエリーがでるよね。
example.com を検索した場合、ルートDNS は gtld-servers.net. で com. を署名付きで返すから 735 bytes
単純にクエリー数をかけると 2,083,933,850 byte →最低でも秒間 2GB のトラフィックくらいは捌く必要があるんじゃない？

IP anycast やら ロードバランサやらで 13台 以上あるんだろうけど…
Twitter でバルスを叫ぶだけで 14,594q/s が簡単に乗ったりするのを考えると、ルートDNSの中の人に同情したくなる数値。

1日で2800GB以上…と考えて、回線使用料はいくら？
最終的にユーザが負担することになる金額は？

[0861 名無しさん＠お腹いっぱい。 2012/03/12(月) 17:47:53.30]

>>860
>IP anycast やら ロードバランサやらで 13台 以上あるんだろうけど…
現状だけで283拠点
http://www.root-servers.org/
>Servers in total: 283
ただクライアントがクエリーを投げる先は当然13個

[0862 名無しさん＠お腹いっぱい。 2012/03/22(木) 21:20:30.38]

そろそろエイプリールフールだな
騒がれてないからすっかり忘れてた

[0863 名無しさん＠お腹いっぱい。 2012/03/23(金) 08:55:34.13]

うちの会社は3月32日だから…

[0864 名無しさん＠お腹いっぱい。 2012/04/23(月) 00:29:11.13]

世の中には F5 攻撃というものがあるのをすっかり忘れてた…

F5 1回 = DNSクエリー 1個だから、F5 アタックがそのまま DNS への DoS アタック。
キャッシュのない世界って、ｌ怖い。

[0865 名無しさん＠お腹いっぱい。 2012/04/23(月) 00:51:50.72]

>>864
某半島のネットが一瞬で麻痺しそうだな

[0866 名無しさん＠お腹いっぱい。 2012/05/02(水) 14:35:54.49]

unboundでDNSラウンドロビンが入ったと聞きましたが、どのverからですか？
最新の1.4.16入れたけどラウンドロビンしてないようです

[0867 名無しさん＠お腹いっぱい。 2012/05/02(水) 20:07:29.84]

>>866
まだ対応してない。
ラウンドロビン対応にするパッチを書いてMLに投げた人がいる

[0868 名無しさん＠お腹いっぱい。 2012/05/03(木) 21:49:14.52]

>>866 >>867
trunkにマージされたので次の1.4.17には入るかと

今すぐ試したいならsvnからtrunkをcheckoutするか
1.4.16用のpatchをunbound-usersに投げたので使ってみてください
http://unbound.net/pipermail/unbound-users/2012-April/002324.html

[0869 866 2012/05/07(月) 18:23:23.32]

>>868
わかりました、1.4.17を待ちます。。。

[0870 名無しさん＠お腹いっぱい。 2012/05/24(木) 20:12:29.29]

Unbound 1.4.17きた
ラウンドロビンも入ってますね
http://www.unbound.net/download.html

[0871 名無しさん＠お腹いっぱい。 2012/06/06(水) 17:22:24.80]

いつの間にかAAAAレコードが(あるのに)引けなくなってるな。

[0872 名無しさん＠お腹いっぱい。 2012/06/06(水) 17:35:17.14]

それだけじゃ何もわからん。

[0873 名無しさん＠お腹いっぱい。 2012/06/06(水) 17:46:24.07]

今日が何の日か知ってればわかるよな

[0874 名無しさん＠お腹いっぱい。 2012/06/06(水) 17:55:14.07]

NTTのせいでトリッキーな事をしなければ接続できない
日本って変だよ

[0875 名無しさん＠お腹いっぱい。 2012/06/06(水) 18:28:44.57]

NTT法のせいで、だな。

[0876 名無しさん＠お腹いっぱい。 2012/06/06(水) 19:14:33.43]

NTT法があってもv4は問題なく接続できてるよ（これもある意味変態的だが）。
v6でも同じような方法でやれば問題は起きなかったはず。
フレッツドットネットなんてのをv6閉域網で作ってしまったために
「同じような方法」が使えなくなったのがいけない。
よってNTT法のせいではなく、NTTのせい。

[0877 名無しさん＠お腹いっぱい。 2012/06/06(水) 20:18:11.96]

また脆弱性かっっ

[0878 名無しさん＠お腹いっぱい。 2012/06/06(水) 21:42:51.89]

bind捨てればぁ〜？

[0879 名無しさん＠お腹いっぱい。 2012/06/06(水) 23:35:23.98]

複数の権威ゾーンサーバのうち一つをnsdにしておけ、
そうすれば重複をお許し下さいに対応する時間が若干稼げる、
というのはなるほどと思った

[0880 名無しさん＠お腹いっぱい。 2012/06/07(木) 00:09:07.90]

今回の件はゾーンサーバはあんまり関係ないんじゃね。

[0881 名無しさん＠お腹いっぱい。 2012/06/09(土) 00:18:48.84]

複数動かしておくってのは現実的とは思えない、最初から脆弱性が少ない奴一択でしょう

[0882 名無しさん＠お腹いっぱい。 2012/06/09(土) 00:42:44.82]

2台くらいは普通だろ。
一台しかないのが、あんまり想像できない。

[0883 名無しさん＠お腹いっぱい。 2012/06/09(土) 00:52:15.48]

1台で運用って、自宅鯖（）とかでしょ。

[0884 名無しさん＠お腹いっぱい。 2012/07/20(金) 19:32:18.67]

bind9でrndc dumpdbとやってもキャッシュの内容が表示されないのですが
何か設定がおかしいのでしょうか。
named_dump.dbは存在していて、タイムスタンプも更新されているので
キャッシュはしていると思うのですが。

[0885 名無しさん＠お腹いっぱい。 2012/07/21(土) 08:53:08.93]

named_dump.dbが出力されたダンプでmoreとかで見る

[0886 名無しさん＠お腹いっぱい。 2012/10/10(水) 17:42:28.43]

BIND捨てたい。

[0887 名無しさん＠お腹いっぱい。 2012/10/10(水) 21:07:48.92]

>>886
捨てればよい
BINDじゃないと困る理由があるのか？

[0888 名無しさん＠お腹いっぱい。 2012/10/10(水) 22:03:35.65]

今年はすごいよね。

[0889 名無しさん＠お腹いっぱい。 2012/10/11(木) 09:23:23.78]

nsd and/or unbound

[0890 名無しさん＠お腹いっぱい。 2012/10/11(木) 16:36:37.24]

sendmailはほぼ駆逐できたから
BINDもがんばればなくせるかなぁ。

[0891 名無しさん＠お腹いっぱい。 2012/10/11(木) 20:08:24.86]

この程度で多いとは、にわかが多いな

[0892 名無しさん＠お腹いっぱい。 2012/10/12(金) 10:11:24.50]

BINDを駆逐するんだったらlibcをなんとかする必要があるな

[0893 名無しさん＠お腹いっぱい。 2012/10/12(金) 10:33:20.90]

んじゃ正確にはBINDのnamedを駆逐したい。

[0894 名無しさん＠お腹いっぱい。 2012/10/12(金) 21:56:09.48]

なぜ駆逐したいのですか？

[0895 名無しさん＠お腹いっぱい。 2012/10/12(金) 22:37:08.45]

セキュリティホールの対応がめんどいから。

[0896 名無しさん＠お腹いっぱい。 2012/10/12(金) 23:23:26.19]

BINDとそれ以外で冗長化するのが理想とは分かっているが、実際にはなかなか…

[0897 名無しさん＠お腹いっぱい。 2012/10/12(金) 23:29:29.19]

OpenBSDでDNSサーバ作ってくれないかな

[0898 名無しさん＠お腹いっぱい。 2012/11/03(土) 07:48:54.44]

テストのためwindows 7のdnsクライアントに
udpでなくてtcpを使わせたいんだけど、
tcpフォールバックを強制的に使う設定って可能かな？
データグラムを自作しないのは
通常環境でしばらく動作確認したいから。

[0899 名無しさん＠お腹いっぱい。 2012/11/03(土) 10:13:57.28]

>>898
板違い

[0900 名無しさん＠お腹いっぱい。 2012/11/03(土) 18:45:18.33]

最近の BIND なら EDNS0 を停止させて、リゾルバからは TCP フォールバックされる FQDN でクエリを投げさせれば〜？
要は、名前解決するドメインそのものについて考慮せよ、と。

Win7 のリゾルバそのものの挙動については、指摘通り板違い。

[0901 名無しさん＠お腹いっぱい。 2012/12/19(水) 16:59:01.12]

bindのことが書いてあるサイトをみるとデフォルトTTLが86400に対して
negative cacheが86500って書いてあるところがちらほらあるんだけど
どういう意味があるの？

[0902 名無しさん＠お腹いっぱい。 2012/12/19(水) 18:58:56.35]

age ちゃうよ。

>>901
何だよそれ？ と思いながらググってみたら、ホントに出てくるね。昔、だれかが typo した設定が
公開されてて、それがコピペで広まったというオチなのかな？

検索しても日本語の記事しかヒットしないというのが、アヤしい予感です。

[0903 名無しさん＠お腹いっぱい。 2012/12/19(水) 21:29:30.34]

わかってるフリしてコピペすればコンテンツのできあがりですぅ

[0904 名無しさん＠お腹いっぱい。 2012/12/20(木) 11:11:22.95]

つまり全く無意味ってことでおｋ？

[0905 名無しさん＠お腹いっぱい。 2012/12/20(木) 11:12:42.69]

86400だってたいして意味はないだろ。

[0906 名無しさん＠お腹いっぱい。 2012/12/20(木) 13:12:22.15]

(2012122000 1h 5m 2w 15m) みたいに書けば惑わすようなtypoもされないんじゃね
16mにしたり25mにしたりするやつは出るかもしれんが別にいいだろ。

[0907 名無しさん＠お腹いっぱい。 2012/12/20(木) 22:56:20.78]

negative cache ってそんなに長くするもんか？

[0908 名無しさん＠お腹いっぱい。 2012/12/20(木) 23:24:39.01]

negative cache lifetime > default TTL って、オープンリゾルバでも運用してるんですかっていう

[0909 名無しさん＠お腹いっぱい。 2012/12/21(金) 20:43:57.87]

BIND9のmax-ncache-ttlのデフォルト値 10800だからなぁ

[0910 名無しさん＠お腹いっぱい。 2013/02/05(火) 11:21:33.52]

bind9なんですけど、rndc querylogを起動時はoffにしておくのってどうやるのですか？

[0911 名無しさん＠お腹いっぱい。 2013/02/06(水) 09:49:46.63]

内部のみrecursion yes;にしてるんだけど
ルータのログに外側dnsへのアクセスがけっこうな量で記録されてるってことは
キャッシュが効いていないとみていいかな

[0912 名無しさん＠お腹いっぱい。 2013/02/06(水) 10:01:40.74]

>>910
named querylogでぐぐればすぐに見つかるが。

>>910
rndc dumpdbで確認すれ。

[0913 名無しさん＠お腹いっぱい。 2013/02/06(水) 10:24:23.21]

>>912
素早い返答ありがとう
rndc dumpdbやった中身は問い合わせた情報が残っていたから
一応キャッシュは効いてるってことでおｋ？

[0914 名無しさん＠お腹いっぱい。 2013/02/06(水) 12:16:19.91]

rndc statusで
recursive clients: 0/0/1000
が何なのかずっと悩んでた。自分が上位dnsで下位から再帰を受けられる上限ってことか

[0915 名無しさん＠お腹いっぱい。 2013/02/06(水) 12:59:42.90]

わざわざ「上位dns」と書くあたりニワカ臭を感じる
DNSをdnsと小文字で綴るのもニワカらしい

[0916 名無しさん＠お腹いっぱい。 2013/02/06(水) 13:03:25.37]

にわかでなければこんなところで聞かん

[0917 名無しさん＠お腹いっぱい。 2013/03/01(金) 20:41:32.01]

質問させてください。
ネームサーバーを複数登録し、その中の一台が応答すれば名前解決は行われるそうですが、
ゾーンの編集はネームサーバー一台毎に行っているのでしょうか？
たとえば、バリュードメインのゾーン編集を行った場合
NS1-5.valuedomain.comまでを一括で編集するということですか？

[0918 名無しさん＠お腹いっぱい。 2013/03/02(土) 12:37:50.56]

>>917
いくら何でも予備知識が足りなすぎる。その状態でネームサーバを運用するのは危険！

ググれば、いくらでも参考資料は出てきます。もし bind を使っているのなら、例えば
以下のようなページを一通り目を通してみてください (他にも同様の入門ドキュメントは
沢山あります)。

連載記事 「実用 BIND 9で作るDNSサーバ」
http://www.atmarkit.co.jp/flinux/index/indexfiles/bind9index.html

上記ページには読み飛ばしてよいトピックが多数ありますが、最低限ゾーン設定と
ゾーン転送は理解するようにしてください。また、このページはあくまでも一例として
挙げているだけですので、出来るだけ複数の (なるべく新しい) ドキュメントを参照する
ようにしてください (嘘や不適切なことが書いてあるページは想像以上に多いです)。

[0919 名無しさん＠お腹いっぱい。 2013/03/03(日) 00:18:55.22]

皆、BIND10はまだ様子見？

[0920 名無しさん＠お腹いっぱい。 2013/03/03(日) 00:46:30.14]

>>919
パッチレベルが上がってから内部用のリゾルバ(キャッシュサーバ)に使ってみる予定。

[0921 名無しさん＠お腹いっぱい。 2013/03/03(日) 19:45:47.16]

>>918
ありがとうございます。
古い情報が多いようなので、公式ドキュメントを参照しながら設定してみます。

[0922 名無しさん＠お腹いっぱい。 2013/03/04(月) 12:57:24.33]

>>921
設定がどうのこうのではなくて概念の理解が全然足らないよ

[0923 名無しさん＠お腹いっぱい。 2013/03/05(火) 00:04:48.86]

障害対策で複数マスタで運用してたりするけどな

[0924 名無しさん＠お腹いっぱい。 2013/03/06(水) 13:57:31.90]

ゾーンネームサーバーの届出ってどこでやるの？

[0925 名無しさん＠お腹いっぱい。 2013/03/06(水) 14:06:52.38]

レジストリによるよな？
dka-hero.com
これってネームサーバーがns.dka-hero.comなんだけど
ns.dka-hero.comに対するネームサーバーがなくて、登録もされてないっぽいんだけど
どうやって接続されてんの？

[0926 名無しさん＠お腹いっぱい。 2013/03/06(水) 14:14:10.95]

つまらん自演するな

[0927 名無しさん＠お腹いっぱい。 2013/03/06(水) 14:16:48.16]

自演っていうか
別に演じてるわけじゃなくて、誰にでも同一人物ってわかるでしょ

[0928 名無しさん＠お腹いっぱい。 2013/03/06(水) 14:18:58.65]

んー、stardomainだとネームサーバー登録できねーのか

[0929 名無しさん＠お腹いっぱい。 2013/03/06(水) 14:30:07.08]

>>928
何言ってんの？　セカンダリのこと？

[0930 名無しさん＠お腹いっぱい。 2013/03/06(水) 14:39:42.54]

>>929
違う、違う
Godaddyみたいに
自分のネームサーバーとIPの対照表を登録できないのかっていう

[0931 名無しさん＠お腹いっぱい。 2013/03/06(水) 14:46:39.94]

これだけだと分かりづらいな
example.comというドメインのネームサーバーをスタードメイン提供のネームサーバーに設定すれば、
ns1.example.comにAレコードを割り当てられるけど

example.comのネームサーバーを自分で作ったns1.example.comに変更すると
ns1.example.comに問い合わせするためのレコードが見つからないからおかしいじゃん？

GodaddyとかはネームサーバーとIPの対照をレジストリに代理提出してくれて、
.com→ns1.example.com→example.comって参照できるんだけど、スタードメインはそういうのないのかなって

[0932 名無しさん＠お腹いっぱい。 2013/03/06(水) 16:11:25.91]

またバカが涌いてる

[0933 名無しさん＠お腹いっぱい。 2013/03/06(水) 16:28:55.13]

バカほど「バカ」という言葉を好んで使うのはなぜだろう？
単純に語彙力が低いのか

[0934 名無しさん＠お腹いっぱい。 2013/03/06(水) 16:40:48.18]

サポートに問い合わせてやってもらうしかなかった気がする

[0935 名無しさん＠お腹いっぱい。 2013/03/06(水) 16:49:35.69]

ろくに検索もできないバカが必死な件ｗ

[0936 名無しさん＠お腹いっぱい。 2013/03/06(水) 16:54:27.04]

>>934
ｻﾝｸｽ
いい機会だから移管するわ

[0937 名無しさん＠お腹いっぱい。 2013/03/27(水) 12:44:30.99]

「重複をお許しください」キター

今回のは Workaround が無いみたいっすね。ボスケテ！

[0938 名無しさん＠お腹いっぱい。 2013/03/27(水) 14:18:34.17]

workaroundあるだろ。よく読め。

つか重複が重複しとる…。

[0939 名無しさん＠お腹いっぱい。 2013/03/27(水) 14:52:41.49]

重複した理由書いてあるじゃん。

[0940 名無しさん＠お腹いっぱい。 2013/03/27(水) 14:54:08.83]

workaroundって再構築か。
やだなぁ。

[0941 名無しさん＠お腹いっぱい。 2013/03/27(水) 16:01:01.91]

差分取ってみたら、すげー手抜き修正だなこれ。
configureを修正しただけでコード自体は1ビットもいじってない。
workaroundをそのままやってるだけ。

[0942 名無しさん＠お腹いっぱい。 2013/04/03(水) 22:21:08.85]

仕事で古いパソコンを使っています。ＯＳはUNIX-OSです。
このマシンにBINDを入れたいのですが、UNIX-OS用のBINDバイナリが
入手できるところをご存知の方いらっしゃいましたら、入手先を教えて下さい。

ソースからコンパイルするのは、私があまりUNIX-OSに詳しくないので、あまり気が
進まないのですが、もしもコンパイルするしかないのでしたら、ソース入手先を
教えて頂けないでしょうか。
また、コンパイルしか手段が無いとしたら、UNIX-OSでは、BINDのバージョン
いくつまで対応可能でしょうか。

[0943 名無しさん＠お腹いっぱい。 2013/04/03(水) 22:37:54.83]

>>942
UNIX OSって・・・
Solaris・HP・BSD・Redhatとかもう少し情報ないですか？

ココにはエスパーはいないので、バイナリーが欲しいのであればもう少し情報が必要です。

ソースは↓からどうぞ
https://www.isc.org/software/bind

[0944 名無しさん＠お腹いっぱい。 2013/04/03(水) 22:45:16.72]

>>943
この人にソースのありかを教えても、起動スクリプト書けるのだろうか…
そもそも、Cコンパイラは入ってるんだろうか…
悩みは尽きぬ…

[0945 名無しさん＠お腹いっぱい。 2013/04/03(水) 23:18:53.43]

またつまらんコピペか

[0946 名無しさん＠お腹いっぱい。 2013/04/04(木) 23:24:01.00]

つまらんコピペの重複をお許しください。

[0947 名無しさん＠お腹いっぱい。 2013/04/10(水) 00:54:28.22]

質問です。

業務でSolarisのBIND9をリプレースすることになりました。
リプレース後はRedhatESのBIND9にする予定。

RPMから実装するので多分9.7系になるのですが、
ズバリ9.2系からのBIND9に実装された機能や一覧の
載っているページ(出来れば比較差分表)はありませんか？

JPRSの資料みても何がどれに実装されたのかさっぱりでした。

ちなみにDNSSECとDNS64の実装は考えていません。
よろしくお願いします。

[0948 名無しさん＠お腹いっぱい。 2013/04/10(水) 01:05:55.20]

>>947
https://www.isc.org/software/bind/new-features

[0949 名無しさん＠お腹いっぱい。 2013/04/10(水) 01:30:40.36]

>>948

おおおISCのページにこんなのあったんだぁぁぁ！！
ありがとうです！！

でも9.2-9.4は流石にないのですね。
うーむ。

[0950 名無しさん＠お腹いっぱい。 2013/04/11(木) 09:44:45.27]

>>949

そんな都合よく載っているわけがない

[0951 名無しさん＠お腹いっぱい。 2013/04/11(木) 09:57:05.92]

ソース拾ってきて HISTORY ってファイル読めや。
bind にかぎらずバージョンアップ前に CHANGES やら HISTORY やら読むのは常識だろ。

[0952 名無しさん＠お腹いっぱい。 2013/04/11(木) 22:56:47.74]

>>951

赤い帽子なのでtar ballとか無茶言わないで下さいよ･･･
ソフト管理でrpmしか認めてくれない企業だってあるんですよぉぉぉ！
でもソースDLしてdocを読むことはrpm環境でも確かに出来ますね。てへっ。

とりあえずcontrbフォルダからwin32バイナリDLしてうちのwin2003環境で
遊びつつdoc読んでみます。

makeはHI-UX以来やってないから自信ないなぁ。

[0953 名無しさん＠お腹いっぱい。 2013/04/11(木) 23:35:35.20]

なんだこいつ……。

[0954 名無しさん＠お腹いっぱい。 2013/04/12(金) 09:51:06.20]

確実にウンコだな

[0955 名無しさん＠お腹いっぱい。 2013/04/12(金) 22:47:34.15]

rpmなんて自分で作ればいいじゃん。
何言っているの？

[0956 名無しさん＠お腹いっぱい。 2013/04/13(土) 06:03:02.13]

>>955
RHの電子署名があるRPMじゃないと認められないんだよ、何言ってるの？

[0957 名無しさん＠お腹いっぱい。 2013/04/13(土) 08:26:34.30]

もうそのくらいにしとけ。
板違い。

[0958 名無しさん＠お腹いっぱい。 2013/04/13(土) 12:02:05.77]

どこまでがマジでどこからがボケなのかわかりませんが
ドキュメントを読むだけならインストールパッケージを作る必要はありませんよね。
tarから取り出すだけで読めますよね。

[0959 名無しさん＠お腹いっぱい。 2013/04/13(土) 14:09:17.93]

>>958

インストールパッケージを作ると言っているのは>>958で、
952はソースDLしてdoc読むと言っているんだが･･･

rpm環境の話しはtarにかかってんじゃないの？

[0960 名無しさん＠お腹いっぱい。 2013/04/13(土) 14:10:13.20]

おっと間違えた。
>>955がインストールパッケージ作ると言っていたな。

[0961 名無しさん＠お腹いっぱい。 2013/08/22(木) NY:AN:NY.AN]

unboundにて192.168.0.0/24の如きプライベイートアドゥレスの逆引きを別のDNSにforwardせしむるには、いかなる設定をすべけんや。

[0962 名無しさん＠お腹いっぱい。 2013/08/22(木) NY:AN:NY.AN]

まるでなってない、まず日本語の勉強からだな

[0963 名無しさん＠お腹いっぱい。 2013/08/23(金) NY:AN:NY.AN]

local-zone: 168.192.in-addr.arpa. nodefault
であったか。あい分かった。下がってよい。

[0964 名無しさん＠お腹いっぱい。 2013/09/04(水) 12:02:24.34]

whoisコマンドって、どのくらいの頻度までなら許されるの？

[0965 名無しさん＠お腹いっぱい。 2013/09/04(水) 16:51:32.82]

ネームサーバーを自分で構築する利点を教えてください

[0966 名無しさん＠お腹いっぱい。 2013/09/04(水) 17:22:21.79]

/etc/hostsの設定をマシン個別にしなくていい。

[0967 名無しさん＠お腹いっぱい。 2013/09/04(水) 17:49:13.21]

ありがとうございます

[0968 名無しさん＠お腹いっぱい。 2013/09/04(水) 17:50:41.77]

http://toro.2ch.net/test/read.cgi/unix/997686566/280-
こいつか。
荒らし?

[0969 名無しさん＠お腹いっぱい。 2013/09/04(水) 18:03:42.44]

既存のネームサーバーを利用せずに「自分で」構築する利点について聞いてるんじゃなかったのか

[0970 名無しさん＠お腹いっぱい。 2013/09/04(水) 19:13:56.25]

そうです、ほかにもあれば教えていただけますか？
また何か自分でネームサーバーを構築するリスクなどをおしえてください

[0971 名無しさん＠お腹いっぱい。 2013/09/04(水) 22:34:04.95]

会社内や学校内のイントラネットの名前解決用のネームサーバーの場合は
自分で構築して内部に置くのがいいでしょう。
これは利点というよりも、せざるを得ない場合だと思います。

ドメイン登録サービスのネームサーバーのことはよく知りませんが
Webインターフェースで操作するのだと思いますが、
設定できる項目が少ないんじゃないでしょうか。
TXTの設定はできないかも知れません。NTT Comunicationsのサービスでは、
出来ないような気がします。やりかたを見つけられなかっただけかもしれませんが。
TTLの変更も出来ないような気がします。

自分で構築したサーバーなら、やり方を知っていればできるでしょう。

リスクとしては、設定をミスしたときの影響が大きいことでしょう。

設定次第ではドメインのレコードを第三者に書き換えられれてしまうことも有り得ますが、
それは自分で構築したサーバーでなくても、有り得ることなので、自分で構築するリスク
とは言えないですよね。

[0972 名無しさん＠お腹いっぱい。 2013/09/05(木) 09:32:06.06]

SPFがないとメールの扱いがヒドくなる昨今、いまどきTXTを書けない業者なんてあるの？
google appsでも登録時にほんとにそのドメインを所有してるか確認のため
TXTになんか書けとか言われるし。まあ、それ以外の手段も用意されてるけど。

[0973 名無しさん＠お腹いっぱい。 2013/09/05(木) 10:06:57.39]

いろいろ自分好みの設定ができる。
詳細なログを取ることができる。

[0974 名無しさん＠お腹いっぱい。 2013/09/06(金) 23:26:45.96]

>>970
設定の全てを把握して構築しないと
あなたのネームサーバーが踏み台になる恐れがあります。

[0975 名無しさん＠お腹いっぱい。 2013/09/08(日) 16:23:30.37]

>>970
自分の持ってるドメインを全世界に公開するためのゾーンサーバなら素直にレジストラのDNSサービスやAmazon53使っとけ。
自分の持ってる小規模ネットワークでインターネット上のホストとLANの名前解決させるためならunboundやPowerdDNS-recursorを使え。
hostsファイルの内容あるいは類似記述をくり混んでクライアントに返す機能がある。
こうやって実際運用して概念や用語を理解できるようになったらはじめてその時点でBINDを触れ。

[0976 名無しさん＠お腹いっぱい。 2014/02/02(日) 22:28:45.45]

spfをpassしてくるスパムが増えてきて困っているのですが

bindでincludeで指定されているURLをhostsみたいな感じで強制的に応答できなくしちゃえないでしょうか

[0977 名無しさん＠お腹いっぱい。 2014/02/02(日) 23:03:42.04]

>>976
状況をkwsk

[0978 名無しさん＠お腹いっぱい。 2014/02/03(月) 08:09:27.23]

greylistでspfを見ているのですが、+allとかでなく、本当にきちんとspfをpassしてくる迷惑メールがあるんです
fromで対応していますが、どうもspfの応答をするinclude指定されているアドレスにはパターンがあるんで
そのinclude指定をなんとか無効にしてやりたいのですが、やり方がわからなくて
思いついたのがhostsみたいに強制的に違う方向に向かせようかということです

[0979 名無しさん＠お腹いっぱい。 2014/02/03(月) 09:38:55.08]

http://engawa.2ch.net/test/read.cgi/linux/1387980665/493
の人か。

[0980 名無しさん＠お腹いっぱい。 2014/02/03(月) 09:56:16.65]

>>979
そうだけどそっちはレスが付きが悪いので
ちょうどspfの話題も出てるようなのでこっちでお願いしたい。

[0981 名無しさん＠お腹いっぱい。 2014/02/03(月) 11:00:43.38]

includeで指定されているドメイン名をローカルに定義すればいいのでは？
その規則性って部分が厄介かもしれないがワイルドカードとか使って工夫するしか。

[0982 名無しさん＠お腹いっぱい。 2014/02/03(月) 11:41:24.23]

通常のBINDの設定の仕方しかわからないので、できればこうやるんだというのを教えていただきたい

[0983 名無しさん＠お腹いっぱい。 2014/02/03(月) 11:45:20.33]

普通にゾーン持たせりゃいいんじゃね。

[0984 名無しさん＠お腹いっぱい。 2014/02/03(月) 11:49:00.57]

とりあえずここらへんなんですがそれぞれのゾーンを作っていくという感じですか？

nocla.net
delsp.com
burn-oxygen.com
uk1.m0uy.biz
es.ko19.com
spfv1kr2.beml.net
spf.vnstg.net
to1.m0uy.biz
spf.jack-mail.net
spf.vnstg.net
spfv1kr2.beml.net
aq1.mail-q.net
spf.x-mailer.jp
spf.ambitious-inc.co.jp

[0985 名無しさん＠お腹いっぱい。 2014/02/03(月) 12:25:11.09]

そうね。

[0986 名無しさん＠お腹いっぱい。 2014/02/03(月) 12:55:42.39]

$TTL 1D
@ IN SOA nocla.net. root.nocla.net. (
20140203
3H
1H
1W
1D )

IN NS nocla.net.
IN A 127.0.0.1
* IN A 127.0.0.1
こんな感じでしょうか？

[0987 名無しさん＠お腹いっぱい。 2014/02/03(月) 14:10:05.60]

そもそも、そこまで細かく気になる人が SPF という仕組みを活用しようとしている点に
矛盾を感じている今日この頃、皆様いかがお過ごしでしょうか。

まあ、いろいろと試してみるのは、それはそれで面白いのかもしれませんが、自分から
わざわざ苦労する割に効果が薄い方向に向かっていっている気がしてなりません。

[0988 名無しさん＠お腹いっぱい。 2014/02/03(月) 14:24:37.49]

対象ドメインをブラックリストに入れないのはなんでなんだろ

[0989 名無しさん＠お腹いっぱい。 2014/02/03(月) 14:29:03.03]

とりあえず設定したので、この設定で来るか様子見をします。

[0990 名無しさん＠お腹いっぱい。 2014/02/03(月) 14:31:12.19]

この対策をおまSPFと言おう

[0991 名無しさん＠お腹いっぱい。 2014/02/03(月) 15:38:47.91]

おもしろいね。
参考にさせてもらうわ www

[0992 名無しさん＠お腹いっぱい。 2014/02/06(木) 03:41:47.76]

>>986
SOAはわざわざ合わせる必要はないのでlocalhostとかにしてしまい、
すべてのゾーン設定で同じファイルを指定すればいいよ。

[0993 名無しさん＠お腹いっぱい。 2014/02/06(木) 09:09:27.04]

// named.conf
zone "nocla.net" {
type master;
file "omaspf.zone";
};

// omaspf.zone
$TTL 1D
@ IN SOA localhost. root.localhost. (
20140206
3H
1H
1W
1D )
IN A 127.0.0.1
* IN A 127.0.0.1
こんなかんじで量産ですか？

[0994 名無しさん＠お腹いっぱい。 2014/02/06(木) 09:18:21.18]

NS localhost.

この記述は必要ですか？

[0995 名無しさん＠お腹いっぱい。 2014/02/14(金) 18:32:22.12]

NSD-3.2.15とUnbound-1.4.21でDNSをやろうとしてるのですが
ローカル用の正引きはできても逆引きができません。
digで直にNSDに問い合わせたら逆引きできてます。
設定はこんな感じです。
server:
do-not-query-localhost: no
local-zone: "1.168.192.in-addr.arpa." transparent
stub-zone:
name: "1.168.192.in-addr.arpa"
stub-addr: 127.0.0.1@10053
stub-zone:
name: "local"
stub-addr: 127.0.0.1@10053
ログを見ると
info: resolving 192.168.1.xxx. A IN
info: priming . IN NS
の後でルートサーバに問い合わせにいってるようなんです。

[0996 名無しさん＠お腹いっぱい。 2014/02/14(金) 18:39:28.27]

>info: resolving 192.168.1.xxx. A IN

1.168.192.in-addr.arpa の逆引きを解決するのに 192.168.1.xxx を聞いたらダメだろう。

dig xxx.1.168.192.in-addr.arpa
or
dig -x 192.168.1.xxx

[0997 名無しさん＠お腹いっぱい。 2014/02/14(金) 22:33:50.63]

192.168.x.yなんて使うのはどうせ同一セグメントに閉じた奴らなんだろうから、
わざわざDNSなんて使わずmDNS(avahi)使えばいいんだよ

[0998 名無しさん＠お腹いっぱい。 2014/02/17(月) 00:03:07.72]

次スレ

【DNS】Name Server 総合スレ Part2
http://toro.2ch.net/test/read.cgi/unix/1392562928/

[0999 名無しさん＠お腹いっぱい。 2014/02/17(月) 00:12:23.92]

999!

[1000 名無しさん＠お腹いっぱい。 2014/02/17(月) 00:13:01.50]

1000get!!!