Name Server 総合スレ【DNS】
■ このスレッドは過去ログ倉庫に格納されています
0001名無しさん@お腹いっぱい。
2008/11/26(水) 01:14:36●主なオープンソース
BIND
ttps://www.isc.org/software/bind
djbdns
ttp://djbdns.qmail.jp/
NSD
ttp://www.nlnetlabs.nl/projects/nsd/
Unbound
ttp://unbound.net/
●規格
RFC1034, 1035
ttp://www.ietf.org/rfc/rfc1034.txt
ttp://www.ietf.org/rfc/rfc1035.txt
●アプライアンス
Nominum
ttp://www.nominum.com/
Infoblox
ttp://www.infoblox.co.jp/
0095名無しさん@お腹いっぱい。
2009/06/06(土) 14:17:49参照するクライアントのservicesファイルのDNSポートを書き換えてやればよくね?
http://www.linux.or.jp/JM/html/LDP_man-pages/man5/services.5.html
とはいえ、作業漏れやらあとでそんなことしたこと忘れて大騒ぎの原因に
なりそうだからお勧めはしないけどねぇ〜w
0096名無しさん@お腹いっぱい。
2009/06/06(土) 14:26:160097名無しさん@お腹いっぱい。
2009/06/06(土) 14:28:11なぜ Port53 で運用しないのかが気になる。
0098名無しさん@お腹いっぱい。
2009/06/06(土) 14:47:29>>93
dig は -p オプションでポート指定可能なようですね。
>>94
172.51.31.10:5353 とか 172.51.31.10.5353 とか
試したんですが、Linux(CentOS)では無理でした。
>>95
/etc/services で53を5353に書き換えると、
Slave DNS にDNS問い合わせをするようなケースでも
5353ポートに問い合わせてしまうので、断念した経緯があります。
# Slave DNS は53ポートで運用中なのです…。
>>97
それはズバリ、そのサーバでは既に別の named が53ポートで
稼働中だからですw
0099名無しさん@お腹いっぱい。
2009/06/06(土) 14:56:54ListenするIPを限定すれば、
同じホストで同じ53portで、2つ以上のDNSサーバーを起動できるだろ。
0100名無しさん@お腹いっぱい。
2009/06/06(土) 15:28:35なぁ〜んか、「僕ってすごいことやってるでしょ、でも難しくって・・・てへっw」臭がするんだが、
見当違いなことしてねえか?
スプリットDNSって知ってるか・・・?
0101名無しさん@お腹いっぱい。
2009/06/06(土) 15:58:280102名無しさん@お腹いっぱい。
2009/06/06(土) 16:24:45>>99-101
おっしゃる通り、そのような解決方法はいくつか考えられますが、
今回はクライアント(Linux PC)側のリゾルバ設定で Dest Port って
変更できるのかな、と思い質問してみました。
で、基本的には無理ということが分かりました。
多くの named で Listen するポートを指定できるのに、Linuxクライアント側で
DNS問い合わせの Port を指定できないのはちょっと意外でした。
MacOS X では簡単みたいでうらやましいw
DNSサーバ側の対応として現在考えているのは、
・iptables で特定ホストからのポートをリダイレクトする
・view で特定ホストの forwarders を 127.0.0.1:5353する(BIND 9 が動いてますので)
iptablesでうまくいくことは確認しました。
view の方も、特定ホストの数が多くなっても acl を使用すれば
シンプルに管理できそうです。
以上、ありがとうございました。
0103名無しさん@お腹いっぱい。
2009/06/06(土) 16:32:56Listen するポートを指定するんじゃなくて、
Listen する IPを指定するの。
(外向きIPと内向きIPね)
で、複数のnamedが(異なるIPの) 53番を Listenする。
クライアント側は何も変更なし。
0104名無しさん@お腹いっぱい。
2009/06/06(土) 17:23:30件のサーバで動かす named は両方とも内向き用です。
搭載 NIC は1つです。
0105名無しさん@お腹いっぱい。
2009/06/06(土) 17:27:31搭載 NIC 1つでも IP alias できるだろ。知らないのかw
0106名無しさん@お腹いっぱい。
2009/06/06(土) 17:31:53「NICが1つだとできない」って思い込んでる人には馬の耳に念仏。
0107名無しさん@お腹いっぱい。
2009/06/06(土) 17:39:55IP alias は知っていますが、ただ単にポリシー的に IP alias が不可能な環境です。
>>106
>>99
馬の耳に念仏というか、Listen する IP を限定できない named です。
0108名無しさん@お腹いっぱい。
2009/06/06(土) 17:51:28会社でもその調子? それとも学生かなんか?
0109名無しさん@お腹いっぱい。
2009/06/06(土) 17:52:580110名無しさん@お腹いっぱい。
2009/06/06(土) 17:59:070111名無しさん@お腹いっぱい。
2009/06/06(土) 18:39:460112名無しさん@お腹いっぱい。
2009/06/06(土) 19:44:09× Listen する IP を限定できない named です。
○ Listen する IP を限定する方法を知らない named です。
0113名無しさん@お腹いっぱい。
2009/06/06(土) 20:05:43「既に Port53 を使っているから」 はわかる。
というかそれが前提だろ?
だから、なぜ同一LANに対して1つの計算機で2つのDNSサーバーを立ち上げる必要があるのか?
という疑問が湧くのだ。
特に、
>/etc/services で53を5353に書き換えると
意味がサッパリわからんのだが・・・
目指す環境ややりたい事がわかれば、解決策はいろいろ有ると思うんだよ。
唐突にクライアントからサーバーのポートを指定できるのか?
と思いついたのなら、それはまた別問題ではあるけどね。
0114名無しさん@お腹いっぱい。
2009/06/06(土) 20:40:43はい次。
0115名無しさん@お腹いっぱい。
2009/06/07(日) 00:40:010116名無しさん@お腹いっぱい。
2009/06/07(日) 05:20:36非合理な仕様にアレルギーが無い方なのですねw
0117名無しさん@お腹いっぱい。
2009/06/07(日) 08:59:01×IP alias は知っていますが、ただ単にポリシー的に IP alias が不可能な環境です
○IP alias は今聞いて思い出しましたが、自分のスキル的に IP alias が不可能な状況です
0118名無しさん@お腹いっぱい。
2009/06/07(日) 14:25:470119名無しさん@お腹いっぱい。
2009/06/07(日) 19:51:380120sage
2009/06/10(水) 10:06:53どうやったら自分の尊厳を保ったまま話を収束できるか、そういうことに
心血を注いでいた時期がオレにもありました
0121名無しさん@お腹いっぱい。
2009/06/10(水) 10:54:26って向こうは言って無いけど、
そういうことを平気でするIT土方共にひどい目に合わされてます。
どうしたらよいですか。
0122名無しさん@お腹いっぱい。
2009/06/11(木) 20:04:02固定IPアドレスの手動設定をさせてまわる低能IT土方もいるよ
もちろんサーバへのアクセスはIPアドレス指定で
>>120
質問者乙と言えばいいのかな
内容を理解せず端的な作業手順をなぞる程度の能力でしかないのに
自分は出来ると誤解してる底辺土方って居ない方がましだと思う
0123名無しさん@お腹いっぱい。
2009/06/12(金) 01:18:06一人で50台管理しながら手間なコードも書いてる。 まあ、英国式の教育を受けた
家政婦ならあたりまえw
0124名無しさん@お腹いっぱい。
2009/06/12(金) 11:57:21>内容を理解せず端的な作業手順をなぞる程度の能力でしかないのに
>自分は出来ると誤解してる底辺土方って居ない方がましだと思う
これはひどい自己紹介w
0125名無しさん@お腹いっぱい。
2009/06/12(金) 13:50:530126名無しさん@お腹いっぱい。
2009/06/22(月) 23:27:40サブアロケーションされたかたちではなく直接4オクテットを逆順にしたクエリーが来るのが散見されるのですが
(自分で権威を持っていないゾーンへのクエリーと扱われて deny するログが残る。こちらは bind9.5か9.6)
どう言ったフルリゾルバがこのようなクエリーを出すのか情報をお持ちの方はいませんか
0127名無しさん@お腹いっぱい。
2009/06/23(火) 23:43:030128名無しさん@お腹いっぱい。
2009/06/26(金) 23:49:210129名無しさん@お腹いっぱい。
2009/06/30(火) 01:26:380130質問
2009/07/07(火) 18:59:16named.confでは特にmax-refresh-time,min-refresh-time,max-retry-time,min-retry-time
などの設定はしていません。
あるドメインのSOAをrefresh 15m retry 10m expired 3hとして、
ゾーン転送がきちんと出来ていることを確認(セカンダリDNSにゾーンファイルが出来ている)した後で、
わざとプライマリDNSからのゾーン転送ができないようにしました。
namedをkill -hupで再起動したあとでログをずっと見ていると、
最初に zone xxx expiredがでたと、
その後、ずっとtransfer of xxx : time outのエラーが5分前後で8回、
その後5時間前後で同じエラーが現在まで18回繰り返されていました。
私の考えならば、kill -hupでexpiredであることを知り、
その後はretry 10mにしたがって10分ごとにゾーン転送を試みて
(=time outのエラーがでる)、10分×18回retry後、
expireとなってそれ以降ゾーン転送は実施しない(=エラーも出ない)と思うのですが、
エラーログから考えるとそのような動きではないようです。
retryについて指定した時間よりも短い間隔で行ったり、3時間を越えてもなおretryを
試すのはどうしてでしょうか?
bindのdocumentationやbind&dnsには載っていなくて困っています。
0131名無しさん@お腹いっぱい。
2009/07/07(火) 23:42:14expiredになってもゾーン転送を試みる。
expiredになったら、コンテンツとしてゾーンを返さなくなる。
0132名無しさん@お腹いっぱい。
2009/07/08(水) 00:20:32も試さなくなると本(BIND&DNSだったかも)に書いていましたが、どうなんでしょうか?
0133名無しさん@お腹いっぱい。
2009/07/08(水) 11:59:50では、ゾーン転送を試させるにはどのような処理を行えばよいのでしょうか?
0134名無しさん@お腹いっぱい。
2009/07/08(水) 17:59:05LAN内のクライアントのためのキャッシュサーバーを立てる時、
クライアントからの AAAAレコードの問い合わせは一切 forwardしないで、
すぐにヌルデーターを返答するにはどうすればいいですか?
(その後、クライアントがすぐにAレコードを引きなおしてくれることを想定しています)
0135名無しさん@お腹いっぱい。
2009/07/08(水) 18:56:43本では、
expire後、セカンダリDNSからゾーン転送をさせるためにはnamedの再起動が必要と書いていました。
0136名無しさん@お腹いっぱい。
2009/07/08(水) 19:01:07named を 「-4」 オプション付で起動したら駄目なの?
0137名無しさん@お腹いっぱい。
2009/07/08(水) 19:18:46はい、駄目です。
-4 は、問い合わせのための通信をIPv4のみで行なうというだけで、
AAAAレコードの問い合わせとはまた別の話です。
よって、-4を付けても何の解決にもなりません。
引続き、わかる方、お願いします。
↓
0138名無しさん@お腹いっぱい。
2009/07/08(水) 19:33:58「 ̄ `ヽ、 ______
L -‐ '´  ̄ `ヽ- 、 〉
/ ヽ\ /
// / / ヽヽ ヽ〈
ヽ、レ! { ム-t ハ li 、 i i }ト、
ハN | lヽ八l ヽjハVヽ、i j/ l !
/ハ. l ヽk== , r= 、ノルl lL」
ヽN、ハ l ┌‐┐ ゙l ノl l
ヽトjヽ、 ヽ_ノ ノ//レ′
r777777777tノ` ー r ´フ/′
j´ニゝ l|ヽ _/`\
〈 ‐ 知ってるが lト、 / 〃ゝ、
〈、ネ.. .lF V=="/ イl.
ト |お前の態度が とニヽ二/ l
ヽ.|l 〈ー- ! `ヽ. l
|l気に入らない lトニ、_ノ ヾ、!
|l__________l| \ ソ
0139名無しさん@お腹いっぱい。
2009/07/08(水) 19:50:020140名無しさん@お腹いっぱい。
2009/07/08(水) 23:31:580141名無しさん@お腹いっぱい。
2009/07/08(水) 23:36:49だから、ipv6は関係ないって。OSのipv6を止めてもAAAAは問い合わせされる。
0142名無しさん@お腹いっぱい。
2009/07/09(木) 00:07:11そりゃそうだ
0143名無しさん@お腹いっぱい。
2009/07/09(木) 00:25:54回答者は区別できてない奴が多いな。
で、もとの話題の戻ると、
・・・わからん、すまん。
0144名無しさん@お腹いっぱい。
2009/07/09(木) 09:40:17v4でインターネットに繋がっていないLAN内だけのDNSを立てるとき
ルートサーバーとして設定してたじゃない。
それと同じようにv6のルートサーバーにすればいいんじゃないのではございませんか。
0145144
2009/07/09(木) 10:11:370146名無しさん@お腹いっぱい。
2009/07/09(木) 20:13:56既存のプログラムを改造してそういうフルリゾルバを作ってやるしかないのでは。
大技としてAAAA他最近の拡張されたクエリーを理解できないくらい古いBINDを
フルリゾルバとして使うというのも考えられるけれど副作用が大きすぎる。
そもそもなんでそんなことしたいの?
0147名無しさん@お腹いっぱい。
2009/07/29(水) 20:00:08http://jprs.jp/tech/security/bind9-vuln-dynamic-update.html
0148名無しさん@お腹いっぱい。
2009/07/29(水) 21:26:46あらゆるプライマリサーバが脆弱性の対象か・・・
思ったより深刻なセキュリティホールだな。
0149名無しさん@お腹いっぱい。
2009/07/29(水) 22:13:30何やってるのかワケワカメ~
0150名無しさん@お腹いっぱい。
2009/07/30(木) 04:45:34プライマリサーバって?
0151名無しさん@お腹いっぱい。
2009/07/30(木) 08:40:10masterゾーンを管理しているサーバ
0152名無しさん@お腹いっぱい。
2009/07/30(木) 12:48:14BIND4時代の古い用語だからしょうがないな
0153名無しさん@お腹いっぱい。
2009/07/30(木) 12:53:540154名無しさん@お腹いっぱい。
2009/07/30(木) 14:17:07JPRSの文章がそうなっているじゃん。w
0155名無しさん@お腹いっぱい。
2009/07/30(木) 19:56:310156名無しさん@お腹いっぱい。
2009/07/30(木) 20:01:32大抵localhostに対してはmasterよ
0157名無しさん@お腹いっぱい。
2009/07/30(木) 20:01:420158ななし
2009/07/31(金) 00:13:35参照すると9.3でも簡単にパッチ作れるな。^^;
0159名無しさん@お腹いっぱい。
2009/07/31(金) 14:53:20こりゃ、急いだ方が良いな。
月曜日にやろうと思ったけど、今からあげよ。
0160えっ
2009/07/31(金) 16:45:160161名無しさん@お腹いっぱい。
2009/07/31(金) 16:48:19マジだよ。JP DNS が落ちた訳じゃないらしいけど。
みんみんが、言っているんだから間違いない!
0162NoName
2009/07/31(金) 16:55:190163名無しさん@お腹いっぱい。
2009/07/31(金) 17:01:04JPRSの中の人
民田雅人
0164NoName
2009/07/31(金) 17:03:52俺もうpしよう
これはやばそうだ
0165名無しさん@お腹いっぱい。
2009/07/31(金) 17:11:16Solaris10純正は落ちたら再起動してくれるよ
0166名無しさん@お腹いっぱい。
2009/07/31(金) 18:36:47それで良いのか?
アップデートないの?
0167名無しさん@お腹いっぱい。
2009/07/31(金) 19:31:250168名無しさん@お腹いっぱい。
2009/07/31(金) 20:33:000169名無しさん@お腹いっぱい。
2009/07/31(金) 23:20:580170名無しさん@お腹いっぱい。
2009/07/31(金) 23:53:170171名無しさん@お腹いっぱい。
2009/08/01(土) 00:14:32あらら・・・
手回しの良いことで。
せめて週明けまで待てばいいのに。
0172名無しさん@お腹いっぱい。
2009/08/01(土) 00:23:02落ちるんじゃなくてnamed生きたまま応答しなくなるという嫌らしさ
ほんとに他愛のないUDPパケット一個で即死する
発信元IPが偽造されたら追跡もできないな
プロバイダ各社のエグレスフィルタ採用状況はどうなんだっけ?
0174名無しさん@お腹いっぱい。
2009/08/01(土) 15:19:24ウチの環境では起こっていない。@RHEL 5 64bit
0175173
2009/08/02(日) 03:45:55assertionで落とされているという認識なので、CPUアーキテクチャの
違い(32bit/64bit)に影響を受ける部分とは思えないんだけど、興味深い
話ですね。
検証できる環境もないし、する必要もないのでそれだけですが。
0176名無しさん@お腹いっぱい。
2009/08/03(月) 21:34:42IPv6対応にするだけでも他人が書いたパッチが必要とか・・・DNSSEC対応できるの?
0177名無しさん@お腹いっぱい。
2009/08/03(月) 21:53:43tinydns ねぇ。あったねそんなの。
ところで、どこの話題?俺の入っていないMLなんだろうけど
0178名無しさん@お腹いっぱい。
2009/08/03(月) 22:20:03tss氏の日記(2009-07-29)へのコメント。
「コンテンツサーバとキャッシュサーバの分離」とか、安全なDNSサーバのPoCとしては十分な役割を果たしたと
思うけど、もう引退させた方が良いでしょ。
0179名無しさん@お腹いっぱい。
2009/08/03(月) 22:36:49Res ありがとう。どこか判った。
つーか、なんちゅう極端な人たちだ。
0180名無しさん@お腹いっぱい。
2009/08/04(火) 10:29:080181名無しさん@お腹いっぱい。
2009/08/04(火) 10:42:51unboundな。
コンテンツサーバなら、NSD使えばいいんでね。
0182名無しさん@お腹いっぱい。
2009/08/04(火) 18:12:54PoC(perl版, C版)投げても平気な顔してるうちのDNS鯖。
PoCの設定の仕方がおかしいのか(´・ω・`)
0183名無しさん@お腹いっぱい。
2009/08/04(火) 19:16:05ログはどうなの?↓が出ている?
/ANY: 'RRset exists (value dependent)' prerequisite not satisfied (NXRRSET)
0184名無しさん@お腹いっぱい。
2009/08/04(火) 19:21:27レスd
C版でやるとソレが出たわ
perl版は正しいrndcのkey nameとkey入れんとダメなんかいな
0186184
2009/08/04(火) 20:19:40PoCは途中で止まらずprint後にプロンプトに戻るし、
ログには >>183 が出るだけだわ('A`;)
今日はもう遅いのでまた明日チャレンジしてみる ノシ
0187名無しさん@お腹いっぱい。
2009/08/04(火) 21:21:07私が見たPoCのコードだと、構造体のパディングが考慮されてなくて
うまく動かないかもしれないように見えたんだけど。Cで書かれたやつね。
0188名無しさん@お腹いっぱい。
2009/08/08(土) 01:49:21影響大きいのに、金は安い。
SEでさえ、きちんと仕組みを理解している人が少ない。
だから、いつも説明に困る。。
コンテンツとキャッシュを区別できるひとはどれだけいるのだろう。。
0189ななし
2009/08/08(土) 13:55:55>コンテンツとキャッシュを区別できるひとはどれだけいるのだろう。。
さすがにそれはお前の環境だけの問題では?という気がするが・・・。
0190名無しさん@お腹いっぱい。
2009/08/09(日) 00:15:20んなことはない。
客先に説明するときは、まず、コンテンツとキャッシュを説明する。
0192名無しさん@お腹いっぱい。
2009/08/10(月) 17:00:01ファイルサーバーのダウンも、プロキシサーバーのダウンも、
ウェブサーバーのアクセス禁止処置も、なんでもかんでも、
「ネットが落ちてるんですけど、どのくらいで直りますか」
と言う奴に比べると120%ましだと思うんですけど何か。
0193名無しさん@お腹いっぱい。
2009/08/10(月) 17:09:470194188
2009/08/11(火) 00:36:02こんなやつらがalteonなんてつかっていると思うと怖いわー
■ このスレッドは過去ログ倉庫に格納されています