2ちゃんねる ★スマホ版★ ■掲示板に戻る■ 全部 1- 最新50  

■ このスレッドは過去ログ倉庫に格納されています

Name Server 総合スレ【DNS】

1 :名無しさん@お腹いっぱい。:2008/11/26(水) 01:14:36
立ててみるだよもん

●主なオープンソース
BIND
ttps://www.isc.org/software/bind
djbdns
ttp://djbdns.qmail.jp/
NSD
ttp://www.nlnetlabs.nl/projects/nsd/
Unbound
ttp://unbound.net/

●規格
RFC1034, 1035
ttp://www.ietf.org/rfc/rfc1034.txt
ttp://www.ietf.org/rfc/rfc1035.txt

●アプライアンス
Nominum
ttp://www.nominum.com/
Infoblox
ttp://www.infoblox.co.jp/


2 :名無しさん@お腹いっぱい。:2008/11/26(水) 01:15:36
●関連スレ
djb(4)
http://pc11.2ch.net/test/read.cgi/unix/1148064021/
NSD - Name Server Daemon
http://pc11.2ch.net/test/read.cgi/unix/1092799781/
▲DHCPスレ
http://pc11.2ch.net/test/read.cgi/unix/997686566/
DNS (Domain Name System) 総合
http://pc11.2ch.net/test/read.cgi/network/1159978850/ (節穴注意)

●ついでに
ISC DHCP
ttps://www.isc.org/sw/dhcp
NIS
ttp://docs.sun.com/app/docs/doc/817-4911?l=Ja
NIS+
ttp://docs.sun.com/app/docs/doc/816-6236?l=Ja

Windows Server のDNSは省略だよもん


3 :名無しさん@お腹いっぱい。:2008/11/26(水) 01:27:49
ダイナミックDNSについて語りませんか?
http://pc11.2ch.net/test/read.cgi/hosting/1004200355/
?レンタルDNSサーバ
http://pc11.2ch.net/test/read.cgi/hosting/1018780116/
ダイナミックDNSについて語ろう Part6
http://pc11.2ch.net/test/read.cgi/mysv/1165262414/
DDNSサービスサーバ作ってみたわけだが(^_^;)
http://pc11.2ch.net/test/read.cgi/mysv/1095412433/
DDNSで自宅鯖やっている学生どもはクズが多い
http://pc11.2ch.net/test/read.cgi/mysv/1070173236/
DNSで使用しているプロトコルを教えてください。
http://pc11.2ch.net/test/read.cgi/hack/1017156027/
DNSプロトコルの脆弱性情報 漏洩する
http://pc11.2ch.net/test/read.cgi/sec/1216822395/
ISPのDNSのキャッシュ書き換え時間について
http://pc11.2ch.net/test/read.cgi/network/1007295804/
DNSって?
http://pc11.2ch.net/test/read.cgi/network/1000134177/
DNSの参照
http://pc11.2ch.net/test/read.cgi/network/1005205639/
DNSが落ちててもIPアドレスが知りたい
http://pc11.2ch.net/test/read.cgi/network/1010769515/
BIND8.2.2 for Win32 論争
http://pc11.2ch.net/test/read.cgi/network/978889967/
DNSの安全性をチェックするスレ
http://pc11.2ch.net/test/read.cgi/isp/1217057555/

ネタスレも含めて集めてみた

4 :名無しさん@お腹いっぱい。:2008/11/26(水) 01:30:41
あとdjbdnsはこっちが本家ね
ttp://cr.yp.to/djbdns.html

5 :名無しさん@お腹いっぱい。:2008/11/26(水) 01:54:07
乙だよもん

6 :名無しさん@お腹いっぱい。:2008/11/26(水) 07:35:37
ルートサーバーの中の人はおらんか?

7 :名無しさん@お腹いっぱい。:2008/11/27(木) 07:50:06
>>1
https ・・・?

ttp://www.isc.org/software/bind
じゃだめなん?

8 :名無しさん@お腹いっぱい。:2008/11/27(木) 16:47:21
PowerDNS ttp://www.powerdns.com/ はプロプライエタリ?

9 :名無しさん@お腹いっぱい。:2008/11/28(金) 15:18:01
djbdnsでDKIM設定をやろうとしてレコードに公開鍵を設定したけど
実際にtxtで引くと下の用に途中で切れてしまう。

gBhRpVI8v70VWZo8p1txrvO" "IKI7xOxRN5uxtuwkCAwEAAQ==\" \; ----- DKIM selecto

128バイト以上だと駄目なのかな?

10 :名無しさん@お腹いっぱい。:2008/11/28(金) 23:16:58
djbdnsだからなぁ・・・

11 :名無しさん@お腹いっぱい。:2008/11/30(日) 21:01:35
djbdnsのparseがおかしいのかな?
今更コード読む気もおきん...

12 :名無しさん@お腹いっぱい。:2008/12/03(水) 00:59:00
DHCPDのオプソ実装ってISCだけ?

13 :名無しさん@お腹いっぱい。:2008/12/03(水) 09:11:24
WIDE も作ってたよ。最近は開発止まってるみたいだけど。

14 :名無しさん@お腹いっぱい。:2008/12/04(木) 08:34:11
WIDE版にはよく泣かされました・・・

15 :名無しさん@お腹いっぱい。:2008/12/05(金) 23:37:35
bindiからbind9へバージョンアップをしようとしています
プライマリ/プロバイダのセカンダリ2台構成なのですが、今回はバージョンアップ
だけでゾーンファイル等の変更は行いません

プライマリバージョンアップ後の動作確認として基本的な動作確認はするのですが
実際にセカンダリにゾーン転送されるかって確認はしたほうがいいんでしょうか?

セカンダリはプロバイダ持ちなのでプライマリ所有ゾーンファイルのシリアル値を増やしてHUPし、
シリアル値が増えるのを確認するぐらいしかないのですが・・・・・


16 :名無しさん@お腹いっぱい。:2008/12/06(土) 19:15:39
>>15
しない方がいいと思える理由は?

17 :名無しさん@お腹いっぱい。:2008/12/08(月) 10:52:17
bindiって何?

18 :名無しさん@お腹いっぱい。:2008/12/11(木) 00:16:58
ビンディー!

19 :名無しさん@お腹いっぱい。:2008/12/17(水) 00:44:47
だよもん

20 :名無しさん@お腹いっぱい。:2008/12/26(金) 16:01:38
ぱにーに!

21 :名無しさん@お腹いっぱい。:2008/12/27(土) 11:40:08
NISをいまだに使っている人っている?
うち、まだNISを使っていてDNSへの変更を提案したら、
「今動いているものをなぜ変える必要があるんだ!」と言われた・・・。


22 :名無しさん@お腹いっぱい。:2008/12/27(土) 12:33:18
> 「今動いているものをなぜ変える必要があるんだ!」と言われた・・・。

君がなんで DNS に変えたがってるのかの説明ができてないだけかと

23 :名無しさん@お腹いっぱい。:2008/12/29(月) 20:26:15
Fri Sep 21 07:57:01 UTC 2007
meti.go.jp NS ns.osaka.spin.ad.jp
hqm-sdnsg01.meti.go.jp postmaster.meti.go.jp (2007091300 10800 3600 604800 300)
meti.go.jp NS ns2.iprevolution.co.jp
hqm-sdnsg01.meti.go.jp postmaster.meti.go.jp (2007091300 10800 3600 604800 300)
meti.go.jp NS hqm-sdnsg01.meti.go.jp
hqm-sdnsg01.meti.go.jp postmaster.meti.go.jp (2007022801 10800 3600 604800 300)
!!! hqm-sdnsg01.meti.go.jp and ns2.iprevolution.co.jp have different serial for meti.go.jp
meti.go.jp NS hqm-sdnsg02.meti.go.jp
hqm-sdnsg01.meti.go.jp postmaster.meti.go.jp (2007022801 10800 3600 604800 300)
meti.go.jp NS ndrs-sdnsg01.meti.go.jp
hqm-sdnsg01.meti.go.jp postmaster.meti.go.jp (2007091300 10800 3600 604800 300)
!!! ndrs-sdnsg01.meti.go.jp and hqm-sdnsg02.meti.go.jp have different serial for meti.go.jp

24 :名無しさん@お腹いっぱい。:2009/01/22(木) 01:33:02
今日はひどいね。。。
めんどいのでアタック系のアドレス前拒否で。
view "external" {
match-clients { any; !76.0.0.0; !66.0.0.0; };
match-destinations { any; };
recursion no;

25 :名無しさん@お腹いっぱい。:2009/01/22(木) 01:34:27
拒否ったのはいいが、66とか76とかってCN?

26 :名無しさん@お腹いっぱい。:2009/01/22(木) 01:35:31
おお!!squidセきゅでリピートカキコ

27 :名無しさん@お腹いっぱい。:2009/01/22(木) 01:38:20
なるほどね

28 :名無しさん@お腹いっぱい。:2009/01/22(木) 01:42:54
あっさりアタック系のアラートメール止まった。このままなら朝までにメールが10000通ペースだべさ
cn氏ね
idも市ね


29 :名無しさん@お腹いっぱい。:2009/01/22(木) 01:52:30
なんだ66.0.0.0も76.0.0.0も喜多籠めじゃん
追浜市ね
&串四ね

30 :名無しさん@お腹いっぱい。:2009/02/02(月) 10:19:27
とあるDNSサーバに設定されている1つのドメインの情報について、
外部から丸ごと、一覧で見る事って出来る?
例えば、2ch.net だったら、ns1.maido3.com から、ns1.maido3.com内の2ch.netに関するレコードを全部一覧で見る、みたいな。
説明下手でごめん…変なトコとかあったら指摘をお願い。


それともう一つ、DNSについて「ここが参考になった」「俺はここで勉強した」っていう
良さそうなサイトがあったら教えておくれ。

31 :名無しさん@お腹いっぱい。:2009/02/02(月) 12:06:36
>>30
昔はできた。 今はできないのが普通。


32 :名無しさん@お腹いっぱい。:2009/02/02(月) 12:41:06
>>31
ありがとう。
昔は出来たけど、ってのを元にぐぐって出てきた単語「ゾーン転送」辺りで調べたら
今はできないのが普通、って言葉の意味が良くわかった。

33 :名無しさん@お腹いっぱい。:2009/02/05(木) 20:09:57
VMwareにCentOS入れてDNS勉強始めたんですが、ローカルでの正引きができません

//
// named.caching-nameserver.conf
//
中略
// to create named.conf - edits to this file will be lost on
// caching-nameserver package upgrade.
//
options {
directory "/var/named";
};
zone "example.com" IN {
type master;
file "example.com.zone";
};

34 :名無しさん@お腹いっぱい。:2009/02/05(木) 20:11:24
$TTL 86400
@ IN SOA server1.example.com. test.example.com.(
2009020505 ; serial
3600 ; refresh 1hr
900 ; retry 15min
604800 ; expire 1w
86400 ; min 24hr
)
IN NS server1
server1 IN A 192.168.1.1
server2 IN A 192.168.1.2
server3 IN A 192.168.1.3
host IN A 192.168.1.4


書式とか間違ってますか・・・?
サーバ自身からドメインでpingすると、時間はかかりますが一応名前解決できています。
同一ネットワーク内のPCからだと失敗しますが・・・


35 :名無しさん@お腹いっぱい。:2009/02/05(木) 20:13:03
C:\Documents and Settings\@@@@>nslookup
DNS request timed out.
timeout was 2 seconds.
*** Can't find server name for address 192.168.1.1: Timed out
*** Default servers are not available
Default Server: UnKnown
Address: 192.168.1.1

> localhost
Server: UnKnown
Address: 192.168.1.1

DNS request timed out.
timeout was 2 seconds.
*** Request to UnKnown timed-out
> server1.example.com
Server: UnKnown
Address: 192.168.1.1

ipaddressでのpingは相互に成功しますがこっちはダメでした

36 :名無しさん@お腹いっぱい。:2009/02/05(木) 20:32:12
>>33
VMware hostOSのWindowsとguestOS上のCentOSとの通信はローカルというのか?

pingは通るんなら、UDPのフィルタとかじゃね?

37 :名無しさん@お腹いっぱい。:2009/02/05(木) 20:42:28
>>36
Hostonlyモードです
53番ポートが何かダメって可能性もありますね。フィルタと合わせて試してみます

38 :名無しさん@お腹いっぱい。:2009/02/06(金) 09:35:58
.confでlocalhost以外からの問い合わせは許可してる?


39 :名無しさん@お腹いっぱい。:2009/02/07(土) 13:13:01
すまん、どこで聞いたらいいかわからなかったんで優しいお前らに質問させてくれ
レジストリに登録してあるドメイン情報の中のDNSサーバについてなんだけれども

name1.com(222.222.222.222) というドメインを所有し、
専用サーバ会社のサーバを借りて運用しているとして、これのDNSサーバとして下の2つを使いたい
○ 専用サーバ会社のDNSサーバ、 test2.sen-you.com(111.111.111.111)
○ 自分のサーバ、name1.com(222.222.222.222)ns.name1.comの別名アリ
※test2.sen-you.com は name1.com からゾーン転送でname1.comと同じDNS情報を持っている

こういうとき、レジストリへのDNSサーバの登録って、どうすれば良いんだろう?
ns1.name1.com や name1.com をDNSサーバとして、そのままの名前で登録しちゃうとループする気がして。

わかり辛くてすまんが教えてくれ

40 :名無しさん@お腹いっぱい。:2009/02/07(土) 15:10:26
>>39
ドメイン名にAレコードつけるのなんかかやめちまえ

ドメイン名のサンプルにはexample.comとかexample.jpを使えと何度言われたら(ry

41 :名無しさん@お腹いっぱい。:2009/02/07(土) 15:16:23
当該所有組織の中の人かもね!

42 :名無しさん@お腹いっぱい。:2009/02/07(土) 15:17:39
>>39
1. name1.com の ネームサーバとして ns1.name1.com, ns2.name1.com を登録する
2. ns1.name1.com の IP アドレスとして 222.222.222.222
ns2.name1.com の IP アドレスとして 111.111.111.111
を登録する
3. name1.com のゾーン情報でゾーン自体に A レコードを書いて 222.222.222.222 を書く
4. test2.sen-you.com の IPアドレスが変わるとホスティング屋に言われたら
ns2.name1.com の登録情報を変更する
以上


43 :名無しさん@お腹いっぱい。:2009/02/07(土) 18:32:49
>>39
name1.com のゾーンを登録しているサーバーは以下の通り。

name1.com. 86236 IN NS c.ns.joker.com.
name1.com. 86236 IN NS a.ns.joker.com.
name1.com. 86236 IN NS b.ns.joker.com.

sen-you.com についてはまだドメイン登録されていないようです。

44 :39:2009/02/07(土) 20:43:09
なんだかんだで相手をしてくれるお前らはやっぱり優しいな

>>40
すまん・・・クセでつい。次からそうするよ。

>>42
専用サーバ会社のDNS、test2.example.com(変えた)を
自分のDNSサーバ、 example.jp(これも変えた)にns2として登録する意味はなに?
そんな事をしても、
1. test2.example.com (111.111.111.111)
2. ns1.example.jp (222.222.222.222)
3. ns2.example.jp (111.111.111.111)
上の3つをレジストリに登録した場合、1.だけ他のドメインから名前解決されて
他の2つ、2.と3.は名前解決出来ずにループしない?

ns1.example.jpはどこ => example.jp の配下だからexample.jpのDNSに聞こう =>
 => example.jpのDNSはどこ => ns1.exampleだ => ns1.exampleはどこ => 以下ループ
でもこう考えていくと、どんなホスト名も解決出来なくなる気がしてならない。

>>41,>>43
name1.comの中の人すまんwwwww

45 :名無しさん@お腹いっぱい。:2009/02/07(土) 21:10:40
ループ?
運用に関わるなら最低限の勉強してこい

46 :名無しさん@お腹いっぱい。:2009/02/07(土) 22:17:32
>>44
>>45氏の言うとおり、もう少し勉強してからやった方が良いぜ。
そんな知識で実際に運用されたらかなわん。

問い:ns1.example.jp の IP がワカラン。 example.jp のゾーン情報を持っているのはどのホストだ?
この問いかけを ns1.example.jp に投げる事が出来たら神だろ。

example.jp ゾーンのネームサーバー名を問い合わせる先は ns1.example.jp ではないという事だ。

47 :39=44:2009/02/08(日) 01:32:02
>>46
んだよな。
だからこれまではexample.jpにゾーン情報書いて外部ドメインのDNSサーバへのゾーン転送許可して、
レジストリには外部ドメインのDNSサーバだけ登録してたんだけど…

whoisで見たら某ホスティング会社のDNSサーバと自ドメインのサーバのみを登録してる所があってな。
そんなんアリなのかよオイ、と思って聞いてみたんだ。
みんなd、もっと勉強してくる。

48 :名無しさん@お腹いっぱい。:2009/02/09(月) 01:35:58
>>44
>自分のDNSサーバ、 example.jp(これも変えた)にns2として登録する意味はなに?
メリット:余計な再帰的名前参照が発生しない / ドメインハイジャックの危険性の低減
(後者については http://www.e-ontap.com/summary/ が参考になるやも)
デメリット:プロバイダのDNSコンテンツサーバのIPアドレス変更がユーザに告知されずに行われたら悲惨

その例なら1. の test2.example.com を登録する必要はない


49 :名無しさん@お腹いっぱい。:2009/02/09(月) 20:08:28
DNS cache poisoning のアタックが鬱陶しいし、Logが肥大化してうざい。
何か、対策してます?

私の環境は、CentOS5 です。
何か、書かないと無理だろうなぁ・・・


50 :名無しさん@お腹いっぱい。:2009/02/09(月) 20:31:32
その前で止めればいいよ

51 :名無しさん@お腹いっぱい。:2009/02/20(金) 11:17:33
うろ覚えなんだけど、公開してるドメインを入力すると、
DNSの設定吸い上げて問題点指摘してくれるところがあった。
Another HTML-lintのDNS版みたいな感じ。
今探しなおしても出てこないんだけど、どこかにそういうサイトないかな?


52 :名無しさん@お腹いっぱい。:2009/02/20(金) 11:46:17
細かいチェックは有償になってしまったけど
http://member.dnsstuff.com/pages/dnsreport.php

53 :名無しさん@お腹いっぱい。:2009/02/20(金) 16:32:46
>>52
とんくす。
昔見たのも、多分このDNSReportだと思う。
21日の間にキャンセルすれば無料なんだけど、キャンセル前提でもクレジット番号送らないといけない。
そこに抵抗なければ使えるかな。
万が一請求来たら報告するw


54 :名無しさん@お腹いっぱい。:2009/02/20(金) 23:09:02
>>53
ttp://vidmar.net/weblog/archive/2008/03/23/free-dns-report-alternatives.aspx

55 :55:2009/02/27(金) 14:50:20
http://www.zoneedit.com/signup.html

上のURLから、無料ネームサーバー登録で、
[Sign Up Now]を押したが1時間たってもメールが届かないのです。
ちなみに、あるレンタルで再販するために、
このフリーネームサーバーを利用していました。
登録ごとに異なるアドレスを使い、yahoo.co.jpなどでも試してみたが、
パスワードが送られてこないのです。
本日になってzoneeditからメールが届かないという状況になりました。
理由だれか知ってますか。教えてほしいのです。ねらー様

56 :名無しさん@お腹いっぱい。:2009/02/27(金) 14:56:15
>>55
誰か教えてやれよ

57 :55:2009/02/27(金) 17:23:57
メールはリアルタイムに送られてくるに決まっているのにメールがすぐに届かないのはおかしいです!

58 :名無しさん@お腹いっぱい。:2009/02/27(金) 17:32:33
>>55-57
自演までして業者必死だな。

59 :名無しさん@お腹いっぱい。:2009/02/27(金) 17:35:36
そこにといあわせればいいのい

60 :55:2009/02/27(金) 20:31:28
>>57-58
上は同一人物です。自演に文句いうために無理に自身で自演している・・

zoneeditに問い合わせてみた!
すると、数時間後に、「再度Sign Upを試してください」
と連絡があっただけでした。
しかし、その後、プロキシーしてみたり、別ドメインを使用してみたが、
メールが届かないのです。完了画面は出るのですけどね。
もちろんスパム判定されたわけでもない。そういうの使ってないメールで試したから。
ちょっと誰かテストしてみてくれますか。
ここネームサーバーお助けスレですよね(⌒∇⌒)


61 :57:2009/02/27(金) 20:48:50
>ここネームサーバーお助けスレですよね(⌒∇⌒)

どうやって煽ればいいのかわからないです><

62 :名無しさん@お腹いっぱい。:2009/02/27(金) 21:14:54
>?ここネームサーバーお助けスレですよね(⌒∇⌒)

! この板はそういう意味の板だったのかw

63 :名無しさん@お腹いっぱい。:2009/02/27(金) 21:16:54
商売するのに自前のコントロールができないのを使うなんて
馬鹿なの?死ぬの?

64 :名無しさん@お腹いっぱい。:2009/02/27(金) 22:17:50
きっと頭はすでに死んでいるんだよ
死んでいるからまともに考えることができなくてバカをやる

65 :名無しさん@お腹いっぱい。:2009/02/27(金) 22:27:01
なんなら英語堪能な俺が問い合わせてやろうか?

66 :55:2009/02/27(金) 23:16:31
>>65

頼む神の65様よ!
ちなみにプロキシーにして、今までと別のドメインのE-mailで
申し込んでもメールが来なかった。
Free トライアルで[Sign Up Now]を押しましたが駄目でした。
ちなみにその後、メールを出してみたが、時間的な問題かまだ、返事なし。
ttp://www.zoneedit.com/signup.html

67 :55:2009/02/27(金) 23:46:00
普通ならメールは申込み完了と同時にリアルタイムで来るのですが、
来ないのです。
ちなみに申し込んだ後の完了画面にサポートのE-mailが記述されています。

68 :名無しさん@お腹いっぱい。:2009/02/28(土) 00:51:46
板違い。

69 :55:2009/02/28(土) 01:12:51
既違いではない!

Did you use any foreign characters in the email address?
Please check your junk mail filters, or try signing up using a different email.

上のメールがzoneeditより届いた。
スパムフィルターがどうとかってこと?
でも今、もう一回同じメールで申し込んだらメール届きました。
一時的にzoneeditのサーバーが重くなって不具合を招いていたようです。
しかし、不具合があったときに登録したものは、返事が来なかったです。
こういうこともあるのですね。
zoneeditでこういう情報ほかに見当たらないから、このスレzoneedit使用する人に重宝されるよ\(o⌒∇⌒o)/

70 :55:2009/02/28(土) 01:16:55
あ〜あ、zoneeditからメール来なかったとき、
21domainの有料ネームサーバ申し込んで損しちゃったよ。
ねら〜君がいい情報くれると期待して書き込んだのに・・

71 :名無しさん@お腹いっぱい。:2009/02/28(土) 01:22:45
       ::                .|ミ|
        ::               .|ミ|           ::::::::
         :::::     ____ |ミ|          ::::
           :: ,. -'"´      `¨ー 、       ::
   ::        /   ,,.-'"      ヽ  ヽ、    ::
   ::     ,,.-'"_  r‐'"     ,,.-'"`     ヽ、 ::
   ::   /    ヾ (    _,,.-='==-、ヽ         ヽ、
   ::   i へ___ ヽゝ=-'"/    _,,>         ヽ      ←>>55
   ::   ./ /  > ='''"  ̄ ̄ ̄               ヽ
  ::   / .<_ ノ''"       ヽ               i
  ::   /    i   人_   ノ              .l
  ::  ,'     ' ,_,,ノエエエェェ了               /
    i       じエ='='='" ',              / ::
    ',       (___,,..----U             / ::
     ヽ、         __,,.. --------------i-'"  ::
      ヽ、_   __ -_'"--''"ニニニニニニニニヽ   ::
         `¨i三彡--''"´              ヽ  ::

72 :名無しさん@お腹いっぱい。:2009/02/28(土) 05:19:01
飛んだスレ荒らしだなこりゃ、
と自分で書いてみる

73 :名無しさん@お腹いっぱい。:2009/02/28(土) 08:38:52
うに板でなく、レン鯖板の話題だからみんなスルーしただけ

74 :名無しさん@お腹いっぱい。:2009/02/28(土) 11:55:52
有識者に伺いたい。
bind9でプライベートアドレスの逆引き要求は、上位DNSサーバに転送しない設定って、
ゾーンファイル書く以外に方法ありませんでしょうか?

YAMAHAルータだと設定1行でいけるっぽいんですが・・・。
ttp://www.rtpro.yamaha.co.jp/RT/FAQ/TCPIP/blackhole-isi-edu.html

dns private address spoof on

よろしくお願いします


75 :名無しさん@お腹いっぱい。:2009/02/28(土) 13:03:55
>>74
10/8,172.16/16〜172.32/16,192.168/16の18個書けばいいんだから
18行書けばいいんじゃないの。ゾーンファイルは全部兼用できるわけだし。

unboundやPowerDNS-recursorは同様に上位に送らず自前で処理してしまう定義が書ける。


76 :名無しさん@お腹いっぱい。:2009/02/28(土) 13:16:02
169.254/16も必要だから19行か

77 :名無しさん@お腹いっぱい。:2009/02/28(土) 13:42:39
192.0.2/24は?

78 :名無しさん@お腹いっぱい。:2009/02/28(土) 13:56:54
DNS (Domain Name System) 総合
http://pc11.2ch.net/test/read.cgi/network/1159978850/l50


79 :名無しさん@お腹いっぱい。:2009/02/28(土) 14:53:42
>>77,76
やっぱり書きますか。ゾーンファイルに追加するのは、運用上
厳しかったのですが、その方向で検討します。

>>78
そちらには昨日おじゃまさせていただいておりました。。。


80 :名無しさん@お腹いっぱい。:2009/02/28(土) 17:20:32
コンテンツサーバとリゾルバサーバのIPアドレスを分けたらいいんじゃない?
クライアントマシンのアドレス割り当てをDHCPでやってるなら
DHCPの台帳側をかきかえれて新しいリゾルバサーバを見に行かせるようにすればばいいし、
固定アドレス割り振りのマシンが多くてそうも行かないならコンテンツサーバ側をリナンバすればいい。

とりあえずas122.netで提供されているやつをインターネットにながさなければいいと思うので>>75-76と書いた。
もう少し偏執的に書くならRFC3330に書かれているやつのうちのいくつかを加える必要があるかな。


81 :名無しさん@お腹いっぱい。:2009/03/13(金) 15:48:57
ちなみにこの設定をすると名前解決でもたつく事が無くなり、
場合によっては、色々な応答性があがる。

問い合わせに応答しない設定で待たせていたりするくらいなら
でっち上げておいたほうがいい。



82 :51:2009/03/30(月) 22:27:09
帰宅したら、クレジットの請求にDNSReportが混じってた。
明日ゴルァせねば。
時々メール来るのは無視できるけどこれはまずい。


83 :名無しさん@お腹いっぱい。:2009/04/21(火) 10:03:12
最近unix(solaris10)を利用し始めた初心者です。

dnsを利用して、グーグルなどから検索をしようとしています。
Windowsから調べたところ、dnsサーバーがルータと同じIPになっていました。
そこで、unixの設定ファイル/etc/resolv.confに、
nameserver xx.xx.xx.xx
と記入して再起動しました。
ところが、利用できていないみたいなのです。
IPで指定するとグーグルやほかのサイトには逝けるのですが、サーバー名だとエラーになります。
また、ドメインは取得していません。

どのような設定がひつようなのでしょうか?
bindと呼ばれるDNSサーバー?はインストールしなければ行けないものなのでしょうか?

お手数ですがよろしくお願いします。

84 :名無しさん@お腹いっぱい。:2009/04/21(火) 11:18:56
ttp://moin.qmail.jp/DNS

85 :名無しさん@お腹いっぱい。:2009/04/21(火) 12:15:20
BINDはインストールしなくていい。

86 :名無しさん@お腹いっぱい。:2009/04/21(火) 17:23:54
>>83
bind はいらん。/etc/nsswitch.conf を適切に設定しろ。
name server は関係ないから Solaris 系のスレに行け。
というか「solaris 10 resolv.conf」でググれ。

87 :名無しさん@お腹いっぱい。:2009/04/29(水) 07:34:26
mxに関してだけど、優先度の低い鯖に配送されるのって優先度が
高い鯖がダウンしてる以外の条件って何かある?
新しい鯖に移行しようと思って構築中なんだけどmxを低めに
設定しておいたらたまに構築中の新鯖に配送される物があるんだよね

88 :名無しさん@お腹いっぱい。:2009/04/29(水) 08:29:26
>>87
SPAMツールは優先順位に関係なく送ってるようで、
プライマリなmxが生きてる状態ではセカンダリにはSPAMばっかりやってくる。

89 :名無しさん@お腹いっぱい。:2009/04/29(水) 13:31:03
sendmailとか、ロードアベレージが一定以上だと「今はダメ」とか返事する
機能なかったっけ?

90 :87:2009/04/30(木) 14:19:41
なるほど。そうやってロードバランシングに使う訳ね。
いつも単体で構築してたから気にもしていなかったよ。
うちの状況はまさに>>88な状況だった。ちょっと調べたら今のpostfixは
順番にmxなめていって最初にsmtp喋る奴を見つけたら配送失敗しようと
終わりにするような実装になっているけど、今後の実装で挙動が変わりそうな
記述があった。ってことは他の実装では配送成功するまでmxなめる場合もある
ってことかな。いないユーザをプライマリではねていてもセカンダリで
受け入れると>>88みたいな状況になるのでは。うちの構成は今はプライマリが
postfix、セカンダリがqmail(いないユーザの分も受け取る)だから・・・。

91 :名無しさん@お腹いっぱい。:2009/04/30(木) 16:33:22
セカンダリ MX にフォールバックするのは、そもそも接続できないか、
接続していきなりエラー応答が返ってきたときだけ。

>いないユーザをプライマリではねていても

これはある程度 SMTP セッションが進んだ後でのエラーになるので、
セカンダリ MX にはいかない。

つーか DNS 関係ない。

92 :名無しさん@お腹いっぱい。:2009/06/06(土) 11:26:22
LAN内に構築した内部向けDNSサーバを Port 5353 で listen して運用したいと考えていますが、
LAN内クライアント(Linux PC)に、内部向けDNSサーバの Port 5353 に対してDNS問い合わせを
行わせる設定の方法が分かりません。

そもそも、LAN内クライアント(Linux PC)のリゾルバ設定で、Dest Port を変更することって
できるんでしょうか?

93 :名無しさん@お腹いっぱい。:2009/06/06(土) 14:06:59
digだとできるけど、resolv.confなどではできないとか。

resolv.conf option for nameserver with specific port number
ttps://lists.isc.org/pipermail/bind-users/2007-May/thread.html

5353はmDNSのポート番号か。

94 :名無しさん@お腹いっぱい。:2009/06/06(土) 14:16:19
>>92
MacOS X だと man 5 resolver にこんな風に書いてありました。

The address may optionally have a trailing dot followed by a port number.
For example, 10.0.0.17.55 specifies that the nameserver at 10.0.0.17 uses port 55.


95 :名無しさん@お腹いっぱい。:2009/06/06(土) 14:17:49
>>92
参照するクライアントのservicesファイルのDNSポートを書き換えてやればよくね?
http://www.linux.or.jp/JM/html/LDP_man-pages/man5/services.5.html

とはいえ、作業漏れやらあとでそんなことしたこと忘れて大騒ぎの原因に
なりそうだからお勧めはしないけどねぇ〜w

96 :名無しさん@お腹いっぱい。:2009/06/06(土) 14:26:16
services を NISでバラ撒けば問題は緩和される。

97 :名無しさん@お腹いっぱい。:2009/06/06(土) 14:28:11
>>92
なぜ Port53 で運用しないのかが気になる。

98 :名無しさん@お腹いっぱい。:2009/06/06(土) 14:47:29
>>92です。色々レスありがとうございます。

>>93
dig は -p オプションでポート指定可能なようですね。

>>94
172.51.31.10:5353 とか 172.51.31.10.5353 とか
試したんですが、Linux(CentOS)では無理でした。

>>95
/etc/services で53を5353に書き換えると、
Slave DNS にDNS問い合わせをするようなケースでも
5353ポートに問い合わせてしまうので、断念した経緯があります。
# Slave DNS は53ポートで運用中なのです…。

>>97
それはズバリ、そのサーバでは既に別の named が53ポートで
稼働中だからですw

99 :名無しさん@お腹いっぱい。:2009/06/06(土) 14:56:54
>>98
ListenするIPを限定すれば、
同じホストで同じ53portで、2つ以上のDNSサーバーを起動できるだろ。

100 :名無しさん@お腹いっぱい。:2009/06/06(土) 15:28:35
>>98
なぁ〜んか、「僕ってすごいことやってるでしょ、でも難しくって・・・てへっw」臭がするんだが、
見当違いなことしてねえか?


スプリットDNSって知ってるか・・・?

101 :名無しさん@お腹いっぱい。:2009/06/06(土) 15:58:28
bind9とかなら普通にzoneごとのallow-hogeでどーにでもなる話な気がする。

102 :名無しさん@お腹いっぱい。:2009/06/06(土) 16:24:45
>>92です。レスありがとうございます。

>>99-101
おっしゃる通り、そのような解決方法はいくつか考えられますが、
今回はクライアント(Linux PC)側のリゾルバ設定で Dest Port って
変更できるのかな、と思い質問してみました。

で、基本的には無理ということが分かりました。

多くの named で Listen するポートを指定できるのに、Linuxクライアント側で
DNS問い合わせの Port を指定できないのはちょっと意外でした。
MacOS X では簡単みたいでうらやましいw

DNSサーバ側の対応として現在考えているのは、

・iptables で特定ホストからのポートをリダイレクトする
・view で特定ホストの forwarders を 127.0.0.1:5353する(BIND 9 が動いてますので)

iptablesでうまくいくことは確認しました。
view の方も、特定ホストの数が多くなっても acl を使用すれば
シンプルに管理できそうです。

以上、ありがとうございました。

103 :名無しさん@お腹いっぱい。:2009/06/06(土) 16:32:56
>>102
Listen するポートを指定するんじゃなくて、
Listen する IPを指定するの。
(外向きIPと内向きIPね)

で、複数のnamedが(異なるIPの) 53番を Listenする。

クライアント側は何も変更なし。

104 :名無しさん@お腹いっぱい。:2009/06/06(土) 17:23:30
>>103
件のサーバで動かす named は両方とも内向き用です。
搭載 NIC は1つです。

105 :名無しさん@お腹いっぱい。:2009/06/06(土) 17:27:31
>>104
搭載 NIC 1つでも IP alias できるだろ。知らないのかw

106 :名無しさん@お腹いっぱい。:2009/06/06(土) 17:31:53
>>99 がすでに最適解を書いてるのに、

「NICが1つだとできない」って思い込んでる人には馬の耳に念仏。

107 :名無しさん@お腹いっぱい。:2009/06/06(土) 17:39:55
>>105
IP alias は知っていますが、ただ単にポリシー的に IP alias が不可能な環境です。

>>106
>>99
馬の耳に念仏というか、Listen する IP を限定できない named です。

108 :名無しさん@お腹いっぱい。:2009/06/06(土) 17:51:28
ここでSPLIT DNSだとかIPエイリアスだとか、微妙な知識ひけらかしてる奴らいるけど恥しくねーの?
会社でもその調子? それとも学生かなんか?

109 :名無しさん@お腹いっぱい。:2009/06/06(土) 17:52:58
BIND9じゃないのか?

110 :名無しさん@お腹いっぱい。:2009/06/06(土) 17:59:07
なんか数人エスパーが紛れ込んでる模様

111 :名無しさん@お腹いっぱい。:2009/06/06(土) 18:39:46
現行のDNSソフトで、listenするIPアドレスを限定できないものって何? そんなのあるの?

112 :名無しさん@お腹いっぱい。:2009/06/06(土) 19:44:09
>>107
× Listen する IP を限定できない named です。
○ Listen する IP を限定する方法を知らない named です。

113 :名無しさん@お腹いっぱい。:2009/06/06(土) 20:05:43
>>98

「既に Port53 を使っているから」 はわかる。
というかそれが前提だろ?

だから、なぜ同一LANに対して1つの計算機で2つのDNSサーバーを立ち上げる必要があるのか?
という疑問が湧くのだ。

特に、
>/etc/services で53を5353に書き換えると
意味がサッパリわからんのだが・・・

目指す環境ややりたい事がわかれば、解決策はいろいろ有ると思うんだよ。

唐突にクライアントからサーバーのポートを指定できるのか?
と思いついたのなら、それはまた別問題ではあるけどね。

114 :名無しさん@お腹いっぱい。:2009/06/06(土) 20:40:43
>>108でファビョった時点でもうだめ。
はい次。

115 :名無しさん@お腹いっぱい。:2009/06/07(日) 00:40:01
とはいえ>>100>>106に虫酸が走ったのは俺だけではないハズ

116 :名無しさん@お腹いっぱい。:2009/06/07(日) 05:20:36
>>115
非合理な仕様にアレルギーが無い方なのですねw

117 :名無しさん@お腹いっぱい。:2009/06/07(日) 08:59:01
>>107
×IP alias は知っていますが、ただ単にポリシー的に IP alias が不可能な環境です
○IP alias は今聞いて思い出しましたが、自分のスキル的に IP alias が不可能な状況です

118 :名無しさん@お腹いっぱい。:2009/06/07(日) 14:25:47
53で動いてるやつにさわれるならBIND9でviewなんちゃらとか使うのが一番楽じゃない?

119 :名無しさん@お腹いっぱい。:2009/06/07(日) 19:51:38
最初の頭悪そうな質問で予想してたがやっぱり無能なバカだったか

120 :sage:2009/06/10(水) 10:06:53
>>119
どうやったら自分の尊厳を保ったまま話を収束できるか、そういうことに
心血を注いでいた時期がオレにもありました

121 :名無しさん@お腹いっぱい。:2009/06/10(水) 10:54:26
名前解決はシンプルに行け。hosts配ればいいんだよタコ  

って向こうは言って無いけど、
そういうことを平気でするIT土方共にひどい目に合わされてます。
どうしたらよいですか。

122 :名無しさん@お腹いっぱい。:2009/06/11(木) 20:04:02
よくわかってない技術は後で困るといけないからと多数のクライアントに
固定IPアドレスの手動設定をさせてまわる低能IT土方もいるよ
もちろんサーバへのアクセスはIPアドレス指定で

>>120
質問者乙と言えばいいのかな
内容を理解せず端的な作業手順をなぞる程度の能力でしかないのに
自分は出来ると誤解してる底辺土方って居ない方がましだと思う

123 :名無しさん@お腹いっぱい。:2009/06/12(金) 01:18:06
土方より現場監督クラスに昇格しても奴隷をこき使うだけだからなぁ。イヤダイヤダ

一人で50台管理しながら手間なコードも書いてる。 まあ、英国式の教育を受けた
家政婦ならあたりまえw

124 :名無しさん@お腹いっぱい。:2009/06/12(金) 11:57:21
>>122
>内容を理解せず端的な作業手順をなぞる程度の能力でしかないのに
>自分は出来ると誤解してる底辺土方って居ない方がましだと思う

これはひどい自己紹介w

125 :名無しさん@お腹いっぱい。:2009/06/12(金) 13:50:53
他所でやれや

126 :名無しさん@お腹いっぱい。:2009/06/22(月) 23:27:40
最近サブアロケーションの逆引きゾーンに対し
サブアロケーションされたかたちではなく直接4オクテットを逆順にしたクエリーが来るのが散見されるのですが
(自分で権威を持っていないゾーンへのクエリーと扱われて deny するログが残る。こちらは bind9.5か9.6)
どう言ったフルリゾルバがこのようなクエリーを出すのか情報をお持ちの方はいませんか


127 :名無しさん@お腹いっぱい。:2009/06/23(火) 23:43:03
NSが糞だとか

128 :名無しさん@お腹いっぱい。:2009/06/26(金) 23:49:21
サブアロケーションしている親のネームサーバーが設定ミスってるとか

129 :名無しさん@お腹いっぱい。:2009/06/30(火) 01:26:38
アフォにアフォと言っても判って貰えないのはDNS管理をやってればすぐ気がつくことだ。

130 :質問:2009/07/07(火) 18:59:16
セカンダリDNS(Bind 9.2,solaris9)を運用しています。
named.confでは特にmax-refresh-time,min-refresh-time,max-retry-time,min-retry-time
などの設定はしていません。
あるドメインのSOAをrefresh 15m retry 10m expired 3hとして、
ゾーン転送がきちんと出来ていることを確認(セカンダリDNSにゾーンファイルが出来ている)した後で、
わざとプライマリDNSからのゾーン転送ができないようにしました。

namedをkill -hupで再起動したあとでログをずっと見ていると、
最初に zone xxx expiredがでたと、
その後、ずっとtransfer of xxx : time outのエラーが5分前後で8回、
その後5時間前後で同じエラーが現在まで18回繰り返されていました。

私の考えならば、kill -hupでexpiredであることを知り、
その後はretry 10mにしたがって10分ごとにゾーン転送を試みて
(=time outのエラーがでる)、10分×18回retry後、
expireとなってそれ以降ゾーン転送は実施しない(=エラーも出ない)と思うのですが、
エラーログから考えるとそのような動きではないようです。

retryについて指定した時間よりも短い間隔で行ったり、3時間を越えてもなおretryを
試すのはどうしてでしょうか?

bindのdocumentationやbind&dnsには載っていなくて困っています。





131 :名無しさん@お腹いっぱい。:2009/07/07(火) 23:42:14
http://www.atmarkit.co.jp/fnetwork/dnstips/014.html

expiredになってもゾーン転送を試みる。
expiredになったら、コンテンツとしてゾーンを返さなくなる。

132 :名無しさん@お腹いっぱい。:2009/07/08(水) 00:20:32
expireになったら持っているゾーン情報を無効にして、さらにゾーン転送
も試さなくなると本(BIND&DNSだったかも)に書いていましたが、どうなんでしょうか?

133 :名無しさん@お腹いっぱい。:2009/07/08(水) 11:59:50
>>132
では、ゾーン転送を試させるにはどのような処理を行えばよいのでしょうか?

134 :名無しさん@お腹いっぱい。:2009/07/08(水) 17:59:05
質問です。
LAN内のクライアントのためのキャッシュサーバーを立てる時、
クライアントからの AAAAレコードの問い合わせは一切 forwardしないで、
すぐにヌルデーターを返答するにはどうすればいいですか?
(その後、クライアントがすぐにAレコードを引きなおしてくれることを想定しています)

135 :名無しさん@お腹いっぱい。:2009/07/08(水) 18:56:43
>>133
本では、
expire後、セカンダリDNSからゾーン転送をさせるためにはnamedの再起動が必要と書いていました。


136 :名無しさん@お腹いっぱい。:2009/07/08(水) 19:01:07
>>134
named を 「-4」 オプション付で起動したら駄目なの?


137 :名無しさん@お腹いっぱい。:2009/07/08(水) 19:18:46
>>136
はい、駄目です。

-4 は、問い合わせのための通信をIPv4のみで行なうというだけで、
AAAAレコードの問い合わせとはまた別の話です。
よって、-4を付けても何の解決にもなりません。

引続き、わかる方、お願いします。


138 :名無しさん@お腹いっぱい。:2009/07/08(水) 19:33:58
>>134

             「 ̄ `ヽ、   ______
             L -‐ '´  ̄ `ヽ- 、   〉
          /           ヽ\ /
        //  /  /      ヽヽ ヽ〈
        ヽ、レ! {  ム-t ハ li 、 i i  }ト、
         ハN | lヽ八l ヽjハVヽ、i j/ l !
         /ハ. l ヽk== , r= 、ノルl lL」
        ヽN、ハ l   ┌‐┐   ゙l ノl l
           ヽトjヽ、 ヽ_ノ   ノ//レ′
    r777777777tノ` ー r ´フ/′
   j´ニゝ        l|ヽ  _/`\
   〈 ‐ 知ってるが lト、 /   〃ゝ、
   〈、ネ..         .lF V=="/ イl.
   ト |お前の態度が とニヽ二/  l
   ヽ.|l         〈ー-   ! `ヽ.   l
      |l気に入らない lトニ、_ノ     ヾ、!
      |l__________l|   \    ソ


139 :名無しさん@お腹いっぱい。:2009/07/08(水) 19:50:02
>>138 は知らないな。

140 :名無しさん@お腹いっぱい。:2009/07/08(水) 23:31:58
OSのipv6をとめろ

141 :名無しさん@お腹いっぱい。:2009/07/08(水) 23:36:49
>>140
だから、ipv6は関係ないって。OSのipv6を止めてもAAAAは問い合わせされる。

142 :名無しさん@お腹いっぱい。:2009/07/09(木) 00:07:11
>>141
そりゃそうだ

143 :名無しさん@お腹いっぱい。:2009/07/09(木) 00:25:54
質問者はtransportのIPv6と、クエリ対象レコードのIPv6を区別できてるのに
回答者は区別できてない奴が多いな。

で、もとの話題の戻ると、
・・・わからん、すまん。

144 :名無しさん@お腹いっぱい。:2009/07/09(木) 09:40:17
v6のこと、よくわかってないから的外れなこと言ってたら優しく指摘してよ。
v4でインターネットに繋がっていないLAN内だけのDNSを立てるとき
ルートサーバーとして設定してたじゃない。
それと同じようにv6のルートサーバーにすればいいんじゃないのではございませんか。


145 :144:2009/07/09(木) 10:11:37
ああ、これじゃだめですね。


146 :名無しさん@お腹いっぱい。:2009/07/09(木) 20:13:56
>>134
既存のプログラムを改造してそういうフルリゾルバを作ってやるしかないのでは。
大技としてAAAA他最近の拡張されたクエリーを理解できないくらい古いBINDを
フルリゾルバとして使うというのも考えられるけれど副作用が大きすぎる。

そもそもなんでそんなことしたいの?


147 :名無しさん@お腹いっぱい。:2009/07/29(水) 20:00:08
Bindにセキュリティホールだって
http://jprs.jp/tech/security/bind9-vuln-dynamic-update.html

148 :名無しさん@お腹いっぱい。:2009/07/29(水) 21:26:46
>>147
あらゆるプライマリサーバが脆弱性の対象か・・・
思ったより深刻なセキュリティホールだな。

149 :名無しさん@お腹いっぱい。:2009/07/29(水) 22:13:30
iptablesのworkaroundが書いてあったけど
何やってるのかワケワカメ~

150 :名無しさん@お腹いっぱい。:2009/07/30(木) 04:45:34
>>148
プライマリサーバって?

151 :名無しさん@お腹いっぱい。:2009/07/30(木) 08:40:10
>>150
masterゾーンを管理しているサーバ

152 :名無しさん@お腹いっぱい。:2009/07/30(木) 12:48:14
今はもうプライマリと言っても通じない世代が居るのか
BIND4時代の古い用語だからしょうがないな

153 :名無しさん@お腹いっぱい。:2009/07/30(木) 12:53:54
それを知ってて突っ込んでるだけだろw 釣られ過ぎ

154 :名無しさん@お腹いっぱい。:2009/07/30(木) 14:17:07
>>153
JPRSの文章がそうなっているじゃん。w

155 :名無しさん@お腹いっぱい。:2009/07/30(木) 19:56:31
type master;以外は雑魚ということですね-)

156 :名無しさん@お腹いっぱい。:2009/07/30(木) 20:01:32
>>155
大抵localhostに対してはmasterよ

157 :名無しさん@お腹いっぱい。:2009/07/30(木) 20:01:42
localhostや127.in-addr.arpaくらいはmasterになってるだろ

158 :ななし:2009/07/31(金) 00:13:35
BIND9.3以前はEOLでパッチが提供されないみたいだけど、9.4以降の修正内容を
参照すると9.3でも簡単にパッチ作れるな。^^;

159 :名無しさん@お腹いっぱい。:2009/07/31(金) 14:53:20
JPRS の DNS 攻撃で落ちたのか。
こりゃ、急いだ方が良いな。

月曜日にやろうと思ったけど、今からあげよ。

160 :えっ:2009/07/31(金) 16:45:16
ほんとに?

161 :名無しさん@お腹いっぱい。:2009/07/31(金) 16:48:19
>>160
マジだよ。JP DNS が落ちた訳じゃないらしいけど。
みんみんが、言っているんだから間違いない!

162 :NoName:2009/07/31(金) 16:55:19
みんみんて誰だよ

163 :名無しさん@お腹いっぱい。:2009/07/31(金) 17:01:04
>>162
JPRSの中の人
民田雅人

164 :NoName:2009/07/31(金) 17:03:52
ほんとだメールアドレスがみんみんだ
俺もうpしよう
これはやばそうだ

165 :名無しさん@お腹いっぱい。:2009/07/31(金) 17:11:16
(゚Д゚)ノ⌒SMF
Solaris10純正は落ちたら再起動してくれるよ


166 :名無しさん@お腹いっぱい。:2009/07/31(金) 18:36:47
>>165
それで良いのか?
アップデートないの?

167 :名無しさん@お腹いっぱい。:2009/07/31(金) 19:31:25
http://sunsolve.sun.com/search/document.do?assetkey=1-66-264828-1


168 :名無しさん@お腹いっぱい。:2009/07/31(金) 20:33:00
ズコ(AA略

169 :名無しさん@お腹いっぱい。:2009/07/31(金) 23:20:58
OSX ServerのアップデートがAppleから落ちてこないのは気のせい?

170 :名無しさん@お腹いっぱい。:2009/07/31(金) 23:53:17
龍谷大の人がexploitのコード載せちゃったからね

171 :名無しさん@お腹いっぱい。:2009/08/01(土) 00:14:32
>>170
あらら・・・
手回しの良いことで。

せめて週明けまで待てばいいのに。

172 :名無しさん@お腹いっぱい。:2009/08/01(土) 00:23:02
>>165
落ちるんじゃなくてnamed生きたまま応答しなくなるという嫌らしさ

ほんとに他愛のないUDPパケット一個で即死する
発信元IPが偽造されたら追跡もできないな
プロバイダ各社のエグレスフィルタ採用状況はどうなんだっけ?

173 :ななし:2009/08/01(土) 01:42:22
>>172
環境依存なのかRHEL5を使っているウチではnamedが死ぬけどね。

174 :名無しさん@お腹いっぱい。:2009/08/01(土) 15:19:24
>>173
ウチの環境では起こっていない。@RHEL 5 64bit

175 :173:2009/08/02(日) 03:45:55
>>174
assertionで落とされているという認識なので、CPUアーキテクチャの
違い(32bit/64bit)に影響を受ける部分とは思えないんだけど、興味深い
話ですね。

検証できる環境もないし、する必要もないのでそれだけですが。

176 :名無しさん@お腹いっぱい。:2009/08/03(月) 21:34:42
tmが出張してtinydnsの宣伝してるけど、メンテが期待できないものを薦めるなんて正気の沙汰とは思えない。
IPv6対応にするだけでも他人が書いたパッチが必要とか・・・DNSSEC対応できるの?

177 :名無しさん@お腹いっぱい。:2009/08/03(月) 21:53:43
>>176
tinydns ねぇ。あったねそんなの。
ところで、どこの話題?俺の入っていないMLなんだろうけど

178 :名無しさん@お腹いっぱい。:2009/08/03(月) 22:20:03
>>177
tss氏の日記(2009-07-29)へのコメント。
「コンテンツサーバとキャッシュサーバの分離」とか、安全なDNSサーバのPoCとしては十分な役割を果たしたと
思うけど、もう引退させた方が良いでしょ。

179 :名無しさん@お腹いっぱい。:2009/08/03(月) 22:36:49
>>178
Res ありがとう。どこか判った。
つーか、なんちゅう極端な人たちだ。

180 :名無しさん@お腹いっぱい。:2009/08/04(火) 10:29:08
今ならunbindおすすめ?

181 :名無しさん@お腹いっぱい。:2009/08/04(火) 10:42:51
>>180
unboundな。

コンテンツサーバなら、NSD使えばいいんでね。


182 :名無しさん@お腹いっぱい。:2009/08/04(火) 18:12:54
手元の検証用マシンに載ってたDNS鯖(9.3.6-P1)に
PoC(perl版, C版)投げても平気な顔してるうちのDNS鯖。

PoCの設定の仕方がおかしいのか(´・ω・`)



183 :名無しさん@お腹いっぱい。:2009/08/04(火) 19:16:05
>>182
ログはどうなの?↓が出ている?
/ANY: 'RRset exists (value dependent)' prerequisite not satisfied (NXRRSET)


184 :名無しさん@お腹いっぱい。:2009/08/04(火) 19:21:27
>>183
レスd
C版でやるとソレが出たわ

perl版は正しいrndcのkey nameとkey入れんとダメなんかいな

185 :184:2009/08/04(火) 19:50:09
perl版にkey nameとkeyを実際に設定している値にすると >>183 のログが出たわ。

186 :184:2009/08/04(火) 20:19:40
http://www.ntt.com/icto/security/images/sr200803101.pdf の通りにやってみたが
PoCは途中で止まらずprint後にプロンプトに戻るし、
ログには >>183 が出るだけだわ('A`;)

今日はもう遅いのでまた明日チャレンジしてみる ノシ

187 :名無しさん@お腹いっぱい。:2009/08/04(火) 21:21:07
>>184
私が見たPoCのコードだと、構造体のパディングが考慮されてなくて
うまく動かないかもしれないように見えたんだけど。Cで書かれたやつね。

188 :名無しさん@お腹いっぱい。:2009/08/08(土) 01:49:21
DNS担当って損だよな。

影響大きいのに、金は安い。
SEでさえ、きちんと仕組みを理解している人が少ない。
だから、いつも説明に困る。。
コンテンツとキャッシュを区別できるひとはどれだけいるのだろう。。


189 :ななし:2009/08/08(土) 13:55:55
>>188
>コンテンツとキャッシュを区別できるひとはどれだけいるのだろう。。

さすがにそれはお前の環境だけの問題では?という気がするが・・・。

190 :名無しさん@お腹いっぱい。:2009/08/09(日) 00:15:20
>>189
んなことはない。
客先に説明するときは、まず、コンテンツとキャッシュを説明する。

191 :189:2009/08/09(日) 10:32:21
>>190

客にはそうだと思うけど、>>188は客相手の話なのか?

192 :名無しさん@お腹いっぱい。:2009/08/10(月) 17:00:01
NICの故障も、ケーブル抜けも、ハブの故障も、DNSのダウンも、
ファイルサーバーのダウンも、プロキシサーバーのダウンも、
ウェブサーバーのアクセス禁止処置も、なんでもかんでも、
「ネットが落ちてるんですけど、どのくらいで直りますか」
と言う奴に比べると120%ましだと思うんですけど何か。


193 :名無しさん@お腹いっぱい。:2009/08/10(月) 17:09:47
見当外れの予想で口を挟みまくるヤツもイヤだなあ

194 :188:2009/08/11(火) 00:36:02
客といってもSEだよ。しかも、大手だったりする。

こんなやつらがalteonなんてつかっていると思うと怖いわー

195 :184:2009/08/14(金) 11:08:26
手元の本番サーバ(8.3.5-P2)にPoCしかけたらnamedあっさり止まりやがった(´・ω・`)
そっこー対処しますた。

検証環境の9.3.6-P1には例のPoCは効かんのかいな。



>>194
5年近くインフラ周り全般の管理をやってる俺だけど、
キャッシュ鯖とコンテンツ鯖の違いを知ったのは3年くらい前だ。

システム管理の先輩社員がおらず、俺よりも知識・技術が上の人(教えてくれる人)が
居ない状況だとはいえすげえ恥ずかしいわ('A`;)


196 :名無しさん@お腹いっぱい。:2009/08/16(日) 21:47:09
>>195
viewつかってるとか?

197 :名無しさん@お腹いっぱい。:2009/08/18(火) 23:55:34
http://tomocha.net/diary/?20090817#200908171

ime.nuだめぽ。

198 :名無しさん@お腹いっぱい。:2009/09/02(水) 04:41:11
xname更新遅せー

199 :名無しさん@お腹いっぱい。:2009/09/03(木) 00:35:53
すごいこと発見。

某大手新聞社のネームサーバはオープンリゾルバです。
しかも、サブドメインの権限委譲を別のネームサーバにしてます。
で、その権限委譲した先のネームサーバは自分のAレコードを間違って応答します。

これを組み合わせると、どうなるでしょう??

200 :名無しさん@お腹いっぱい。:2009/09/03(木) 08:39:48
ひさしぶりの大先生チェックですね。

201 :名無しさん@お腹いっぱい。:2009/09/03(木) 09:29:33
>>199
どこだろうと思って朝日読売毎日だけざっと調べてみたけど
セカンダリDNSがオープンリゾルバだったりするのもあるな。



・・・・・・うちの会社も似たようなもんだから他所様を笑えないんだがな

202 :名無しさん@お腹いっぱい。:2009/09/03(木) 23:19:13
co.jpだね。
ためしてみたら、オープンリゾルバのほうは見事にアクセスできなくなった。。
怖!

もう片われがオープンリゾルバじゃないから助かっているが。


オープンリゾルバは世の中に結構あるよね。
いまさらオープンリゾルバをやめるのはそりゃ、厳しいわな。

うちもセキュリティ向上のため、オープンリゾルバやめたらいろいろトラブルあったよ。
でも、思い切るしかないんだな、、これ。

203 :名無しさん@お腹いっぱい。:2009/09/04(金) 00:10:10
勝手に使ってるくせして文句言ってくる奴でも居るの?

204 :名無しさん@お腹いっぱい。:2009/09/04(金) 23:19:29
コンテンツ使っているやつが、キャッシュ(リゾルバ)としてつかってたとかね。

DNSサーバだからこれ使えとわからないやつがいってたりね。


205 :名無しさん@お腹いっぱい。:2009/09/05(土) 00:54:03
>>204
ACL書いて組織内からのqueryは通せばいいだけだな

できれば組織内向けリゾルバサーバとしての機能だけを残して(daemonもそれ専用のものに変えて)
コンテンツサーバとしては分離してリナンバーしてNICへの登録を変更してしまうというのがよい
これならほうぼうのresolv.confを書き直して歩く必要はない

206 :名無しさん@お腹いっぱい。:2009/09/05(土) 16:21:26
>>205
コンテンツを違うサーバに移して、キャッシュのみにしたあと、ログを確認。
ログから抽出したある程度のアドレスに対しては、変更してもらうように依頼。
最後はばっさり。

207 :名無しさん@お腹いっぱい。:2009/09/14(月) 18:03:23
ローカルだけで使用する目的で仮で『aiueo』というだけのドメインで
namedを作ったのですが、dig aiueo; でちゃんと返ってくるところ
までできました。

そこでWindowsのコマンドプロンプトから『ping aiueo』をしてみたの
ですが以下のメッセージが出てpingできません。

Ping request could not find host aiueo. Please check the name and try again.

コマンドプロンプトで『nslookup aiueo』ではちゃんとIPが引けているの
ですが ping では上のようなメッセージが出てしまいます。

hostsに直接書けばこれは『ping aiueo』通ったのですが、DNSだと『aiueo』
のようなドメインはダメなのでしょうか?


208 :名無しさん@お腹いっぱい。:2009/09/14(月) 18:05:24
>>207
そのWindows機はそのnamedに聞きにいくようになってるのか?

209 :名無しさん@お腹いっぱい。:2009/09/14(月) 18:12:37
ドット「.」がひとつ以上含まれていないと DNSは参照しないというしようだったような。

210 :名無しさん@お腹いっぱい。:2009/09/14(月) 18:25:31
>>208,209
ありがとうございます。そうなんですね。
ping aiueo.
で飛びました!!
でも『aiueo.』はなんとなく気持ち悪いのでちゃんと.comやら付けようと思います。


211 :名無しさん@お腹いっぱい。:2009/09/14(月) 18:37:12
>>210
実在するドメインは使わない方がいいぞ

212 :名無しさん@お腹いっぱい。:2009/09/14(月) 22:07:08
ローカルだって一目で確実に分るように、
http://--.--/
としようとしたんですが、IE6が毎回落ちてしまいますね(>_<)

213 :名無しさん@お腹いっぱい。:2009/09/14(月) 23:03:14
板違い。

214 :名無しさん@お腹いっぱい。:2009/09/15(火) 15:22:02
なんで .local にしないんだ

215 :名無しさん@お腹いっぱい。:2009/09/15(火) 15:52:15
RFC2606か何かで出してくれてもいいのにね
もっと短く".lan"でもいいと思うけど。

http://example.com/
って実際に接続できるサイトだったとは知らなかった。

216 :名無しさん@お腹いっぱい。:2009/09/15(火) 23:49:17
dyndnsか何かで取ったドメインを使うのが俺のおすすめ

217 :名無しさん@お腹いっぱい。:2009/09/16(水) 20:55:38
example.comワロタ。
NXDOMAINが返ってくることを期待してたらどうするんだw

Site Finder対策?

218 :名無しさん@お腹いっぱい。:2009/09/16(水) 22:34:22
どこのメーカーも例示といったらacme.comだった頃が懐かしい

219 :名無しさん@お腹いっぱい。:2009/09/17(木) 11:57:13
ttp://acme.com
これもあるな

220 :名無しさん@お腹いっぱい。:2009/09/17(木) 23:46:16
アクメ に一致する日本語のページ 約 558,000 件中 1 - 10 件目 (0.15 秒)


えっちなのはいけないとおもいます(><)

221 :名無しさん@お腹いっぱい。:2009/09/18(金) 02:43:57
幼稚

222 :名無しさん@お腹いっぱい。:2009/09/22(火) 10:09:17
bind9を使ってopendnsみたいなサービスしたいんですが、、
何か参考になるURLあれば教えてください。

223 :名無しさん@お腹いっぱい。:2009/09/22(火) 13:02:56
>>222
迷惑だから止めろ

224 :名無しさん@お腹いっぱい。:2009/09/22(火) 14:36:50
その程度の知識しかないくせにいらんこと考えるな手を出すな

225 :名無しさん@お腹いっぱい。:2009/09/29(火) 07:36:12
最近、jp.msn.com の名前解決に失敗するんだけど
気のせい?

http://thednsreport.com/?domain=jp.msn.com
http://thednsreport.com/?domain=jp.kaw.cb3.glbdns.microsoft.com
とかでチェックしたら、かなりデタラメなんだけど、
名前解決できない程の問題ではないよね。

226 :名無しさん@お腹いっぱい。:2009/09/29(火) 09:26:56
dns はどこの

227 :225:2009/09/29(火) 23:33:37
>>226
bind9.3.5-P2 に以下のパッチ適用してます。
http://security.FreeBSD.org/patches/SA-09:12/bind.patch

228 :名無しさん@お腹いっぱい。:2009/09/30(水) 01:23:45
root server has changed

229 :225:2009/10/01(木) 01:40:09
はっきりした原因は不明だけど、
自分のマシンから以下のサーバへの問い合わせ、
またはその応答がどこかで失われてるらしい。
glb1.glbdns.microsoft.com
glb2.glbdns.microsoft.com

以下の事例がかなり類似してたので、
http://www.linuxquestions.org/questions/linux-networking-3/bind-problem-for-one-domain-name-726997/

フォワーダを指定して回避することにした。
zone "microsoft.com" {
type forward;
forward only;
forwarders { xxx.xxx.xxx.xxx; }; #プロバイダ提供のname server
};

230 :名無しさん@お腹いっぱい。:2009/10/04(日) 06:16:01
>>202
が犯罪行為の告白にしか見えないのは俺だけ?
何を試したんだw

231 :名無しさん@お腹いっぱい。:2009/10/04(日) 07:51:17
>>230
きっと関わらない方が無難だと、俺も思う。

232 :名無しさん@お腹いっぱい。:2009/10/04(日) 18:01:45
>>230
なんで犯罪なの?

233 :名無しさん@お腹いっぱい。:2009/10/04(日) 22:25:50
>>232
他人のDNSに毒入れして正規の応答を返せない状態にしたら、
偽計業務妨害かな。

234 :名無しさん@お腹いっぱい。:2009/10/04(日) 23:13:05
知ったかをしている勘違い野郎がいるな

235 :名無しさん@お腹いっぱい。:2009/10/05(月) 11:48:03
>>234
誰のこと?

236 :名無しさん@お腹いっぱい。:2009/10/05(月) 12:52:12
俺だよ、オレオレ!

237 :名無しさん@お腹いっぱい。:2009/10/06(火) 00:00:15
>>230
ネームサーバとして公開されているゾーンのAレコードを引いて何処が悪いんだ?
そんな設定でDNSサーバを公開しちゃいかんでしょ。


238 :名無しさん@お腹いっぱい。:2009/10/19(月) 22:28:18
e.root-servsers.netが応答しねぇー

239 :名無しさん@お腹いっぱい。:2009/10/19(月) 23:25:09
それipaddress変わったし

240 :238:2009/10/20(火) 00:01:18
ttp://www.root-servers.org/
ここ参照じゃマズイ?

241 :名無しさん@お腹いっぱい。:2009/10/20(火) 00:32:01
>>240
IANAをみるべき。http://www.internic.net/zones/named.root

242 :238:2009/10/20(火) 07:44:17
>>241
thx

192.203.230.10かぁ〜
やっぱり応答しないな・・・大学からなら繋がる様だが・・・

243 :名無しさん@お腹いっぱい。:2009/11/25(水) 00:22:58
http://www.hash-c.co.jp/info/20091124.html

これって、DNS Rebindingなんて大げさなもの使わなくても、
iモードIDを知っていればHTTPヘッダを小細工すれば
同じようなことできるんじゃないの?

iモードIDはWebサイト持ってれば取得できるわけだし。

俺の認識違い?

244 :名無しさん@お腹いっぱい。:2009/11/25(水) 01:36:42
>>243
携帯のUAに偽装してってことなら、普通はそれが出来ないように
アクセス元のIPアドレスもチェックする。けど。
かんたんログイン自体が脆弱って結論出てなかったっけ。

245 :名無しさん@お腹いっぱい。:2009/11/25(水) 22:29:10
>>244
ってことはこの発見は何をいまさらって感じ?

唯一IPチェックをかいくぐれる可能性があるということか。

246 :名無しさん@お腹いっぱい。:2009/11/27(金) 01:16:21
          __,,/  _, ----`ヽ  :.
     :.  / _     ___   、\
       / /   i      \   \\ :.
     :. ,'./       i  ヽ:.   ヽ:.:.. ヽ.ヽ
      ,'/    / .ハ ヽ ヽ:.:.:.:. ヽ::.. ヽヽ :.
     :. |i .i i  .i /  ヽ ト 、 \、:.:.:. ',:.',:.:.lヽ}
       |i .i l  :N_, -弋 \弌弋ナ:}:.:}
    :. |i∧ ', :{ ,ィjモト \  イjミトイイV :.  な…
       .|  :メヽ.', `ozZ}      izN。ハ::{     なんなんだよもん?
      :. |  :ヾ_! ゝ "゙゙    '  `゙ ハ.:', :.   ここ、どこだよもん?
      |  :.:_イ .:.ヽ.   (二フ , イ :.:.:!:.ヽ     なんであたし
   :.  / rィイ | :.:.ヽ: >r/`<ノ .:.::.}ヽ、\:.   貼られたんだよもん?
      / ∧l;l ! :.:.:.://{二 ̄ .} ..:..::リ//ハ.:\
 :.  / .{. ',ヾ、ヽi .:.:.{ /(^`  |.:.:.:.//: : :.}: . ヽ.:.
   / /  ) ヽ ヾ、ヽ:.ハ ヤ{   ∧/.-‐'": : |:.:. i ',
  ./ .,イ .:..} : :\ヾレ'ハ ∧__ノノハヾ、  : : : l:.:.: .ハ ',
  { /| .:.:ハ : : :i Y {ヾ`Yヽニン'ノ}: : } : : : :/:.:.:/ }:.}
  V | .:.:/:.:|_,ィ' ̄  ヽ三{ `ー-ノ : イ : : :/:.:i.:{  リ
    ヽ:.:{、.:.V     : : ヘ     : : {: : :/:.::∧|
     ヽ! )人    : : :人      : : : / \! :.
      "  ヽ : : : : :/イ{     :.ノ: : : :.\ :.
       :.  \__///: :\______/: : : : : : : ヽ
           / //: : :|;|: : : : : : i: : : __: : : : ',
       :.     / 、 {;{   |;|   . : i/. : : : : : :|
          / `Y;{. . . .|;|. : : : /i: : : : : : : : :l

247 :名無しさん@お腹いっぱい。:2009/11/30(月) 13:30:10
bind 9.3 の host と nslookup でコマンドラインでネームサーバを指定したとき、そのネームサーバが
落ちてたときに resolv.conf に書いてあるネームサーバを使った結果が返ってきます。
9.2 と 9.4 では意図したとおり connect time out になるんですが、この 9.3 の動きってバグですか?

248 :逆引きの質問:2009/12/01(火) 21:59:08
質問をさせてください。
現在、solaris10, bind9を使っています。
slaveサーバ側でmasterサーバからゾーン転送ができるように設定をし、
named.confの再読み込みを実施しました。
しかし、この段階ではまだmasterサーバ側ではslaveへのゾーン転送設定はしていません。
そのため、slaveサーバ側にはゾーンファイルが作成されておらず、
当然refresh間隔などの情報も持っていません。
この状態がずーと続いた場合、slaveサーバは、定期的にmasterサーバに対して
ゾーン転送の要求を行いますか?

ログ(/var/adm/messages)を見ると、どうも何もしないような気がするのですが・・
また、途中、named.confの再読み込みを何度かしたことはありますが、それでもエラーログをはいた跡はありませんでした

249 :sage:2009/12/02(水) 22:10:09
行わない

250 :sage:2009/12/02(水) 22:11:47
BINDにバグはない。すべては仕様。

251 :名無しさん@お腹いっぱい。:2009/12/02(水) 22:18:51
ソース読めば。

252 :sage:2009/12/02(水) 23:42:07
nslookupなんか使わなきゃいいのに

253 :名無しさん@お腹いっぱい。:2009/12/03(木) 19:49:02
"Nslookup is obsolete."って記述が最近消えたって聞いたんだけど

254 :名無しさん@お腹いっぱい。:2009/12/03(木) 19:58:49
表示したってどうせ馬鹿は理解できないからだろ

255 :名無しさん@お腹いっぱい。:2009/12/03(木) 20:22:51
なんで nslookup いかんの?

256 :名無しさん@お腹いっぱい。:2009/12/03(木) 20:39:29
おせっかい

257 :名無しさん@お腹いっぱい。:2009/12/03(木) 22:02:04
すなおに聞きに行かずにまず余計なことを聞いてから処理を始めるから。

258 :名無しさん@お腹いっぱい。:2009/12/04(金) 10:21:40
>>257
最近はそれやめたんじゃなかったっけ。

259 :名無しさん@お腹いっぱい。:2009/12/04(金) 12:00:16
>>248
SOA 書き換えない限り slave は何もしないぞ

260 :名無しさん@お腹いっぱい。:2009/12/09(水) 04:34:52
自宅のネットワークトラフィックを減らしたいので、キャッシュ用のBINDを立ち上げています。
BINDで最大限キャッシュする設定を教えてください。


261 :名無しさん@お腹いっぱい。:2009/12/09(水) 10:41:00
DNSでどんだけトラフィック食ってるんだ?

262 :名無しさん@お腹いっぱい。:2009/12/09(水) 14:31:02
>>260
ググれカス
http://www.atmarkit.co.jp/flinux/rensai/bind911/bind911a.html

263 :名無しさん@お腹いっぱい。:2009/12/09(水) 17:39:10
>>262
これって、キャッシュ時間やメモリの最大値を設定してるだけで、
元の(外部の)DNSサーバーが返したキャッシュ時間を超えて
強制的にローカルでキャッシュすることはできないのでは?

質問は、何がなんでも一度問い合わせたDNS情報は
強制的に無期限でキャッシュしたいということだと思うが。

264 :名無しさん@お腹いっぱい。:2009/12/09(水) 18:30:11
>>263
そもそも論だと、トラフィック削減のためにDNSの情報をcacheするトラフィックを削減したい
って考えからしておかしいから。


265 :名無しさん@お腹いっぱい。:2009/12/09(水) 18:34:03
考えがおかしいかどうかは聞いていません。
トラフィックが削減できればいいんです。

266 :名無しさん@お腹いっぱい。:2009/12/09(水) 18:56:25
たいして削減できないよ。

267 :名無しさん@お腹いっぱい。:2009/12/09(水) 19:05:45
たいして削減できなくてもいいからやりかた教えろよ

268 :名無しさん@お腹いっぱい。:2009/12/09(水) 19:43:37
>>267
resolv.confに
nameserver 8.8.8.8
と書く

269 :名無しさん@お腹いっぱい。:2009/12/09(水) 19:47:38
普通にキャッシュサーバ立てれば
メモリ使いきることはないと思うけどなぁ。
>>263みたいなことやりたいの?

270 :名無しさん@お腹いっぱい。:2009/12/09(水) 20:42:51
>>260
negative hit し続けることほど悲惨なものはないから普通はそういうことはしない

クライアントサイドの DNS lookup のトラフィックなんざ
Yahoo!Japan のトップページを一回開いたら吹き飛ぶような量でしかない

271 :名無しさん@お腹いっぱい。:2009/12/09(水) 20:55:20
DNSとしてのトラフィックを減らしたいのです。
httpとの比較を言われても意味ありません。

今現在、どのDNSの名前解決をしているかを
(最初の1回を除いて)外部に漏らしたくないのです。

272 :名無しさん@お腹いっぱい。:2009/12/09(水) 20:59:02
TTL切れたら再度聞きに行くのはアリ?

273 :名無しさん@お腹いっぱい。:2009/12/09(水) 21:00:15
むしろTTLを無視して無限大にしたいと言う質問かと

274 :名無しさん@お腹いっぱい。:2009/12/09(水) 21:03:01
>>273
そこをはっきり言わないんだよね。なぜか。

275 :名無しさん@お腹いっぱい。:2009/12/10(木) 00:57:08
サーバが引っ越したらどうするつもりなんだろうね

276 :名無しさん@お腹いっぱい。:2009/12/10(木) 07:13:24
>>275
デスクトップ用途なら毎日起動しなおすから、
DNSサーバーの移動のような長いスパンは考えなくていい。
たまたま起動中にどこかのDNSサーバーが移動した場合は
手動でキャッシュサーバーを再起動すればいいだけ。

277 :名無しさん@お腹いっぱい。:2009/12/10(木) 07:18:24
どれが質問者かわからんな。
トリップつけてくれ。

278 :名無しさん@お腹いっぱい。:2009/12/10(木) 09:51:28
>>276
アホか
変更される可能性が高いのはDNSサーバ以外の話だろ
動的IPアドレスに対応するレコードなら1日に何回も変わる場合がある

279 :名無しさん@お腹いっぱい。:2009/12/10(木) 09:58:42
>>278
動的IPのサイトなんてアクセスしません。
あと、ラウンドロビンのサイトがあっても1つに固定して無問題。

280 :名無しさん@お腹いっぱい。:2009/12/10(木) 10:14:01
BINDなんかやめてdjbdns使うのがおすすめ

281 :名無しさん@お腹いっぱい。:2009/12/10(木) 10:19:35
>>280
でもTTL無視はできないよね。
何使うにしろ改造しないと無理じゃないかなぁ。

282 :名無しさん@お腹いっぱい。:2009/12/10(木) 21:45:38
CDNでデータ供給しているサイトあてのアクセスとかはどうするつもり?
あれはかなり激しく向き先が変わるぞ

283 :名無しさん@お腹いっぱい。:2009/12/11(金) 09:07:58
いまどきdjbdnsなんかおすすめすんな

284 :名無しさん@お腹いっぱい。:2009/12/11(金) 09:50:33
>>283
なんで?

285 :名無しさん@お腹いっぱい。:2009/12/11(金) 15:23:08
BIND使いならforwarders指定するのが良いんじゃない?
ttp://acapulco.dyndns.org/blog/2009/12/06/632

286 :名無しさん@お腹いっぱい。:2009/12/11(金) 15:29:37
>>285
トラフィックは減らないんじゃない?

287 :名無しさん@お腹いっぱい。:2009/12/11(金) 15:51:32
米Neustar、リアルタイムDNS更新を目指すイニシアティブを設立
http://internet.watch.impress.co.jp/docs/news/20091211_335219.html

DNSキャッシュを制御しよう! だそうで。
(いろいろとアタック系の別の問題が激しく起きそうな)

288 :名無しさん@お腹いっぱい。:2009/12/13(日) 17:19:44
A-192-168-0-1.EXAMPLE.COMとかでAレコードひくと
192.168.0.1を返してくるDNSサーバを提供してるドメインってないですか?


289 :名無しさん@お腹いっぱい。:2009/12/13(日) 18:00:58
>>288
何がしたいの。

290 :名無しさん@お腹いっぱい。:2009/12/13(日) 18:08:28
echo '192.168.0.1 A-192-168-0-1.EXAMPLE.COM' >> /etc/hosts

291 :名無しさん@お腹いっぱい。:2009/12/13(日) 19:52:02
>>290
ありがとう。今環境がないので月曜日に試してみます。

292 :名無しさん@お腹いっぱい。:2009/12/13(日) 22:44:23
え、それでいいの!?

293 :288:2009/12/14(月) 01:27:37
>>289
スゴーク.長い.任意の.サブドメイン名.A-192-168-0-1.EXAMPLE.COM
という名前を、

>>290
自分の管理下にないホストにも参照させたい。

ということです。

Dynamic DNSサービスでシコシコ登録すればできるんですが、
そういうサービスないかなと思いました。


294 :名無しさん@お腹いっぱい。:2009/12/14(月) 10:39:36
意味わからん。

295 :名無しさん@お腹いっぱい。:2009/12/14(月) 23:21:04
>>293
リゾルバサーバを powerdns-recursor にすると、
ほかのゾーンから引いてきたリソースレコードに /etc/hosts (等任意のファイル)に
書いた内容をオーバーライドして返事をしてくれる。
ソフトウェア開発上の都合で fake resolver をつくらなければならないときにかなり便利。

296 :名無しさん@お腹いっぱい。:2009/12/25(金) 17:51:07
Dec 25 17:35:03 localhost named[17732]: unexpected RCODE (REFUSED) resolving '54.244.149.89.in-addr.arpa/PTR/IN': 217.20.116.2#53
Dec 25 17:45:31 localhost named[17732]: unexpected RCODE (REFUSED) resolving '54.244.149.89.in-addr.arpa/PTR/IN': 217.20.115.2#53

こういうログが溢れてるんですけど、これって何何でしょうか?

297 :名無しさん@お腹いっぱい。:2009/12/25(金) 18:59:42
何何でしょうか -> 何なのでしょうか

298 :名無しさん@お腹いっぱい。:2009/12/26(土) 01:30:21
http://www.google.co.jp/search?rlz=1C1CHMA_jaJP357JP357&sourceid=chrome&ie=UTF-8&q=unexpected+RCODE+(REFUSED)+resolving

299 :名無しさん@お腹いっぱい。:2010/01/22(金) 06:16:34
ちょいと質問させてください。
VPSサービスで鯖運用、DNSサーバにBindを使用しているのですが、
FreeDNSreport
ttp://thednsreport.com/
というサイトで、以下のようなWarningとErrorがでるのですが、何が原因でしょうか?
プライマリを自分のDNSサーバ、セカンダリをVPSサービス側で用意されたものを設定
HTTPもSMTPも特別問題なく動いているのですが、failで警告表示がでているので気になって・・・。
warnはいくつかのParentネームサーバであなたのドメインの解決はできないよって怒られていてるようなのですが。

warn Glue at parent nameservers
WARNING. The parent servers (I checked withd.dns.jp.) are not providing glue for all your nameservers.
This means that they are supplying the NS records (host.example.com), but not supplying the A records That may cause some extra miliseconds in DNS.
This will usually occur if your DNS servers are not in the same TLD as your domain

fail No NS A records at nameservers
Error: some servers does not provide A records for nameservers

At ***********.***** [***.***.***.***]  ←VPSで使用しているドメインとIP

No A record for *******.****  ←VPSサービス側で用意しているセカンダリDNS

300 :名無しさん@お腹いっぱい。:2010/01/22(金) 08:57:35
公開サーバとして登録されていないサーバを指定してるんだろ。

301 :名無しさん@お腹いっぱい。:2010/01/22(金) 20:47:34
LINUX系のDNSの構築っていくら取れるんですか?
社内で別部署の偉い人から頼まれたんです。

報酬は「うちの余った予算で好きなもの買ってやる」、だそうです。

一応仮で立てまして、言われた条件は全てクリアはしたとは思っています。
社内からは4セグメント、2度ドメインACL制限と全ホストの正逆引きOK
セキュリティ(iptableでアクセス制限)とバックアップ(週一で社内サーバーに
sambaマウントでコピーするcron)
運用と保守に関してはその部署の女の子が担当だそうで。
直接config触ると多分泣いちゃうので(僕が)webminで設定変更を
可能に(イントラ、SQL、webmin、日本語化)
サーバーの監視ソフト(nagios)と緊急用メールサーバー。
グローバルは4つ。うち一つは社外からの緊急保守用。

これっていくら取れます?
つーかこんなんでいいの?全部フリーなんですけど。
別会社名で通販を始めるそうで。
素材もフリー。色々ググッて構築なんですけど。

これ本当にいいの?良いなら一台いくら取れるの?

やめたほうがいいですかね?
いや世間なんてそんなモンだよですかね?

302 :名無しさん@お腹いっぱい。:2010/01/22(金) 20:57:33
日本語でおk

303 :名無しさん@お腹いっぱい。:2010/01/22(金) 22:54:19
フリーだからって知識がないと設定出来ないんだから金は取っていいよ

ただし設定間違えてアクセス出来なくなっても知らないよwww

損害賠償請求されたらもらった金全部返すくらいの覚悟は必要かな

責任負えるなら自信持って受ければ良いよ


304 :名無しさん@お腹いっぱい。:2010/01/22(金) 22:56:00
余った予算全取りできるでしょう

305 :名無しさん@お腹いっぱい。:2010/01/23(土) 02:23:40
社内で別部署って書いてるから自分とこの会社の中の話と思ってたんだが違うのか?
そんで、>>301が作ったやつを再販するからどのくらいの金額設定すればいいのか?という話に見えたんだが。

306 :anon:2010/01/23(土) 07:40:06
DNS勉強する前に日本語勉強しる

307 :名無しさん@お腹いっぱい。:2010/01/23(土) 16:10:09
>>300
うーん、いまいち理解できません・・・。馬鹿で申し訳ない。
VPSサービス側が用意したセカンダリDNSが公開サーバとして登録されていないって
ことでしょうか? そもそも登録とはいかに・・・?
勉強不足なのはわかっておりますので、答えとは言いませんがヒントだけでも。

308 :名無しさん@お腹いっぱい。:2010/01/23(土) 16:19:19
知ってるがおまえには教えない(AA略

309 :名無しさん@お腹いっぱい。:2010/01/23(土) 16:37:36
>>308 × 正しくは…
○ 知らないから教えられない

310 :名無しさん@お腹いっぱい。:2010/01/23(土) 16:48:45
>>307
"DNS グルー" でググれ

311 :名無しさん@お腹いっぱい。:2010/01/23(土) 18:13:13
>>309
煽っても何も出ませんよ

312 :名無しさん@お腹いっぱい。:2010/01/23(土) 22:40:05
>>311
被害妄想すぎる

313 :名無しさん@お腹いっぱい。:2010/01/25(月) 04:37:59
WEBでドメインが弾けない場合にOpenDNSみたいに独自のエラー画面出すにはどうしたらいい?

314 :名無しさん@お腹いっぱい。:2010/01/26(火) 00:23:37
>>313
好きなの選べ
・DNSサーバを細工する
・OSのリゾルバを細工する
・ブラウザを細工する

315 :名無しさん@お腹いっぱい。:2010/01/26(火) 07:15:26
>>313
・ドメインが弾けた→(はじけた=拒否)→見せないぜザマーミロ
・ドメインが弾けなかった→(はじけなかった)→エラー画面出すぜザマーミロ
こうですね?

316 :名無しさん@お腹いっぱい。:2010/01/26(火) 22:59:31
>>301
工数としてどれだけ計上して部門間請求していいかという話?
かかった時間に一定の係数かけて計上しなよ。
作業するのも時間ゼロじゃないんだからきっちり請求あげろ。


317 :名無しさん@お腹いっぱい。:2010/01/30(土) 03:08:18
>>316
301です。
今日偉い人同士話し合いで20万現金で付け替えで決着していました。
んで知らない間に本体も稼動していました。
全支店用のセカンダリーとしても使っていくんだそうで。
仕様書書くのが超面倒くさい

ありがとうございました

318 :名無しさん@お腹いっぱい。:2010/01/30(土) 16:40:53
仕様書代も含まれちゃってるのか。追加で費用もらうべきだなあぁ。

319 :名無しさん@お腹いっぱい。:2010/01/31(日) 10:18:31
この後でサポート要請が際限なく来たりして。
レコード追加したくなる度に依頼が来るとか、PC不調になるたびに
念のため見てくれとか話が来るとか。

320 :名無しさん@お腹いっぱい。:2010/01/31(日) 16:53:58
昔お客さんから「PCから変な音がするから来てくれ」って言われて
一時間掛けて逝って見たらキーボードの上に物が載ってただけだった

321 :名無しさん@お腹いっぱい。:2010/02/23(火) 15:55:48
DNSサーバを2台立てて
A-DNSはA-WEBのアドレスを返す
B-DNSはB-WEBのアドレスを返す
なんてことはやっていいことですか。

322 :名無しさん@お腹いっぱい。:2010/02/23(火) 15:57:46
googleのDNSはgoogleのアドレスを返して、
yahooのDNSはyahooのアドレスを返してるけど何か問題でも?


323 :321:2010/02/23(火) 16:23:25
A-DNSとA-WEB、B-DNSとB-WEBはそれぞれ同じVMサーバー内で動いています。
どちらかのVMが死んでも、もう片方で運用できるかを考えています。
A-WEBとB-WEBの中身は定期的に同期させています。


324 :名無しさん@お腹いっぱい。:2010/02/23(火) 17:12:32
NameServerのスレで何を聞いているんだ?

325 :名無しさん@お腹いっぱい。:2010/02/23(火) 17:13:17
考えるんじゃなくて、本を読もう。バッタ本とか。
DNSの基本的な理解がまったく足りてない。

326 :321:2010/02/23(火) 17:33:44
DNSサーバの立て方とかは本にあるんですが、
>>321
のような運用をしていいのかいけないのかが分からないのです。
ゾーンの内容は必ず同期させないといけないのですか?

327 :名無しさん@お腹いっぱい。:2010/02/23(火) 17:39:48
そういう基本を書かずに設定ファイルの書き方だけしか載ってないような本なら捨てろ


328 :名無しさん@お腹いっぱい。:2010/02/23(火) 18:07:45
同期させないとしても君の目的は満たせない。

329 :名無しさん@お腹いっぱい。:2010/02/23(火) 21:46:05
>>326
AkamaiのDNSサービスを買うといいよ


330 :名無しさん@お腹いっぱい。:2010/02/23(火) 23:48:40
>>321
マジレスすると、何をやりたいかがその文面からは読み取れない。

 上位のDNSに、そのドメインのNSレコードをA-DNSとB-DNSに
 しているってこと?
 
 ま、普通にLB使うことを勧める

331 :321:2010/02/24(水) 10:16:49
LBはロードバランサですね。
例えばDNS、サーバがある所がまるごと、大げさに言って建物全体が
停電とかルータが壊れたという事態になったときに、
あらかじめ同じ構成を離れた場所に作っておいて、そちらに向ける
ってことをしたいのです。
そんな場合でもLBは使えますか?

332 :名無しさん@お腹いっぱい。:2010/02/24(水) 10:18:46
そんな重要なサーバなら
ちゃんとお金かけてSIerに相談すべき。

333 :321:2010/02/24(水) 10:37:14
サーバが重要かどうかは問題ではありません。
お金が掛けるとか掛けないかってことでもないです。
方法が可能なのかってことが知りたいのです。

334 :名無しさん@お腹いっぱい。:2010/02/24(水) 10:55:24
>>331
GSLB

335 :たう:2010/02/24(水) 12:49:04
>>333
そういう設定をすることはできるが、思惑どおりには動かない。
に一票。

336 :321:2010/02/24(水) 13:05:51
一度名前解決ができてキャッシュが利いているなら無理ですが、
そうではないクライアントが接続するのに、一方がすべて死んでいたなら、
他方のDNSとその名前解決で接続出来そうな気がしたのですが、
実際はそうではないのですね。

337 :名無しさん@お腹いっぱい。:2010/02/24(水) 13:11:58
試しにやってみたら

338 :名無しさん@お腹いっぱい。:2010/02/24(水) 14:13:27
>>321
ロードバランサーが壊れたらどうするの?とか考えていくと究極的にはAS取ってBGP喋る話になる。
いずれにせよこのスレのネタじゃぁない

339 :名無しさん@お腹いっぱい。:2010/02/24(水) 20:01:32
>>321
君がかんがえているより世の中はよっぽど発達している。


 アカマイなり、GSLBなり。

340 :名無しさん@お腹いっぱい。:2010/02/25(木) 02:16:44
お手軽ロードバランシングならDNS使うよりIPVS+keepalivedおすすめ。スレチだけど。

341 :名無しさん@お腹いっぱい。:2010/02/25(木) 07:24:15
この板的にはpfのround - robinと言って欲しいところ
LVS+keepalivedほどの機能はないがその場にあるものを使える点でずっとお手軽

342 :名無しさん@お腹いっぱい。:2010/03/05(金) 15:56:42
自宅鯖の質問スレに投下した馬鹿がいたので本人が仰るとおり無断転載しとくw
http://pc11.2ch.net/test/read.cgi/mysv/1260157258/614-619 が前置き


628 名前:615[sage] 投稿日:2010/03/05(金) 13:42:31 ID:???
シカトされるかと思ってたんですが
テスターしてもいいって人が1人はおられて、ひと安心・・・

なんで、昨晩がんばってホームページぽい説明ページを作りました。
今朝がたドメインも買い直しました。

日本語.jpを買ってあったんですが、nslookup が日本語に対応してなくて
代わりに xn--〜 と書かなくてはいけないことに買った後で発覚・・・

http://cc.wariate.jp/
です
cc は カントリーコードの略で、割り当てカントリーコード、って意味で付けました

スレチでしたら、ヨソへ無断転載いただいて構いません

343 :名無しさん@お腹いっぱい。:2010/04/12(月) 21:17:30
すみません。誰か教えてください。
DNSSECの勉強中ですが、1つのドメインに対して複数のZSK公開鍵のDNSKEYレコードを
登録する理由は何でしょうか?

dig @localhost se. dnskey +dnssec
を実行すると複数出てきます。
seドメインのzsk公開鍵は1つで十分ではないでしょうか?


344 :名無しさん@お腹いっぱい。:2010/04/12(月) 21:42:09
WEPキーが4つ入力できる理由と同じのはず

345 :名無しさん@お腹いっぱい。:2010/04/14(水) 22:52:20
bind9.5でのloggingの設定について教えてください。

dns&bind5版やサイトでは、
logging {
channel "チャネル名" {
file "出力ファイル名";
severity dynamic;
  };
category default {"チャネル名";};
};
を設定すれば、すべてのログがファイルに出力されると書いていましたが、
実際設定したところ、すべてでもなくまたsyslog(から/var/log/messagesへ)
にも出力されていました。
面倒でも、すべてのカテゴリに対して、
category カテゴリ {"チャネル名";};
を追加したらファイルへすべて出力され、syslogへの出力もなくなりました。

これって、本やサイトの説明が間違っているのでしょうか?

346 :名無しさん@お腹いっぱい。:2010/04/14(水) 23:08:15
デフォルトでsyslogに出すチャネルが存在して、
そのチャネルと同じ名前でsyslog以外に出すように
上書きしてない?

347 :名無しさん@お腹いっぱい。:2010/04/17(土) 01:24:00
>>346
named.confでデフォルトで書かれていた設定は以下の通りです(現在はコメントアウト)
#logging {
# channel default_debug {
# file "data/named.run";
# severity dynamic;
# };
#};



348 :名無しさん@お腹いっぱい。:2010/04/17(土) 01:37:53
pv6対応のdns構築中なんですが、ループバックアドレス(::1)に対する逆引きだけが
どーしてもうまくいきません。 
一応設定は、KDDIのHPを参考にしました。
ttp://www.kddi.com/business/customer/internet/powered/dns_ipv6.html

現在の設定は、
vi named.conf
zone "0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.ip6.arpa" IN {
type master;
file "zonefile/localhostv6.rev";
};

vi zonefile/localhostv6.rev
$TTL 1D
@ IN SOA nssv1.example.jp. root.example.jp.(
2010033002 ; serial
6H ; refresh
1H ; retry
1W ; expire
900 ) ; minimum
;
NS localhost.
;
1 PTR localhost.



349 :348のつづき:2010/04/17(土) 01:42:23

# dig @localhost -x ::1 ptr +norec
;; flags: qr aa ra; QUERY: 1, ANSWER: 0, AUTHORITY: 1, ADDITIONAL: 0
;; QUESTION SECTION:
;1.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.ip6.arpa. IN PTR

;; AUTHORITY SECTION:
1.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.ip6.arpa. 86400 IN SOA 1.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.ip6.arpa. . 0 28800 7200 604800 86400

flagsにaaがあることと、authority sectionのSOAレコードから、
自サーバ内の別の設定ファイルを見ているようなんですが、どうしてもその理由が分かりません。
同じzonefile内に置いているIPv4のループバック、グローバルの逆引き、正引き、IPv6のグローバルの逆引きは
正常に応答できています。

350 :名無しさん@お腹いっぱい。:2010/04/17(土) 01:56:36
>>349
BINDのバージョンくらい書け
そして disable-empty-zone でググれ

351 :名無しさん@お腹いっぱい。:2010/04/17(土) 03:33:08
>>350
ツンデレ回答乙でした。直りました。
disable-empty-zone〜の3行追加しただけです。
ちなみに fedora9 BIND 9.5.0b2 です。
ググッたら、named.confにデフォルトで書かれているようでしたが、
自分のnamed.confにはありませんでした。

昔のログには、
automatic empty zone: 1.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.IP6.ARPA
というものが出ていました。

352 :名無しさん@お腹いっぱい。:2010/04/30(金) 23:59:01
助けてください!
汎用JPのdnsを書き換える方法ありませんか?
Aレコード?、CNAME?全て消えてしまいました。
サーバーへ向いていません。
今すぐ書き換えたいです!
または、別のアドレスに転送でも良いです。
ほぼ素人ですが、どなたかよろしくお願いします。

353 :名無しさん@お腹いっぱい。:2010/05/01(土) 05:48:40
>>352
意味不明なんだが、ドメイン更新してなくて削除されたとか。

354 :名無しさん@お腹いっぱい。:2010/05/01(土) 05:58:59
なんで DNS の仕組みそのものを理解しないで bind とか設定しようとしてる訳?
にわかネットベンチャーの社員か?

355 :名無しさん@お腹いっぱい。:2010/05/08(土) 12:26:40
自宅サーバのcentOS5.4にbindをインストールしようと思っています。
その前に、bindというかdnsの機能を確認したいんですが、

クライアントからurlのリクエストが来る
対応するIPアドレスをdnsが返す
クライアントがそのIPアドレスに接続する
ブラウザで表示

って流れですよね?
てことは固定のグローバルIPアドレスとドメインをを持ってなければ
dnsインストールしても意味がないんでしょうか?

こんなボケた質問するのにdnsを入れようと言うのは、単にlinuxの設定本に
書いてあることを全部やってみようという理由と、
postfixでのメール送信にかかわりがあるらしいからという理由です。

初心者質問ですみませんが、お願いします。

356 :名無しさん@お腹いっぱい。:2010/05/08(土) 12:31:42
>>355
そういう質問をする時は、OSもバージョンも関係ないんだから、
CentOSとかLinuxとかのキーワードは伏せて質問しないと叩かれるよ

357 :ななし:2010/05/08(土) 15:23:10
>>355
閉じた環境で試す分には意味ある。
がんばれ。

358 :名無しさん@お腹いっぱい。:2010/05/09(日) 03:49:26
>てことは固定のグローバルIPアドレスとドメインをを持ってなければ
>dnsインストールしても意味がないんでしょうか?

なんでそう思ったの?


359 :名無しさん@お腹いっぱい。:2010/05/09(日) 06:00:41
Archivo resolv conf
http://www.ajaxman.net/wp-content/uploads/2008/09/resolvconf.jpeg
resolv conf ?rne?i
http://www19.atpages.jp/imagelinkget/get.php?t=v&u=www.archlinuxtr.org/kurulum/images/kurulum026.png
kuro 09 png
http://www2.wapres.org/kuro-box/img/kuro_09.png
図3  nameserver という文字列を含むファイルの検索
http://image.gihyo.co.jp/assets/images/admin/serial/01/ubuntu-recipe/0024/thumb/TH400_0024-03.png
netconfig wbel331 png
http://www.obenri.com/_minset_wbel3/image/netconfig_wbel331.png


360 :名無しさん@お腹いっぱい。:2010/05/10(月) 15:30:08
http://www.ajaxman.net/wp-content/uploads/2008/09/resolvconf.jpeg
http://www.archlinuxtr.org/kurulum/images/kurulum026.png
http://www19.atpages.jp/imagelinkget/get.php?t=v&u=www2.wapres.org/kuro-box/img/kuro_09.png


361 :名無しさん@お腹いっぱい。:2010/05/10(月) 21:56:43
>>356,357
お礼遅れました、ありがとうございます
>>358
勘違いしてました。今はローカル向けで設定の勉強してます

すみませんさらに追加の質問させてください。
今bind9で設定していて、ローカルIPの192.168.0.10にdns(bind)とhttpd, postfixその他サーバを入れています。
で、逆引き設定したのですがnslookupの検証でうまくいきません。

 > 192.168.0.10
 Server: 192.168.0.10
 Address: 192.168.0.10#53
 *** Can't find 10.0.168.192.in-addr.arpa.: No answer
というエラーが出てしまいます。

該当のゾーン設定ファイルは以下の通りです。
 $TTL 86400
 0.168.192.in-addr.arpa. IN SOA ns.sample.co.jp. root.sample.co.jp. (
  2010050802 ;Serial
  7200 ;Refresh
  3600 ;Retry
  604800 ;Expire
  3600 ;Minimum TTL
 )
  IN NS ns.sample.co.jp.
 10 IN PTR ns.sample.co.jp.

どこに原因があるのでしょうか?
環境の説明はもう少し続きます(次のレスへ)

362 :名無しさん@お腹いっぱい。:2010/05/10(月) 22:08:47
named-checkzoneとnamed-checkconfを活用せよ。

363 :361 続き :2010/05/10(月) 22:22:11
補足1)named.confでの正引き用、逆引き用ゾーン設定は以下の通りです
  zone "sample.co.jp"{
  type master;
  file "sample.co.jp.db";
  allow-transfer{none;};/*転送許可するスレーブサーバ*/
  };
  zone "0.168.192.in-addr.arpa" {
  type master;
  file "0.168.192.in-addr.arpa.db";
  allow-transfer {none;};
  };
 ※named-checkconfコマンドでエラーは表示されません。

補足2)nslookupでの検証では、正引きは正常に返ります(以下の通り)
 > www.sample.co.jp
 Server: 192.168.0.10
 Address: 192.168.0.10#53
 www.sample.co.jp canonical name = ns.sample.co.jp.
 Name: ns.sample.co.jp
 Address: 192.168.0.10

補足3)また、同一ローカルネットワーク上の他マシンのfirefoxでwww.sample.co.jpをブラウジングしようとすると
「www.sample.co.jp という名前のサーバが見つかりませんでした。」とエラーになります。
※実は、このドメインはインターネット上に実在してて、アクセスできるはずのものです

補足4)このbindの設定以前に、内部ネットワークのマシン(macとwin)には、192.168.0.10またはwww.hogehoge.comに
ブラウズすると、サーバ(192.168.0.10)のapache中のサイト(www.hogehoge.com)が見えるよう設定してあります。

不要な情報や補足があるかもしれませんが、関係しているのかなと思われたことを書かせていただきました。
どうして逆引きがエラーになるのか、また www.sample.co.jpへのブラウジングがなぜ失敗するのか
説明いただけたらうれしいです。長くてすみません、よろしくお願いします。

364 :名無しさん@お腹いっぱい。:2010/05/10(月) 23:20:54
前提条件がさっぱりわからん。
sample.co.jpはインターネット上のサイトなの?LAN上なの?
www.hogehoge.comはどうやって名前解決してたの?
コンテンツサーバとキャッシュサーバの違いは理解してる?

365 :名無しさん@お腹いっぱい。:2010/05/10(月) 23:26:46
質問者のレベルをみるとオライリー「DNS&BIND」を10回くらい読んで
DNSの仕組みを理解してからDNSに手を付けた方がいい気がする。

366 :名無しさん@お腹いっぱい。:2010/05/10(月) 23:41:30
>>364
すみません。sample.co.jpは、本当は(本に書いてある通りだと)www.itboost.co.jpです
このドメインを取得したと言う仮の前提でやっているんですが、これってこの本を書いた会社のドメインなので
www.itboost.co.jpにアクセスすれば表示されるはずなんです(ブラウザで)
今は192.168.0.10のネームサーバでこのドメインへのIPアドレス設定をしてるけど、
まだ対応するwebサイトを設定してないから接続エラーなんでしょうか? すみません。

あと、質問する場所間違えたのがあるんですが、コピペします。

>bindのゾーンファイルを検証する、named-checkzoneがうまく動きません
>以下のようになります。
>[root@localhost named]# named-checkzone itboost.co.jp.db
>usage: named-checkzone [-djqvD] [-c class] [-o output] [-t directory] [-w directory] [-k (ignore|warn|fail)] [-n (ignore|warn|fail)] zonename filename
>何が原因なのでしょうか?
>現在の階層でls -laすると
>-rw-r----- 1 root named 270 5月 9 21:36 itboost.co.jp.db
>があるのは確認できます。

これはなぜでしょうか?

>>365
すみません、いろんなサイトや本で読んでるんですが、どうもよくわからないです…

367 :名無しさん@お腹いっぱい。:2010/05/10(月) 23:45:51
sample.co.jp も www.hogehoge.com も実在するので注意。

368 :名無しさん@お腹いっぱい。:2010/05/10(月) 23:57:49
www.itboost.co.jpって引くたびに応答が違うのでちょっと調べてみたら、
ns.itboost.co.jpとdns2.itboost.co.jpはwww.itboost.co.jpのAレコードを返さない。
こんな最低な設定をしてる会社の本を信用しちゃダメ。
素直にオライリー本を買いなさい。

369 :366:2010/05/11(火) 00:00:51
上の投稿の named-checkzoneの質問は解決しました
お騒がせしました
関連のゾーンファイルへのnamed-checkzoneはどれもOKでした

なんで逆引きがうまくいかないのかな

370 :名無しさん@お腹いっぱい。:2010/05/11(火) 00:08:57
dns.tk.itboost.co.jpしかwww.itboost.co.jp答えてくれないね
TTLも300秒ばっか、DDNSで運用してるのかな?

371 :名無しさん@お腹いっぱい。:2010/05/11(火) 00:15:59
>>369
named-checkconfを-zオプション付きで走らせてみた?

372 :名無しさん@お腹いっぱい。:2010/05/11(火) 01:10:40
まず、設定したサーバ上で、ゾーン自体の確認してみたら?

$ dig @127.0.0.1 0.168.192.in-addr.arpa. SOA +norec

NOERRORでANSWER SECTIONに設定したSOAレコードが確認できる?
SERVFAILとかなら、ゾーン自体ダメだと思う。


373 :366:2010/05/11(火) 07:15:27
>>371,372
ありがとうございます、それぞれこうなりました。
[root@localhost named]# named-checkconf -z
zone localdomain/IN: loaded serial 42
zone localhost/IN: loaded serial 42
zone 0.0.127.in-addr.arpa/IN: loaded serial 1997022700
zone 0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.ip6.arpa/IN: loaded serial 1997022700
zone 255.in-addr.arpa/IN: loaded serial 42
zone 0.in-addr.arpa/IN: loaded serial 42
zone itboost.co.jp/IN: loaded serial 2010050901
zone 0.168.192.in-addr.arpa/IN: loaded serial 2010050802
zone 10.0.168.192.in-addr.arpa/IN: loaded serial 2010050802
zone itboost.co.jp/IN: loaded serial 2010050901
zone 0.168.192.in-addr.arpa/IN: loaded serial 2010050802

[root@localhost named]# dig @127.0.0.1.0.168.0192.in-addr.arpa.SOA +norec
dig: couldn't get address for '127.0.0.1.0.168.0192.in-addr.arpa.SOA': failure

digの方はおかしいですね、なんでだろう


あと、ローカルのゾーン設定用にaclを以下のように設定したところ
acl "localnets"{
192.168.0.0/24;
127.0.0.1;
};
/etc/named.conf:24: attempt to redefine builtin acl 'localnets'
と警告が出ました。既に定義済みのものを再定義してるってことだと思いますが
どこで既に定義してるんでしょうか? named.conf中には見つからなかったんですが…


374 :名無しさん@お腹いっぱい。:2010/05/11(火) 07:32:29
> zone itboost.co.jp/IN: loaded serial 2010050901
> zone 0.168.192.in-addr.arpa/IN: loaded serial 2010050802

2回ずつ読まれてる。

> zone 10.0.168.192.in-addr.arpa/IN: loaded serial 2010050802

いいの?

> [root@localhost named]# dig @127.0.0.1.0.168.0192.in-addr.arpa.SOA +norec

digの使い方間違えてる。man嫁。

375 :名無しさん@お腹いっぱい。:2010/05/11(火) 11:11:48
>>373
"builtin" acl 'localnets'
たしかbindしたインターフェースに振られたアドレスあたりは
自動でこのaclに定義されてる。

376 :名無しさん@お腹いっぱい。:2010/05/11(火) 17:52:19
>>377
127.0.0.1 と 0.168.192.in-addr.arpaの間はスペース入れれ。

そもそも
>zone itboost.co.jp/IN: loaded serial 2010050901
>zone 0.168.192.in-addr.arpa/IN: loaded serial 2010050802
>zone 10.0.168.192.in-addr.arpa/IN: loaded serial 2010050802
>zone itboost.co.jp/IN: loaded serial 2010050901
>zone 0.168.192.in-addr.arpa/IN: loaded serial 2010050802

同じゾーンが出てるぞ。named.conf内で同じゾーンファイルで
複数回ゾーン設定しちゃってるんじゃない?



377 :名無しさん@お腹いっぱい。:2010/05/11(火) 20:38:13
ITBoostが運営してるっぽいSTACK*とかいうサイトもDNSの設定が腐ってるな…

378 :名無しさん@お腹いっぱい。:2010/05/11(火) 22:19:23
NSのうち片方のDNS、co.jpをjpに変えたんだろうけど、NS変えるの忘れてるな。
元のドメインは放棄しているみたいだからやろうと思えば簡単に乗っ取れそう。
JPNICが気をつけろ、と必死に宣伝してるのにこの有様。

379 :366:2010/05/11(火) 23:23:00
皆さん詳しいですね。本当にありがとうございます。
以前買ったbindの本があるの思い出したので、皆さんの回答とあわせて読み直してます。

>>376
うっかりしてました、ありがとう。やり直したらこうなりました。
[root@localhost named]# dig @127.0.0.1 0.168.0192.in-addr.arpa.SOA
; <<>> DiG 9.3.6-P1-RedHat-9.3.6-4.P1.el5_4.2 <<>> @127.0.0.1 0.168.0192.in-addr.arpa.SOA
; (1 server found)
;; global options: printcmd
;; connection timed out; no servers could be reached


複数回ゾーン設定してるんじゃないかという件ですが、してました。
view "localhost_resolver"{}とview "internal"{}の中で同じものを設定していました。
本の説明では、DNS自身とローカルネットワーク上のwinから確認するためにそうすると
書いてあります。
調べたら、多分ここの設定と同じかな。問題あるんでしょうか?(読んで勉強し直します。)
ttp://d.hatena.ne.jp/japanrock_pg/20090723/1248359871

bind難しいですね… ほんとお世話になります、すみません

380 :名無しさん@お腹いっぱい。:2010/05/12(水) 00:37:51
>>379

viewごとの細かい設定とかが必要ないんなら、
まずはview無しで単純に書いてみたら?

381 :名無しさん@お腹いっぱい。:2010/05/13(木) 18:59:03
BINDが入ってるローカル鯖で
[root@localhost named]# dig @127.0.0.1 0.168.0192.in-addr.arpa.SOA
を実行したところ、以下の結果が出ました。
これは逆引き設定がうまくいってると考えて良いのでしょうか?
NXDOMAINというのが気になるんですが
(ドメインを指定した正引きの場合、問題なのはわかるんですが)

; <<>> DiG 9.3.6-P1-RedHat-9.3.6-4.P1.el5_4.2 <<>> @127.0.0.1 0.168.192.in-addr.arpa.SOA +norec
; (1 server found)
;; global options: printcmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NXDOMAIN, id: 25808
;; flags: qr ra; QUERY: 1, ANSWER: 0, AUTHORITY: 1, ADDITIONAL: 0
;; QUESTION SECTION:
;0.168.192.in-addr.arpa.SOA. IN A
;; AUTHORITY SECTION:
. 9796 IN SOA a.root-servers.net. nstld.verisign-grs.com. 2010051201 1800 900 604800 86400
;; Query time: 0 msec
;; SERVER: 127.0.0.1#53(127.0.0.1)
;; WHEN: Thu May 13 02:55:54 2010
;; MSG SIZE rcvd: 119


382 :名無しさん@お腹いっぱい。:2010/05/13(木) 20:26:36
>>381
in-addr.arpa. とSOAの間にスペースを
dig @127.0.0.1 0.168.192.in-addr.arpa. SOA

383 :名無しさん@お腹いっぱい。:2010/05/13(木) 20:43:56
>>382
うまくいきました! ありがとうございました

384 :名無しさん@お腹いっぱい。:2010/05/17(月) 07:56:17
動けばいい、っていうんじゃなくて、動作の理解をしなさいよ。

385 :名無しさん@お腹いっぱい。:2010/06/01(火) 04:35:23
unboundでGoogle Public DNS使おうと思って、

forward-zone:
name: "."
forward-addr: 8.8.8.8
forward-addr: 8.8.4.4

を設定したけれど、解決できないドメインがある

# drill example.com @127.0.0.1
だと解決できないが、
# drill example.com @8.8.8.8
とすると解決できる。

恐らくウチの環境(or設定)が悪いだけ、と思ってるけれど、
解決できるドメインもあるので原因が分からない・・

386 :名無しさん@お腹いっぱい。:2010/06/01(火) 11:01:16
>>385
そのドメインの設定が腐ってる可能性もあると思うよ。

387 :名無しさん@お腹いっぱい。:2010/06/01(火) 23:53:10
>>368みたいな腐った設定はゴマンとあるしな
stack*は相変わらずlameっぽ

388 :名無しさん@お腹いっぱい。:2010/06/02(水) 00:26:34
>>385
日本でGooglePublicDNS使うとAkamai他のCDN関係を全部日本以外に転送されてしまうから
ウェブブラウズなどが遅くなるだけでうれしいことはなにもないぞ。OpenDNSでも同様。

あれを日本から使ってうれしいのは「自組織以外からDNS参照をおこなったらどうみえるか」を
手軽に検証できることだけ。


389 :名無しさん@お腹いっぱい。:2010/06/02(水) 00:47:16
>>388
1月末に提案されたドラフトは01になったね。
ttp://tools.ietf.org/id/draft-vandergaast-edns-client-ip-01.txt

検証目的であればここも便利
ttp://www.dns-oarc.net/oarc/services/odvr

390 :名無しさん@お腹いっぱい。:2010/06/11(金) 00:51:08
BINDの動的なインターフェースなどのアドレスを一定時間毎に動的にListenする機能って
rootで動かしていないとうまく機能しないのかな?

391 :名無しさん@お腹いっぱい。:2010/06/11(金) 01:18:10
0.0.0.0:53にbindしていただくという方法での回避はできなかったから
やっぱりrootで動かすしかないかなぁ。

392 :名無しさん@お腹いっぱい。:2010/06/11(金) 03:05:30
>>390
リファレンスのinterface-intervalの項目に制約は書かれていないけど駄目?
DebianではPPPのup時にrndc reconfigで回避してる。

393 :名無しさん@お腹いっぱい。:2010/06/15(火) 03:17:52
>>392
ありがとうございます。
reconfigでもやっぱりpermission deniedという理由でbindさせてもらえてませんでした。
restartしてしまえばいいのかな?コストがアレですけど。

394 :名無しさん@お腹いっぱい。:2010/06/16(水) 20:49:00
この板のスーパーハカー様方に質問です。

hamusoku.com. IN NS ns1.domain.livedoor.com
IN NS ns1.domain.livedoor.com
IN CNAME blog-01.livedoor.jp

これってRFC違反だと思うのですがどうでしょう。
ちなみにWIN2008R2のDNSサーバだとエラーになって引けません。
最近のBINDではどうですか?



395 :名無しさん@お腹いっぱい。:2010/06/16(水) 21:07:18
>>394
これいかんね。
http://bonz.squares.net/~dais/misc/rfc1912j.html#cname

396 :名無しさん@お腹いっぱい。:2010/06/16(水) 21:20:58
おかしいね。
とりあえず bind 9.6.1-P1 と unbound 1.4.3 では引けちゃったけど、
エラーにするキャッシュ DNS があったとしても不思議ではない。

ただ、bind ならこういう腐ったゾーンはエラーにして読み込まなかったような。
……と思ったら、なんか nsd っぽいなぁ。
nsd って bind よりゾーンファイルのバリデーションが緩いんだよなぁ。


397 :名無しさん@お腹いっぱい。:2010/06/16(水) 22:14:21
394です。
ありがとうございます。
ライブドアにこんなん引けねーよと言ってみたのですが
「問題を認識できません」て返されました。
こういうお馬鹿さんはどうすればいいんでしょうね。


398 :名無しさん@お腹いっぱい。:2010/06/17(木) 00:28:12
相手にするおまえがおバカさんだ
日本はこういう国になっちまったんだ諦めろもう終わり

399 :名無しさん@お腹いっぱい。:2010/06/17(木) 09:40:04
DNSOPSあたりで話題に出せば誰か反応するかも。

400 :名無しさん@お腹いっぱい。:2010/06/17(木) 12:28:36
TwitterでLivedoorの技術系の中の人に直接つっこんでみるとか


401 :名無しさん@お腹いっぱい。:2010/06/18(金) 00:07:12
>>400

俺もそう思った。
サポートに言っても障害として検知していない状態で、類似のクレームも
他になければ取り合わなさそう。

402 :名無しさん@お腹いっぱい。:2010/06/18(金) 03:58:34
>>399
参加者あまり多くないんじゃない?
空気読まずにjanogとか(w

>>401
国税庁の時も全く返事が来なくて、忘れたころにこっそり直してたな。

403 :名無しさん@お腹いっぱい。:2010/06/18(金) 20:04:56
>>402
DNSOPSをsubscribeしているひとはJANOGもsubscribeしてるだろう




404 :名無しさん@お腹いっぱい。:2010/06/21(月) 08:14:22
JANOGに投げて空気変えてほしいな。

405 :名無しさん@お腹いっぱい。:2010/07/01(木) 12:35:08

るーと更新おめでとう!!
          .o゜*。o
         /⌒ヽ*゜*
   ∧_∧ /ヽ    )。*o  ッパ
    (・ω・)丿゛ ̄ ̄' ゜
.  ノ/  /
  ノ ̄ゝ

406 :名無しさん@お腹いっぱい。:2010/07/01(木) 21:37:27
windowsでもdjbdns使いたいのだが駄目かな

407 :名無しさん@お腹いっぱい。:2010/07/01(木) 23:38:26
>>406
変態

408 :名無しさん@お腹いっぱい。:2010/07/02(金) 02:23:48
>>406
変態だな……。


409 :名無しさん@お腹いっぱい。:2010/07/03(土) 00:47:26
>>406
DJ本人乙

410 :名無しさん@お腹いっぱい。:2010/07/03(土) 21:09:28
愛が感じられるような

411 :名無しさん@お腹いっぱい。:2010/07/16(金) 23:29:13
ルートサーバーがDNSSEC対応したらしいが、
お主らのキャッシュサーバーは対応やった?

412 :名無しさん@お腹いっぱい。:2010/07/17(土) 10:25:37
>>411
うちのはBIND9.6系でトラストアンカーの自動更新は未対応っぽいから
しばらく様子見かな。鍵はどのくらいの間隔で更新されるの?

413 :名無しさん@お腹いっぱい。:2010/07/17(土) 11:58:15
bindは9.7じゃないとsha-2が使えないから、9.6だとそっちが引っかかる。

414 :名無しさん@お腹いっぱい。:2010/07/17(土) 12:10:42
http://www.iepg.org/2009-11-ietf76/rootsign-ietf76-iepg.pdf
によりますと
KSKは2〜5年ごと
ZSKは年4回
だそうですが。

415 :名無しさん@お腹いっぱい。:2010/07/17(土) 18:17:22
>>413
そこは気になったけど、9.6.2rc1で9.7からバックポートされたので問題ないよね?
ttp://lists.isc.org/pipermail/bind-announce/2010-February/000621.html

416 :名無しさん@お腹いっぱい。:2010/07/17(土) 18:32:19
>>414
それなら導入しても大丈夫そうだな。
KSK変わるときはニュースになりそうですし。

ところで、現時点でルートゾーンは署名されたけど、
既にDNSSEC導入済みのTLDへの署名はまだだよね?

これは次のセレモニー以降でZSKの更新の際に行われるのかな。
スケジュールでてる?

417 :anonymous:2010/07/17(土) 21:49:33
いくつかのccTLDにDSが入っています。

418 :名無しさん@お腹いっぱい。:2010/07/17(土) 22:40:06
>>417
確かに8個ほど入ってた。.CATなんてあったんだ。
http://www.root-dnssec.org/faq/
dig . AXFR @xfr.lax.dns.icann.org

自ドメインが検証できるようになるまではまだ時間がかかりそうだ。

419 :名無しさん@お腹いっぱい。:2010/07/18(日) 00:05:24
設定方法・・・ってほどでもないけど。
"9.6 or higher"は誤りで"9.6.2 or higher"に訂正予定とのこと。
ttp://www.isc.org/community/blog/201007/using-root-dnssec-key-bind-9-resolvers

keyはコッチで確認すること。
ttps://data.iana.org/root-anchors/

116 KB
■ このスレッドは過去ログ倉庫に格納されています

★スマホ版★ 掲示板に戻る 全部 前100 次100 最新50

read.cgi ver 05.02.02 2014/06/23 Mango Mangüé ★
FOX ★ DSO(Dynamic Shared Object)