No.1
正直webminすごく助かる
正直webminすごく助かる
【設定面倒】BIND 総合スレッド【DNS】
レス数: 230
概要: 無かったから建てた。 正直webminすごく助かる
正直webminすごく助かる
No.2
http:
No.3
いつの話だよ。
No.4
./configure --with-openssl=/usr/local/ssl
みたいな感じで。
DNSSECを使わない場合もopensslって必要なん?
No.5
失礼。日付を確認してなかった。
jprsのホームページにデカデカと出ていたから勘違いしたよ。
No.6
Value-domainでドメイン名を登録して、DDNSで自宅サーバ(ubuntu 9.10)を立てました。
LAN内からWebサーバへアクセスするとき、
(1) ドメイン(hoge.net)でアクセスすると、Webサイトのトップページが見えます。
(2) サブドメイン(sub.hoge.net)でアクセスすると、ルーターの設定画面が出てきます。
ググったら、LAN内でWebサーバにアクセスする場合、内部用DNSを用意すればイイことまで分かりました。
ubuntu bind9 自宅サーバ 内部用 設定 の検索結果 約 2,300 件
ttp://www.miloweb.net/bind.html
ttp://hyamada.ddo.jp/hiki/hiki.cgi?bind9
↑検索で出てきた説明を基に設定しようと思いましたが、どこをいじるのかまだよく分かりません。
内部用DNSの設定をご指導ください。よろしくお願いします。
No.7
DNS、特にBINDについてお勧めの本があればご紹介ください。
Amazon.co.jpでDNS、BINDの本を探したら、
オライリーの「DNS & BIND 第5版」が定番のようですが、これを読破するのはちとしんどいです。(2、3日じゃ読めない?)><
ttp://www.amazon.co.jp/dp/4873113903
BIND9によるDNSサーバ構築
ttp://www.amazon.co.jp/dp/477412947X
↑これ読めば、自宅サーバの内部用DNSを作れるでしょうか?
アドバイスよろしくお願いいたします。
No.8
解説サイトを読む。
キャッシュと内向けだけならそれで十分。
汚染が怖いならキャッシュもなくす。あとはプロバイダのDNSに任せる。
No.9
BINDは最新使えよ
No.10
いいかげんな知識でほんとにそれでいいのかよくわかってないけど
なんとなく動いてるみたいだからそれでいいや、
てな人間が書いたものばっかりひっかかる。
No.11
No.12
知ったかぶりだけじゃなくていいところと悪いところのURLを書いてみたらどうだい?
自鯖で優越感浸るほどの設定なんて必要ないだろうし、どうせなら自慢の自分の設定さらしてみたら?
No.13
セキュリティ的な云々だから〜
なんて手前味噌な都合でchrootみたいな非構造的でユーザビリティとは乖離しきった実装が許されちゃうんだもんね〜
すごいよ。さすが。
No.14
セキュリティー的には /etc/named.conf に allow-recursion を入れることが重要。
No.15
ttp://www.cymru.com/Documents/secure-bind-template.html
No.16
っせえ
黙ってろ
No.17
指定事業者の設定でネームサーバの指定をしました。
んで、BINDでバーチャルホストの設定をしたんだわさ。
質問なんだけど、よく変更したら24〜72時間くらいは待てよっていうのは
ネームサーバの変更から?それとも自分がたてたDNSサーバを変更してから?
理屈で考えると、自分のDNSサーバの設定を変更したら、その変更が世界に回るまでに
時間がかかるから、設定をなおしたと思ってもしばらくは意図しない表示になるってことだよね?
家にあるPC数台、どれも表示が違うし、digでwwwつけるのとつけないので
返ってくるIPが違うし(一つは今のIP、もうひとつは共有鯖だったときのIP)
No.18
このスレの煽りの真偽に興味シンシンです
No.19
No.20
?
No.21
これって
https:
DNSSECを使ってなければ、関係ないの?
使ってなくても関係あるの?
こういう所の報告って
前提条件とかがよくわからない
No.22
No.23
マスター側の/etc/named.confてスレーブ側に同期されますか?
例えばhoge.comを運用しているbindだとして、a.hoge.comのサブドメインを追加する場合は
マスターとスレーブの/etc/named.confを変更して、さらにa.hoge.com.zoneファイルなんか
を用意する必要があるという事でしょうか?
よろしくお願いいたします。
No.24
当然です
楽したければ同期したい部分を別ファイルに切りだして
rsyncするのも手だよ。(ゾーンファイルもな)
No.25
スマソ、一部見過ごしてたよ
サブドメインのゾーンファイルをわけなければスレーブ側は何もする必要はない。
No.26
遅れてすいません.
DNSがWindowsの場合はよく知りませんが UNIX系のBINDでSIPで使う
TLSのサービスを聞く場合を書きます.
以下の様にすればどうでしょうか? 以下のようなコマンドを投入します
これは,SIPのTLSは何処に(A:IP)張ればっていうアプリからDNSに
聴かれるものです.
dig @DNSのIPアドレス -t SRV _sipinternaltls._tcp.EXAMPLE.CO.JP
投入コマンドのエコー部分
; <<>> DiG 9.3.5 <<>> @DNSのIPアドレス -t SRV _sipinternaltls._tcp.EXAMPLE.CO.JP.
; (1 server found)
;; global options: printcmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 32608
;; flags: qr aa rd; QUERY: 1, ANSWER: 1, AUTHORITY: 3, ADDITIONAL: 4
#結果はエラーがなくて
問い合わせ1レコード 解答1レコード DNSのAUTHが3レコード
付加情報が4レコード
;; QUESTION SECTION: DNSが聴いた問い合わせ
;_sipinternaltls._tcp.EXAMPLE.CO.JP. IN SRV
;; ANSWER SECTION: DNSからの返答
_sipinternaltls._tcp.EXAMPLE.CO.JP. 300 IN SRV 0 0 5061 SIP.EXAMPLE.CO.JP.
;; AUTHORITY SECTION:
EXAMPLE.CO.JP. 300 IN NS NS2.EXAMPLE.CO.JP.
省略
;; ADDITIONAL SECTION:
SIP.EXAMPLE.CO.JP. 300 IN A SIPのIP
NS1.EXAMPLE.CO.JP. 300 IN A DNSのIPアドレス
省略
;; Query time: 62 msec
;; SERVER: DNSのIPアドレス(DNSのIPアドレス)
;; WHEN: Sun Feb 21 11:08:45 2010
;; MSG SIZE rcvd: 219
No.27
DNSSEC 検証コードに脆弱性 とありますので,DNSSECを使わなければ
この*問題*はOKのようですが,これ以外に沢山あるようです.
https:
ごらんください
2ちゃんねる攻撃もDNSをDDoSされ毒入れをされたと聴いています.
BINDは最新にってことでしょうか?
No.28
毒入れはキャッシュサーバにしかできない
No.29
maido3はプロバイダーだよね キャッシュサーバ無いの?
No.30
仮にあったとしても関係ない
よーく考えよう
No.31
http:
をみたけど
DJBDNSってまじめだとわかった。
またなぜmaido3がDNSSECをしていないかの理由もわかったきがする
でもプロバイダって厳しい仕事だね
No.32
キャッシュサーバポイズニングはキャッシュサーバだけだね
当たり前だけど
No.33
ドメイン名は引けるけど
digとかで見たら逆引きができません
利用するネームサーバを自前のものに指定して引くと
正・逆共に正しく引けます
広まるまで時間がかかるのかな?とおもって既に3カ月
そんなもの?
No.34
No.35
ゾーン名が間違ってるか、ミスで権限委譲されていないのいずれかだと思う。
ゾーン名の記述はISPによって違うので注意。
No.36
ありがとう御座います
dig +traceで見てみたら順番に下がってきて ISPのセカンダリーが先に出てきて
最終的に自信はReceivedに出ていませんでした
ただ、DNS自信のIPを逆引きしたらちゃんと引けて出ました(IPは8つです)
>>35
の言うようにゾーン名が変だと思いISPの情報を色々と物色してみると(ISPはOCN)
こんなのを見つけました ttp://www.ocn.ad.jp/tw/dns_02.html
中には
# // ネットワークアドレス全て(4オクテット)を使ってゾーン名を設定します.
# zone "32.69.168.192.in-addr.arpa" in {
とあるんですが、
うちは
zone "69.168.192.in-addr.arpa" in {
となっていました、
ISPに出ているように
zone "32.69.168.192.in-addr.arpa" in {
に変更して dig @localhost で調べると
今度は自信の 32.69.168.192 以外が引けて
32.69.168.192 が引けなくなりました(契約はIP8)
色々と調べながら1時間ほどして
別のISPから当該DNSで管理しているメールサーバーのメールアドレスへ
メールしてみたら全く届かなくなっていたので
これはヤバイ!と思い取りあえず元に戻して寝ました(笑)
(元に戻したおかげで今は正常に届いています)
昼間は流石に触るのが怖いんで週末の夜中にこっそり続きやります
No.37
ゾーンファイルの中身はどうなってるの?
No.38
$TTL 86400
@ IN SOA ns.example.com. postmaster.example.com. (
1 ; Serial
10800 ; Refresh after 3 Hours
3600 ; Retry after 1 Hour
604800 ; Expire after 1 Week
86400 ) ; Minimum TTL of 1 Day
;
IN NS ns.example.com.
; Hosts
34 IN PTR ns.example.com.
35 IN PTR host1.example2.com.
36 IN PTR host1.example3.com.
37 IN PTR host1.example4.com.
38 IN PTR host1.example5.com.
No.39
■googleのDNS指定して逆引き したら
; <<>> DiG 9.5.0-P2.1 <<>> @8.8.8.8 -x 192.168.69.35
; (1 server found)
;; global options: printcmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NXDOMAIN, id: 3410
;; flags: qr rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 1, ADDITIONAL: 0
;; QUESTION SECTION:
;35.69.168.192.in-addr.arpa. IN PTR
;; ANSWER SECTION:
35.69.168.192.in-addr.arpa. 86400 IN CNAME 65.64.229.44.218.in-addr.arpa.
;; AUTHORITY SECTION:
69.168.192.in-addr.arpa. 3600 IN SOA ns.example.com. postmaster.example.com. 2010042341 3600 900 3600000 3600
■ dig +trace @8.8.8.8 -x 192.168.69.35 だと
; <<>> DiG 9.5.0-P2.1 <<>> +trace @8.8.8.8 -x 192.168.69.35
; (1 server found)
;; global options: printcmd
. 2625 IN NS l.root-servers.net.
(省略)
. 2625 IN NS d.root-servers.net.
;; Received 228 bytes from 8.8.8.8#53(8.8.8.8) in 54 ms
192.in-addr.arpa. 86400 IN NS NS4.APNIC.NET.
192.in-addr.arpa. 86400 IN NS NS3.APNIC.NET.
192.in-addr.arpa. 86400 IN NS NS-SEC.RIPE.NET.
192.in-addr.arpa. 86400 IN NS NS1.APNIC.NET.
192.in-addr.arpa. 86400 IN NS TINNIE.ARIN.NET.
;; Received 159 bytes from 128.8.10.90#53(d.root-servers.net) in 237 ms
;; connection timed out; no servers could be reached
No.40
35.69.168.192.in-addr.arpa. 86400 IN CNAME 65.64.229.44.218.in-addr.arpa.
訂正
35.69.168.192.in-addr.arpa. 86400 IN CNAME 35.69.168.192.in-addr.arpa.
ですw
No.41
;; Warning, ignoring invalid type race
; <<>> DiG 9.5.0-P2.1 <<>> -trace @localhost -x 192.168.69.35
; (1 server found)
;; global options: printcmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 26998
;; flags: qr aa rd ra; QUERY: 1, ANSWER: 2, AUTHORITY: 2, ADDITIONAL: 2
;; QUESTION SECTION:
;35.69.168.192.in-addr.arpa. IN PTR
;; ANSWER SECTION:
35.69.168.192.in-addr.arpa. 3600 IN PTR host1.example2.com.
;; AUTHORITY SECTION:
69.168.192.in-addr.arpa. 3600 IN NS ns.example.com.
;; ADDITIONAL SECTION:
ns.example.com. 3600 IN A 192.168.69.34
今気がついたんですけど、1行目の
;; Warning, ignoring invalid type race
ってのは・・・何かダメってことでしょうか
No.42
zone "32.69.168.192.in-addr.arpa" が正解だよ。
192.168.69.32の逆引きを設定したいのならば、ゾーンファイルに
@ IN PTR test.example.com.
を追加しとけばよい
ってか、ネットワークアドレスの 32 をホストで使用してるの?
No.43
>ってか、ネットワークアドレスの 32 をホストで使用してるの?
私も引き継いだ時にそうなっちゃってたんで
そのまんまなんですが
やっぱり不味いですよねぇ
そもそもIPアドレスベースで他で設定してあるものもあるらしく
勝手に変更するとPC側の設定でえらい事になりそうで
踏み出せずにいます
No.44
確かに、@ IN PTR test.example.com. で
ローカルでは32も引けるようになりました、たぶん大丈夫な気がします
ありがとう御座いました!!
ご指摘のようにネットワークアドレスのIPの事を考えると鬱になるんですけどねぇ…
元々の間違いの始まりはドメイン申請の時にNの営業さんが手配してたらしいんですけど
こんな設定にしてる為に凄く困ってることが他にもあるんですが、スレ違いなんでいいです(笑)
No.45
ルータによっては制約があるかもしれませんが、ネットワークアドレスや
ブロードキャストアドレスもNAT用であれば活用可能です。
混乱の元なのでアドレス足りてるなら使わないほうがよいですが。
No.46
キャッシュの情報が古い場合だけ設定元のDNS情報を参照しに行くと考えてOKでしょうか。
だとすれば、どこのアドレスからの参照で何時どのドメインを引いたか知りたいのですがログに残せないものでしょうか
No.47
利用者側の情報は設定された時間を経過すると消去されるので
再度設定元に問い合わせに行く。
ログは簡単に取れるよ。
ttp://www.atmarkit.co.jp/flinux/rensai/bind910/bind910a.html
No.48
No.49
これをサーバ名にするにはなにを修正すればいいのでしょうか?
教えて、エロい人!
> google.com
Server: 127.0.0.1 ←これをlocalhostしたい
Address: 127.0.0.1#53
Non-authoritative answer:
Name: google.com
Address: 66.249.89.104
Name: google.com
Address: 66.249.89.99
No.50
