5ちゃんねる ★スマホ版★ ■掲示板に戻る■ 全部 1- 最新50  

■ このスレッドは過去ログ倉庫に格納されています

Name Server 総合スレ【DNS】

1 :名無しさん@お腹いっぱい。:2008/11/26(水) 01:14:36
立ててみるだよもん

●主なオープンソース
BIND
ttps://www.isc.org/software/bind
djbdns
ttp://djbdns.qmail.jp/
NSD
ttp://www.nlnetlabs.nl/projects/nsd/
Unbound
ttp://unbound.net/

●規格
RFC1034, 1035
ttp://www.ietf.org/rfc/rfc1034.txt
ttp://www.ietf.org/rfc/rfc1035.txt

●アプライアンス
Nominum
ttp://www.nominum.com/
Infoblox
ttp://www.infoblox.co.jp/


2 :名無しさん@お腹いっぱい。:2008/11/26(水) 01:15:36
●関連スレ
djb(4)
http://pc11.2ch.net/test/read.cgi/unix/1148064021/
NSD - Name Server Daemon
http://pc11.2ch.net/test/read.cgi/unix/1092799781/
▲DHCPスレ
http://pc11.2ch.net/test/read.cgi/unix/997686566/
DNS (Domain Name System) 総合
http://pc11.2ch.net/test/read.cgi/network/1159978850/ (節穴注意)

●ついでに
ISC DHCP
ttps://www.isc.org/sw/dhcp
NIS
ttp://docs.sun.com/app/docs/doc/817-4911?l=Ja
NIS+
ttp://docs.sun.com/app/docs/doc/816-6236?l=Ja

Windows Server のDNSは省略だよもん


3 :名無しさん@お腹いっぱい。:2008/11/26(水) 01:27:49
ダイナミックDNSについて語りませんか?
http://pc11.2ch.net/test/read.cgi/hosting/1004200355/
?レンタルDNSサーバ
http://pc11.2ch.net/test/read.cgi/hosting/1018780116/
ダイナミックDNSについて語ろう Part6
http://pc11.2ch.net/test/read.cgi/mysv/1165262414/
DDNSサービスサーバ作ってみたわけだが(^_^;)
http://pc11.2ch.net/test/read.cgi/mysv/1095412433/
DDNSで自宅鯖やっている学生どもはクズが多い
http://pc11.2ch.net/test/read.cgi/mysv/1070173236/
DNSで使用しているプロトコルを教えてください。
http://pc11.2ch.net/test/read.cgi/hack/1017156027/
DNSプロトコルの脆弱性情報 漏洩する
http://pc11.2ch.net/test/read.cgi/sec/1216822395/
ISPのDNSのキャッシュ書き換え時間について
http://pc11.2ch.net/test/read.cgi/network/1007295804/
DNSって?
http://pc11.2ch.net/test/read.cgi/network/1000134177/
DNSの参照
http://pc11.2ch.net/test/read.cgi/network/1005205639/
DNSが落ちててもIPアドレスが知りたい
http://pc11.2ch.net/test/read.cgi/network/1010769515/
BIND8.2.2 for Win32 論争
http://pc11.2ch.net/test/read.cgi/network/978889967/
DNSの安全性をチェックするスレ
http://pc11.2ch.net/test/read.cgi/isp/1217057555/

ネタスレも含めて集めてみた

4 :名無しさん@お腹いっぱい。:2008/11/26(水) 01:30:41
あとdjbdnsはこっちが本家ね
ttp://cr.yp.to/djbdns.html

5 :名無しさん@お腹いっぱい。:2008/11/26(水) 01:54:07
乙だよもん

6 :名無しさん@お腹いっぱい。:2008/11/26(水) 07:35:37
ルートサーバーの中の人はおらんか?

7 :名無しさん@お腹いっぱい。:2008/11/27(木) 07:50:06
>>1
https ・・・?

ttp://www.isc.org/software/bind
じゃだめなん?

8 :名無しさん@お腹いっぱい。:2008/11/27(木) 16:47:21
PowerDNS ttp://www.powerdns.com/ はプロプライエタリ?

9 :名無しさん@お腹いっぱい。:2008/11/28(金) 15:18:01
djbdnsでDKIM設定をやろうとしてレコードに公開鍵を設定したけど
実際にtxtで引くと下の用に途中で切れてしまう。

gBhRpVI8v70VWZo8p1txrvO" "IKI7xOxRN5uxtuwkCAwEAAQ==\" \; ----- DKIM selecto

128バイト以上だと駄目なのかな?

10 :名無しさん@お腹いっぱい。:2008/11/28(金) 23:16:58
djbdnsだからなぁ・・・

11 :名無しさん@お腹いっぱい。:2008/11/30(日) 21:01:35
djbdnsのparseがおかしいのかな?
今更コード読む気もおきん...

12 :名無しさん@お腹いっぱい。:2008/12/03(水) 00:59:00
DHCPDのオプソ実装ってISCだけ?

13 :名無しさん@お腹いっぱい。:2008/12/03(水) 09:11:24
WIDE も作ってたよ。最近は開発止まってるみたいだけど。

14 :名無しさん@お腹いっぱい。:2008/12/04(木) 08:34:11
WIDE版にはよく泣かされました・・・

15 :名無しさん@お腹いっぱい。:2008/12/05(金) 23:37:35
bindiからbind9へバージョンアップをしようとしています
プライマリ/プロバイダのセカンダリ2台構成なのですが、今回はバージョンアップ
だけでゾーンファイル等の変更は行いません

プライマリバージョンアップ後の動作確認として基本的な動作確認はするのですが
実際にセカンダリにゾーン転送されるかって確認はしたほうがいいんでしょうか?

セカンダリはプロバイダ持ちなのでプライマリ所有ゾーンファイルのシリアル値を増やしてHUPし、
シリアル値が増えるのを確認するぐらいしかないのですが・・・・・


16 :名無しさん@お腹いっぱい。:2008/12/06(土) 19:15:39
>>15
しない方がいいと思える理由は?

17 :名無しさん@お腹いっぱい。:2008/12/08(月) 10:52:17
bindiって何?

18 :名無しさん@お腹いっぱい。:2008/12/11(木) 00:16:58
ビンディー!

19 :名無しさん@お腹いっぱい。:2008/12/17(水) 00:44:47
だよもん

20 :名無しさん@お腹いっぱい。:2008/12/26(金) 16:01:38
ぱにーに!

21 :名無しさん@お腹いっぱい。:2008/12/27(土) 11:40:08
NISをいまだに使っている人っている?
うち、まだNISを使っていてDNSへの変更を提案したら、
「今動いているものをなぜ変える必要があるんだ!」と言われた・・・。


22 :名無しさん@お腹いっぱい。:2008/12/27(土) 12:33:18
> 「今動いているものをなぜ変える必要があるんだ!」と言われた・・・。

君がなんで DNS に変えたがってるのかの説明ができてないだけかと

23 :名無しさん@お腹いっぱい。:2008/12/29(月) 20:26:15
Fri Sep 21 07:57:01 UTC 2007
meti.go.jp NS ns.osaka.spin.ad.jp
hqm-sdnsg01.meti.go.jp postmaster.meti.go.jp (2007091300 10800 3600 604800 300)
meti.go.jp NS ns2.iprevolution.co.jp
hqm-sdnsg01.meti.go.jp postmaster.meti.go.jp (2007091300 10800 3600 604800 300)
meti.go.jp NS hqm-sdnsg01.meti.go.jp
hqm-sdnsg01.meti.go.jp postmaster.meti.go.jp (2007022801 10800 3600 604800 300)
!!! hqm-sdnsg01.meti.go.jp and ns2.iprevolution.co.jp have different serial for meti.go.jp
meti.go.jp NS hqm-sdnsg02.meti.go.jp
hqm-sdnsg01.meti.go.jp postmaster.meti.go.jp (2007022801 10800 3600 604800 300)
meti.go.jp NS ndrs-sdnsg01.meti.go.jp
hqm-sdnsg01.meti.go.jp postmaster.meti.go.jp (2007091300 10800 3600 604800 300)
!!! ndrs-sdnsg01.meti.go.jp and hqm-sdnsg02.meti.go.jp have different serial for meti.go.jp

24 :名無しさん@お腹いっぱい。:2009/01/22(木) 01:33:02
今日はひどいね。。。
めんどいのでアタック系のアドレス前拒否で。
view "external" {
match-clients { any; !76.0.0.0; !66.0.0.0; };
match-destinations { any; };
recursion no;

25 :名無しさん@お腹いっぱい。:2009/01/22(木) 01:34:27
拒否ったのはいいが、66とか76とかってCN?

26 :名無しさん@お腹いっぱい。:2009/01/22(木) 01:35:31
おお!!squidセきゅでリピートカキコ

27 :名無しさん@お腹いっぱい。:2009/01/22(木) 01:38:20
なるほどね

28 :名無しさん@お腹いっぱい。:2009/01/22(木) 01:42:54
あっさりアタック系のアラートメール止まった。このままなら朝までにメールが10000通ペースだべさ
cn氏ね
idも市ね


29 :名無しさん@お腹いっぱい。:2009/01/22(木) 01:52:30
なんだ66.0.0.0も76.0.0.0も喜多籠めじゃん
追浜市ね
&串四ね

30 :名無しさん@お腹いっぱい。:2009/02/02(月) 10:19:27
とあるDNSサーバに設定されている1つのドメインの情報について、
外部から丸ごと、一覧で見る事って出来る?
例えば、2ch.net だったら、ns1.maido3.com から、ns1.maido3.com内の2ch.netに関するレコードを全部一覧で見る、みたいな。
説明下手でごめん…変なトコとかあったら指摘をお願い。


それともう一つ、DNSについて「ここが参考になった」「俺はここで勉強した」っていう
良さそうなサイトがあったら教えておくれ。

31 :名無しさん@お腹いっぱい。:2009/02/02(月) 12:06:36
>>30
昔はできた。 今はできないのが普通。


32 :名無しさん@お腹いっぱい。:2009/02/02(月) 12:41:06
>>31
ありがとう。
昔は出来たけど、ってのを元にぐぐって出てきた単語「ゾーン転送」辺りで調べたら
今はできないのが普通、って言葉の意味が良くわかった。

33 :名無しさん@お腹いっぱい。:2009/02/05(木) 20:09:57
VMwareにCentOS入れてDNS勉強始めたんですが、ローカルでの正引きができません

//
// named.caching-nameserver.conf
//
中略
// to create named.conf - edits to this file will be lost on
// caching-nameserver package upgrade.
//
options {
directory "/var/named";
};
zone "example.com" IN {
type master;
file "example.com.zone";
};

34 :名無しさん@お腹いっぱい。:2009/02/05(木) 20:11:24
$TTL 86400
@ IN SOA server1.example.com. test.example.com.(
2009020505 ; serial
3600 ; refresh 1hr
900 ; retry 15min
604800 ; expire 1w
86400 ; min 24hr
)
IN NS server1
server1 IN A 192.168.1.1
server2 IN A 192.168.1.2
server3 IN A 192.168.1.3
host IN A 192.168.1.4


書式とか間違ってますか・・・?
サーバ自身からドメインでpingすると、時間はかかりますが一応名前解決できています。
同一ネットワーク内のPCからだと失敗しますが・・・


35 :名無しさん@お腹いっぱい。:2009/02/05(木) 20:13:03
C:\Documents and Settings\@@@@>nslookup
DNS request timed out.
timeout was 2 seconds.
*** Can't find server name for address 192.168.1.1: Timed out
*** Default servers are not available
Default Server: UnKnown
Address: 192.168.1.1

> localhost
Server: UnKnown
Address: 192.168.1.1

DNS request timed out.
timeout was 2 seconds.
*** Request to UnKnown timed-out
> server1.example.com
Server: UnKnown
Address: 192.168.1.1

ipaddressでのpingは相互に成功しますがこっちはダメでした

36 :名無しさん@お腹いっぱい。:2009/02/05(木) 20:32:12
>>33
VMware hostOSのWindowsとguestOS上のCentOSとの通信はローカルというのか?

pingは通るんなら、UDPのフィルタとかじゃね?

37 :名無しさん@お腹いっぱい。:2009/02/05(木) 20:42:28
>>36
Hostonlyモードです
53番ポートが何かダメって可能性もありますね。フィルタと合わせて試してみます

38 :名無しさん@お腹いっぱい。:2009/02/06(金) 09:35:58
.confでlocalhost以外からの問い合わせは許可してる?


39 :名無しさん@お腹いっぱい。:2009/02/07(土) 13:13:01
すまん、どこで聞いたらいいかわからなかったんで優しいお前らに質問させてくれ
レジストリに登録してあるドメイン情報の中のDNSサーバについてなんだけれども

name1.com(222.222.222.222) というドメインを所有し、
専用サーバ会社のサーバを借りて運用しているとして、これのDNSサーバとして下の2つを使いたい
○ 専用サーバ会社のDNSサーバ、 test2.sen-you.com(111.111.111.111)
○ 自分のサーバ、name1.com(222.222.222.222)ns.name1.comの別名アリ
※test2.sen-you.com は name1.com からゾーン転送でname1.comと同じDNS情報を持っている

こういうとき、レジストリへのDNSサーバの登録って、どうすれば良いんだろう?
ns1.name1.com や name1.com をDNSサーバとして、そのままの名前で登録しちゃうとループする気がして。

わかり辛くてすまんが教えてくれ

40 :名無しさん@お腹いっぱい。:2009/02/07(土) 15:10:26
>>39
ドメイン名にAレコードつけるのなんかかやめちまえ

ドメイン名のサンプルにはexample.comとかexample.jpを使えと何度言われたら(ry

41 :名無しさん@お腹いっぱい。:2009/02/07(土) 15:16:23
当該所有組織の中の人かもね!

42 :名無しさん@お腹いっぱい。:2009/02/07(土) 15:17:39
>>39
1. name1.com の ネームサーバとして ns1.name1.com, ns2.name1.com を登録する
2. ns1.name1.com の IP アドレスとして 222.222.222.222
ns2.name1.com の IP アドレスとして 111.111.111.111
を登録する
3. name1.com のゾーン情報でゾーン自体に A レコードを書いて 222.222.222.222 を書く
4. test2.sen-you.com の IPアドレスが変わるとホスティング屋に言われたら
ns2.name1.com の登録情報を変更する
以上


43 :名無しさん@お腹いっぱい。:2009/02/07(土) 18:32:49
>>39
name1.com のゾーンを登録しているサーバーは以下の通り。

name1.com. 86236 IN NS c.ns.joker.com.
name1.com. 86236 IN NS a.ns.joker.com.
name1.com. 86236 IN NS b.ns.joker.com.

sen-you.com についてはまだドメイン登録されていないようです。

44 :39:2009/02/07(土) 20:43:09
なんだかんだで相手をしてくれるお前らはやっぱり優しいな

>>40
すまん・・・クセでつい。次からそうするよ。

>>42
専用サーバ会社のDNS、test2.example.com(変えた)を
自分のDNSサーバ、 example.jp(これも変えた)にns2として登録する意味はなに?
そんな事をしても、
1. test2.example.com (111.111.111.111)
2. ns1.example.jp (222.222.222.222)
3. ns2.example.jp (111.111.111.111)
上の3つをレジストリに登録した場合、1.だけ他のドメインから名前解決されて
他の2つ、2.と3.は名前解決出来ずにループしない?

ns1.example.jpはどこ => example.jp の配下だからexample.jpのDNSに聞こう =>
 => example.jpのDNSはどこ => ns1.exampleだ => ns1.exampleはどこ => 以下ループ
でもこう考えていくと、どんなホスト名も解決出来なくなる気がしてならない。

>>41,>>43
name1.comの中の人すまんwwwww

45 :名無しさん@お腹いっぱい。:2009/02/07(土) 21:10:40
ループ?
運用に関わるなら最低限の勉強してこい

46 :名無しさん@お腹いっぱい。:2009/02/07(土) 22:17:32
>>44
>>45氏の言うとおり、もう少し勉強してからやった方が良いぜ。
そんな知識で実際に運用されたらかなわん。

問い:ns1.example.jp の IP がワカラン。 example.jp のゾーン情報を持っているのはどのホストだ?
この問いかけを ns1.example.jp に投げる事が出来たら神だろ。

example.jp ゾーンのネームサーバー名を問い合わせる先は ns1.example.jp ではないという事だ。

47 :39=44:2009/02/08(日) 01:32:02
>>46
んだよな。
だからこれまではexample.jpにゾーン情報書いて外部ドメインのDNSサーバへのゾーン転送許可して、
レジストリには外部ドメインのDNSサーバだけ登録してたんだけど…

whoisで見たら某ホスティング会社のDNSサーバと自ドメインのサーバのみを登録してる所があってな。
そんなんアリなのかよオイ、と思って聞いてみたんだ。
みんなd、もっと勉強してくる。

48 :名無しさん@お腹いっぱい。:2009/02/09(月) 01:35:58
>>44
>自分のDNSサーバ、 example.jp(これも変えた)にns2として登録する意味はなに?
メリット:余計な再帰的名前参照が発生しない / ドメインハイジャックの危険性の低減
(後者については http://www.e-ontap.com/summary/ が参考になるやも)
デメリット:プロバイダのDNSコンテンツサーバのIPアドレス変更がユーザに告知されずに行われたら悲惨

その例なら1. の test2.example.com を登録する必要はない


49 :名無しさん@お腹いっぱい。:2009/02/09(月) 20:08:28
DNS cache poisoning のアタックが鬱陶しいし、Logが肥大化してうざい。
何か、対策してます?

私の環境は、CentOS5 です。
何か、書かないと無理だろうなぁ・・・


50 :名無しさん@お腹いっぱい。:2009/02/09(月) 20:31:32
その前で止めればいいよ

51 :名無しさん@お腹いっぱい。:2009/02/20(金) 11:17:33
うろ覚えなんだけど、公開してるドメインを入力すると、
DNSの設定吸い上げて問題点指摘してくれるところがあった。
Another HTML-lintのDNS版みたいな感じ。
今探しなおしても出てこないんだけど、どこかにそういうサイトないかな?


52 :名無しさん@お腹いっぱい。:2009/02/20(金) 11:46:17
細かいチェックは有償になってしまったけど
http://member.dnsstuff.com/pages/dnsreport.php

53 :名無しさん@お腹いっぱい。:2009/02/20(金) 16:32:46
>>52
とんくす。
昔見たのも、多分このDNSReportだと思う。
21日の間にキャンセルすれば無料なんだけど、キャンセル前提でもクレジット番号送らないといけない。
そこに抵抗なければ使えるかな。
万が一請求来たら報告するw


54 :名無しさん@お腹いっぱい。:2009/02/20(金) 23:09:02
>>53
ttp://vidmar.net/weblog/archive/2008/03/23/free-dns-report-alternatives.aspx

55 :55:2009/02/27(金) 14:50:20
http://www.zoneedit.com/signup.html

上のURLから、無料ネームサーバー登録で、
[Sign Up Now]を押したが1時間たってもメールが届かないのです。
ちなみに、あるレンタルで再販するために、
このフリーネームサーバーを利用していました。
登録ごとに異なるアドレスを使い、yahoo.co.jpなどでも試してみたが、
パスワードが送られてこないのです。
本日になってzoneeditからメールが届かないという状況になりました。
理由だれか知ってますか。教えてほしいのです。ねらー様

56 :名無しさん@お腹いっぱい。:2009/02/27(金) 14:56:15
>>55
誰か教えてやれよ

57 :55:2009/02/27(金) 17:23:57
メールはリアルタイムに送られてくるに決まっているのにメールがすぐに届かないのはおかしいです!

58 :名無しさん@お腹いっぱい。:2009/02/27(金) 17:32:33
>>55-57
自演までして業者必死だな。

59 :名無しさん@お腹いっぱい。:2009/02/27(金) 17:35:36
そこにといあわせればいいのい

60 :55:2009/02/27(金) 20:31:28
>>57-58
上は同一人物です。自演に文句いうために無理に自身で自演している・・

zoneeditに問い合わせてみた!
すると、数時間後に、「再度Sign Upを試してください」
と連絡があっただけでした。
しかし、その後、プロキシーしてみたり、別ドメインを使用してみたが、
メールが届かないのです。完了画面は出るのですけどね。
もちろんスパム判定されたわけでもない。そういうの使ってないメールで試したから。
ちょっと誰かテストしてみてくれますか。
ここネームサーバーお助けスレですよね(⌒∇⌒)


61 :57:2009/02/27(金) 20:48:50
>ここネームサーバーお助けスレですよね(⌒∇⌒)

どうやって煽ればいいのかわからないです><

62 :名無しさん@お腹いっぱい。:2009/02/27(金) 21:14:54
>?ここネームサーバーお助けスレですよね(⌒∇⌒)

! この板はそういう意味の板だったのかw

63 :名無しさん@お腹いっぱい。:2009/02/27(金) 21:16:54
商売するのに自前のコントロールができないのを使うなんて
馬鹿なの?死ぬの?

64 :名無しさん@お腹いっぱい。:2009/02/27(金) 22:17:50
きっと頭はすでに死んでいるんだよ
死んでいるからまともに考えることができなくてバカをやる

65 :名無しさん@お腹いっぱい。:2009/02/27(金) 22:27:01
なんなら英語堪能な俺が問い合わせてやろうか?

66 :55:2009/02/27(金) 23:16:31
>>65

頼む神の65様よ!
ちなみにプロキシーにして、今までと別のドメインのE-mailで
申し込んでもメールが来なかった。
Free トライアルで[Sign Up Now]を押しましたが駄目でした。
ちなみにその後、メールを出してみたが、時間的な問題かまだ、返事なし。
ttp://www.zoneedit.com/signup.html

67 :55:2009/02/27(金) 23:46:00
普通ならメールは申込み完了と同時にリアルタイムで来るのですが、
来ないのです。
ちなみに申し込んだ後の完了画面にサポートのE-mailが記述されています。

68 :名無しさん@お腹いっぱい。:2009/02/28(土) 00:51:46
板違い。

69 :55:2009/02/28(土) 01:12:51
既違いではない!

Did you use any foreign characters in the email address?
Please check your junk mail filters, or try signing up using a different email.

上のメールがzoneeditより届いた。
スパムフィルターがどうとかってこと?
でも今、もう一回同じメールで申し込んだらメール届きました。
一時的にzoneeditのサーバーが重くなって不具合を招いていたようです。
しかし、不具合があったときに登録したものは、返事が来なかったです。
こういうこともあるのですね。
zoneeditでこういう情報ほかに見当たらないから、このスレzoneedit使用する人に重宝されるよ\(o⌒∇⌒o)/

70 :55:2009/02/28(土) 01:16:55
あ〜あ、zoneeditからメール来なかったとき、
21domainの有料ネームサーバ申し込んで損しちゃったよ。
ねら〜君がいい情報くれると期待して書き込んだのに・・

71 :名無しさん@お腹いっぱい。:2009/02/28(土) 01:22:45
       ::                .|ミ|
        ::               .|ミ|           ::::::::
         :::::     ____ |ミ|          ::::
           :: ,. -'"´      `¨ー 、       ::
   ::        /   ,,.-'"      ヽ  ヽ、    ::
   ::     ,,.-'"_  r‐'"     ,,.-'"`     ヽ、 ::
   ::   /    ヾ (    _,,.-='==-、ヽ         ヽ、
   ::   i へ___ ヽゝ=-'"/    _,,>         ヽ      ←>>55
   ::   ./ /  > ='''"  ̄ ̄ ̄               ヽ
  ::   / .<_ ノ''"       ヽ               i
  ::   /    i   人_   ノ              .l
  ::  ,'     ' ,_,,ノエエエェェ了               /
    i       じエ='='='" ',              / ::
    ',       (___,,..----U             / ::
     ヽ、         __,,.. --------------i-'"  ::
      ヽ、_   __ -_'"--''"ニニニニニニニニヽ   ::
         `¨i三彡--''"´              ヽ  ::

72 :名無しさん@お腹いっぱい。:2009/02/28(土) 05:19:01
飛んだスレ荒らしだなこりゃ、
と自分で書いてみる

73 :名無しさん@お腹いっぱい。:2009/02/28(土) 08:38:52
うに板でなく、レン鯖板の話題だからみんなスルーしただけ

74 :名無しさん@お腹いっぱい。:2009/02/28(土) 11:55:52
有識者に伺いたい。
bind9でプライベートアドレスの逆引き要求は、上位DNSサーバに転送しない設定って、
ゾーンファイル書く以外に方法ありませんでしょうか?

YAMAHAルータだと設定1行でいけるっぽいんですが・・・。
ttp://www.rtpro.yamaha.co.jp/RT/FAQ/TCPIP/blackhole-isi-edu.html

dns private address spoof on

よろしくお願いします


75 :名無しさん@お腹いっぱい。:2009/02/28(土) 13:03:55
>>74
10/8,172.16/16〜172.32/16,192.168/16の18個書けばいいんだから
18行書けばいいんじゃないの。ゾーンファイルは全部兼用できるわけだし。

unboundやPowerDNS-recursorは同様に上位に送らず自前で処理してしまう定義が書ける。


76 :名無しさん@お腹いっぱい。:2009/02/28(土) 13:16:02
169.254/16も必要だから19行か

77 :名無しさん@お腹いっぱい。:2009/02/28(土) 13:42:39
192.0.2/24は?

78 :名無しさん@お腹いっぱい。:2009/02/28(土) 13:56:54
DNS (Domain Name System) 総合
http://pc11.2ch.net/test/read.cgi/network/1159978850/l50


79 :名無しさん@お腹いっぱい。:2009/02/28(土) 14:53:42
>>77,76
やっぱり書きますか。ゾーンファイルに追加するのは、運用上
厳しかったのですが、その方向で検討します。

>>78
そちらには昨日おじゃまさせていただいておりました。。。


80 :名無しさん@お腹いっぱい。:2009/02/28(土) 17:20:32
コンテンツサーバとリゾルバサーバのIPアドレスを分けたらいいんじゃない?
クライアントマシンのアドレス割り当てをDHCPでやってるなら
DHCPの台帳側をかきかえれて新しいリゾルバサーバを見に行かせるようにすればばいいし、
固定アドレス割り振りのマシンが多くてそうも行かないならコンテンツサーバ側をリナンバすればいい。

とりあえずas122.netで提供されているやつをインターネットにながさなければいいと思うので>>75-76と書いた。
もう少し偏執的に書くならRFC3330に書かれているやつのうちのいくつかを加える必要があるかな。


81 :名無しさん@お腹いっぱい。:2009/03/13(金) 15:48:57
ちなみにこの設定をすると名前解決でもたつく事が無くなり、
場合によっては、色々な応答性があがる。

問い合わせに応答しない設定で待たせていたりするくらいなら
でっち上げておいたほうがいい。



82 :51:2009/03/30(月) 22:27:09
帰宅したら、クレジットの請求にDNSReportが混じってた。
明日ゴルァせねば。
時々メール来るのは無視できるけどこれはまずい。


83 :名無しさん@お腹いっぱい。:2009/04/21(火) 10:03:12
最近unix(solaris10)を利用し始めた初心者です。

dnsを利用して、グーグルなどから検索をしようとしています。
Windowsから調べたところ、dnsサーバーがルータと同じIPになっていました。
そこで、unixの設定ファイル/etc/resolv.confに、
nameserver xx.xx.xx.xx
と記入して再起動しました。
ところが、利用できていないみたいなのです。
IPで指定するとグーグルやほかのサイトには逝けるのですが、サーバー名だとエラーになります。
また、ドメインは取得していません。

どのような設定がひつようなのでしょうか?
bindと呼ばれるDNSサーバー?はインストールしなければ行けないものなのでしょうか?

お手数ですがよろしくお願いします。

84 :名無しさん@お腹いっぱい。:2009/04/21(火) 11:18:56
ttp://moin.qmail.jp/DNS

85 :名無しさん@お腹いっぱい。:2009/04/21(火) 12:15:20
BINDはインストールしなくていい。

86 :名無しさん@お腹いっぱい。:2009/04/21(火) 17:23:54
>>83
bind はいらん。/etc/nsswitch.conf を適切に設定しろ。
name server は関係ないから Solaris 系のスレに行け。
というか「solaris 10 resolv.conf」でググれ。

87 :名無しさん@お腹いっぱい。:2009/04/29(水) 07:34:26
mxに関してだけど、優先度の低い鯖に配送されるのって優先度が
高い鯖がダウンしてる以外の条件って何かある?
新しい鯖に移行しようと思って構築中なんだけどmxを低めに
設定しておいたらたまに構築中の新鯖に配送される物があるんだよね

88 :名無しさん@お腹いっぱい。:2009/04/29(水) 08:29:26
>>87
SPAMツールは優先順位に関係なく送ってるようで、
プライマリなmxが生きてる状態ではセカンダリにはSPAMばっかりやってくる。

89 :名無しさん@お腹いっぱい。:2009/04/29(水) 13:31:03
sendmailとか、ロードアベレージが一定以上だと「今はダメ」とか返事する
機能なかったっけ?

90 :87:2009/04/30(木) 14:19:41
なるほど。そうやってロードバランシングに使う訳ね。
いつも単体で構築してたから気にもしていなかったよ。
うちの状況はまさに>>88な状況だった。ちょっと調べたら今のpostfixは
順番にmxなめていって最初にsmtp喋る奴を見つけたら配送失敗しようと
終わりにするような実装になっているけど、今後の実装で挙動が変わりそうな
記述があった。ってことは他の実装では配送成功するまでmxなめる場合もある
ってことかな。いないユーザをプライマリではねていてもセカンダリで
受け入れると>>88みたいな状況になるのでは。うちの構成は今はプライマリが
postfix、セカンダリがqmail(いないユーザの分も受け取る)だから・・・。

91 :名無しさん@お腹いっぱい。:2009/04/30(木) 16:33:22
セカンダリ MX にフォールバックするのは、そもそも接続できないか、
接続していきなりエラー応答が返ってきたときだけ。

>いないユーザをプライマリではねていても

これはある程度 SMTP セッションが進んだ後でのエラーになるので、
セカンダリ MX にはいかない。

つーか DNS 関係ない。

92 :名無しさん@お腹いっぱい。:2009/06/06(土) 11:26:22
LAN内に構築した内部向けDNSサーバを Port 5353 で listen して運用したいと考えていますが、
LAN内クライアント(Linux PC)に、内部向けDNSサーバの Port 5353 に対してDNS問い合わせを
行わせる設定の方法が分かりません。

そもそも、LAN内クライアント(Linux PC)のリゾルバ設定で、Dest Port を変更することって
できるんでしょうか?

93 :名無しさん@お腹いっぱい。:2009/06/06(土) 14:06:59
digだとできるけど、resolv.confなどではできないとか。

resolv.conf option for nameserver with specific port number
ttps://lists.isc.org/pipermail/bind-users/2007-May/thread.html

5353はmDNSのポート番号か。

94 :名無しさん@お腹いっぱい。:2009/06/06(土) 14:16:19
>>92
MacOS X だと man 5 resolver にこんな風に書いてありました。

The address may optionally have a trailing dot followed by a port number.
For example, 10.0.0.17.55 specifies that the nameserver at 10.0.0.17 uses port 55.


95 :名無しさん@お腹いっぱい。:2009/06/06(土) 14:17:49
>>92
参照するクライアントのservicesファイルのDNSポートを書き換えてやればよくね?
http://www.linux.or.jp/JM/html/LDP_man-pages/man5/services.5.html

とはいえ、作業漏れやらあとでそんなことしたこと忘れて大騒ぎの原因に
なりそうだからお勧めはしないけどねぇ〜w

96 :名無しさん@お腹いっぱい。:2009/06/06(土) 14:26:16
services を NISでバラ撒けば問題は緩和される。

97 :名無しさん@お腹いっぱい。:2009/06/06(土) 14:28:11
>>92
なぜ Port53 で運用しないのかが気になる。

98 :名無しさん@お腹いっぱい。:2009/06/06(土) 14:47:29
>>92です。色々レスありがとうございます。

>>93
dig は -p オプションでポート指定可能なようですね。

>>94
172.51.31.10:5353 とか 172.51.31.10.5353 とか
試したんですが、Linux(CentOS)では無理でした。

>>95
/etc/services で53を5353に書き換えると、
Slave DNS にDNS問い合わせをするようなケースでも
5353ポートに問い合わせてしまうので、断念した経緯があります。
# Slave DNS は53ポートで運用中なのです…。

>>97
それはズバリ、そのサーバでは既に別の named が53ポートで
稼働中だからですw

99 :名無しさん@お腹いっぱい。:2009/06/06(土) 14:56:54
>>98
ListenするIPを限定すれば、
同じホストで同じ53portで、2つ以上のDNSサーバーを起動できるだろ。

100 :名無しさん@お腹いっぱい。:2009/06/06(土) 15:28:35
>>98
なぁ〜んか、「僕ってすごいことやってるでしょ、でも難しくって・・・てへっw」臭がするんだが、
見当違いなことしてねえか?


スプリットDNSって知ってるか・・・?

101 :名無しさん@お腹いっぱい。:2009/06/06(土) 15:58:28
bind9とかなら普通にzoneごとのallow-hogeでどーにでもなる話な気がする。

102 :名無しさん@お腹いっぱい。:2009/06/06(土) 16:24:45
>>92です。レスありがとうございます。

>>99-101
おっしゃる通り、そのような解決方法はいくつか考えられますが、
今回はクライアント(Linux PC)側のリゾルバ設定で Dest Port って
変更できるのかな、と思い質問してみました。

で、基本的には無理ということが分かりました。

多くの named で Listen するポートを指定できるのに、Linuxクライアント側で
DNS問い合わせの Port を指定できないのはちょっと意外でした。
MacOS X では簡単みたいでうらやましいw

DNSサーバ側の対応として現在考えているのは、

・iptables で特定ホストからのポートをリダイレクトする
・view で特定ホストの forwarders を 127.0.0.1:5353する(BIND 9 が動いてますので)

iptablesでうまくいくことは確認しました。
view の方も、特定ホストの数が多くなっても acl を使用すれば
シンプルに管理できそうです。

以上、ありがとうございました。

103 :名無しさん@お腹いっぱい。:2009/06/06(土) 16:32:56
>>102
Listen するポートを指定するんじゃなくて、
Listen する IPを指定するの。
(外向きIPと内向きIPね)

で、複数のnamedが(異なるIPの) 53番を Listenする。

クライアント側は何も変更なし。

104 :名無しさん@お腹いっぱい。:2009/06/06(土) 17:23:30
>>103
件のサーバで動かす named は両方とも内向き用です。
搭載 NIC は1つです。

105 :名無しさん@お腹いっぱい。:2009/06/06(土) 17:27:31
>>104
搭載 NIC 1つでも IP alias できるだろ。知らないのかw

106 :名無しさん@お腹いっぱい。:2009/06/06(土) 17:31:53
>>99 がすでに最適解を書いてるのに、

「NICが1つだとできない」って思い込んでる人には馬の耳に念仏。

107 :名無しさん@お腹いっぱい。:2009/06/06(土) 17:39:55
>>105
IP alias は知っていますが、ただ単にポリシー的に IP alias が不可能な環境です。

>>106
>>99
馬の耳に念仏というか、Listen する IP を限定できない named です。

108 :名無しさん@お腹いっぱい。:2009/06/06(土) 17:51:28
ここでSPLIT DNSだとかIPエイリアスだとか、微妙な知識ひけらかしてる奴らいるけど恥しくねーの?
会社でもその調子? それとも学生かなんか?

109 :名無しさん@お腹いっぱい。:2009/06/06(土) 17:52:58
BIND9じゃないのか?

110 :名無しさん@お腹いっぱい。:2009/06/06(土) 17:59:07
なんか数人エスパーが紛れ込んでる模様

111 :名無しさん@お腹いっぱい。:2009/06/06(土) 18:39:46
現行のDNSソフトで、listenするIPアドレスを限定できないものって何? そんなのあるの?

112 :名無しさん@お腹いっぱい。:2009/06/06(土) 19:44:09
>>107
× Listen する IP を限定できない named です。
○ Listen する IP を限定する方法を知らない named です。

113 :名無しさん@お腹いっぱい。:2009/06/06(土) 20:05:43
>>98

「既に Port53 を使っているから」 はわかる。
というかそれが前提だろ?

だから、なぜ同一LANに対して1つの計算機で2つのDNSサーバーを立ち上げる必要があるのか?
という疑問が湧くのだ。

特に、
>/etc/services で53を5353に書き換えると
意味がサッパリわからんのだが・・・

目指す環境ややりたい事がわかれば、解決策はいろいろ有ると思うんだよ。

唐突にクライアントからサーバーのポートを指定できるのか?
と思いついたのなら、それはまた別問題ではあるけどね。

114 :名無しさん@お腹いっぱい。:2009/06/06(土) 20:40:43
>>108でファビョった時点でもうだめ。
はい次。

115 :名無しさん@お腹いっぱい。:2009/06/07(日) 00:40:01
とはいえ>>100>>106に虫酸が走ったのは俺だけではないハズ

116 :名無しさん@お腹いっぱい。:2009/06/07(日) 05:20:36
>>115
非合理な仕様にアレルギーが無い方なのですねw

117 :名無しさん@お腹いっぱい。:2009/06/07(日) 08:59:01
>>107
×IP alias は知っていますが、ただ単にポリシー的に IP alias が不可能な環境です
○IP alias は今聞いて思い出しましたが、自分のスキル的に IP alias が不可能な状況です

118 :名無しさん@お腹いっぱい。:2009/06/07(日) 14:25:47
53で動いてるやつにさわれるならBIND9でviewなんちゃらとか使うのが一番楽じゃない?

119 :名無しさん@お腹いっぱい。:2009/06/07(日) 19:51:38
最初の頭悪そうな質問で予想してたがやっぱり無能なバカだったか

120 :sage:2009/06/10(水) 10:06:53
>>119
どうやったら自分の尊厳を保ったまま話を収束できるか、そういうことに
心血を注いでいた時期がオレにもありました

121 :名無しさん@お腹いっぱい。:2009/06/10(水) 10:54:26
名前解決はシンプルに行け。hosts配ればいいんだよタコ  

って向こうは言って無いけど、
そういうことを平気でするIT土方共にひどい目に合わされてます。
どうしたらよいですか。

122 :名無しさん@お腹いっぱい。:2009/06/11(木) 20:04:02
よくわかってない技術は後で困るといけないからと多数のクライアントに
固定IPアドレスの手動設定をさせてまわる低能IT土方もいるよ
もちろんサーバへのアクセスはIPアドレス指定で

>>120
質問者乙と言えばいいのかな
内容を理解せず端的な作業手順をなぞる程度の能力でしかないのに
自分は出来ると誤解してる底辺土方って居ない方がましだと思う

123 :名無しさん@お腹いっぱい。:2009/06/12(金) 01:18:06
土方より現場監督クラスに昇格しても奴隷をこき使うだけだからなぁ。イヤダイヤダ

一人で50台管理しながら手間なコードも書いてる。 まあ、英国式の教育を受けた
家政婦ならあたりまえw

124 :名無しさん@お腹いっぱい。:2009/06/12(金) 11:57:21
>>122
>内容を理解せず端的な作業手順をなぞる程度の能力でしかないのに
>自分は出来ると誤解してる底辺土方って居ない方がましだと思う

これはひどい自己紹介w

125 :名無しさん@お腹いっぱい。:2009/06/12(金) 13:50:53
他所でやれや

126 :名無しさん@お腹いっぱい。:2009/06/22(月) 23:27:40
最近サブアロケーションの逆引きゾーンに対し
サブアロケーションされたかたちではなく直接4オクテットを逆順にしたクエリーが来るのが散見されるのですが
(自分で権威を持っていないゾーンへのクエリーと扱われて deny するログが残る。こちらは bind9.5か9.6)
どう言ったフルリゾルバがこのようなクエリーを出すのか情報をお持ちの方はいませんか


127 :名無しさん@お腹いっぱい。:2009/06/23(火) 23:43:03
NSが糞だとか

128 :名無しさん@お腹いっぱい。:2009/06/26(金) 23:49:21
サブアロケーションしている親のネームサーバーが設定ミスってるとか

129 :名無しさん@お腹いっぱい。:2009/06/30(火) 01:26:38
アフォにアフォと言っても判って貰えないのはDNS管理をやってればすぐ気がつくことだ。

130 :質問:2009/07/07(火) 18:59:16
セカンダリDNS(Bind 9.2,solaris9)を運用しています。
named.confでは特にmax-refresh-time,min-refresh-time,max-retry-time,min-retry-time
などの設定はしていません。
あるドメインのSOAをrefresh 15m retry 10m expired 3hとして、
ゾーン転送がきちんと出来ていることを確認(セカンダリDNSにゾーンファイルが出来ている)した後で、
わざとプライマリDNSからのゾーン転送ができないようにしました。

namedをkill -hupで再起動したあとでログをずっと見ていると、
最初に zone xxx expiredがでたと、
その後、ずっとtransfer of xxx : time outのエラーが5分前後で8回、
その後5時間前後で同じエラーが現在まで18回繰り返されていました。

私の考えならば、kill -hupでexpiredであることを知り、
その後はretry 10mにしたがって10分ごとにゾーン転送を試みて
(=time outのエラーがでる)、10分×18回retry後、
expireとなってそれ以降ゾーン転送は実施しない(=エラーも出ない)と思うのですが、
エラーログから考えるとそのような動きではないようです。

retryについて指定した時間よりも短い間隔で行ったり、3時間を越えてもなおretryを
試すのはどうしてでしょうか?

bindのdocumentationやbind&dnsには載っていなくて困っています。





131 :名無しさん@お腹いっぱい。:2009/07/07(火) 23:42:14
http://www.atmarkit.co.jp/fnetwork/dnstips/014.html

expiredになってもゾーン転送を試みる。
expiredになったら、コンテンツとしてゾーンを返さなくなる。

132 :名無しさん@お腹いっぱい。:2009/07/08(水) 00:20:32
expireになったら持っているゾーン情報を無効にして、さらにゾーン転送
も試さなくなると本(BIND&DNSだったかも)に書いていましたが、どうなんでしょうか?

133 :名無しさん@お腹いっぱい。:2009/07/08(水) 11:59:50
>>132
では、ゾーン転送を試させるにはどのような処理を行えばよいのでしょうか?

134 :名無しさん@お腹いっぱい。:2009/07/08(水) 17:59:05
質問です。
LAN内のクライアントのためのキャッシュサーバーを立てる時、
クライアントからの AAAAレコードの問い合わせは一切 forwardしないで、
すぐにヌルデーターを返答するにはどうすればいいですか?
(その後、クライアントがすぐにAレコードを引きなおしてくれることを想定しています)

135 :名無しさん@お腹いっぱい。:2009/07/08(水) 18:56:43
>>133
本では、
expire後、セカンダリDNSからゾーン転送をさせるためにはnamedの再起動が必要と書いていました。


136 :名無しさん@お腹いっぱい。:2009/07/08(水) 19:01:07
>>134
named を 「-4」 オプション付で起動したら駄目なの?


137 :名無しさん@お腹いっぱい。:2009/07/08(水) 19:18:46
>>136
はい、駄目です。

-4 は、問い合わせのための通信をIPv4のみで行なうというだけで、
AAAAレコードの問い合わせとはまた別の話です。
よって、-4を付けても何の解決にもなりません。

引続き、わかる方、お願いします。


138 :名無しさん@お腹いっぱい。:2009/07/08(水) 19:33:58
>>134

             「 ̄ `ヽ、   ______
             L -‐ '´  ̄ `ヽ- 、   〉
          /           ヽ\ /
        //  /  /      ヽヽ ヽ〈
        ヽ、レ! {  ム-t ハ li 、 i i  }ト、
         ハN | lヽ八l ヽjハVヽ、i j/ l !
         /ハ. l ヽk== , r= 、ノルl lL」
        ヽN、ハ l   ┌‐┐   ゙l ノl l
           ヽトjヽ、 ヽ_ノ   ノ//レ′
    r777777777tノ` ー r ´フ/′
   j´ニゝ        l|ヽ  _/`\
   〈 ‐ 知ってるが lト、 /   〃ゝ、
   〈、ネ..         .lF V=="/ イl.
   ト |お前の態度が とニヽ二/  l
   ヽ.|l         〈ー-   ! `ヽ.   l
      |l気に入らない lトニ、_ノ     ヾ、!
      |l__________l|   \    ソ


139 :名無しさん@お腹いっぱい。:2009/07/08(水) 19:50:02
>>138 は知らないな。

140 :名無しさん@お腹いっぱい。:2009/07/08(水) 23:31:58
OSのipv6をとめろ

141 :名無しさん@お腹いっぱい。:2009/07/08(水) 23:36:49
>>140
だから、ipv6は関係ないって。OSのipv6を止めてもAAAAは問い合わせされる。

142 :名無しさん@お腹いっぱい。:2009/07/09(木) 00:07:11
>>141
そりゃそうだ

143 :名無しさん@お腹いっぱい。:2009/07/09(木) 00:25:54
質問者はtransportのIPv6と、クエリ対象レコードのIPv6を区別できてるのに
回答者は区別できてない奴が多いな。

で、もとの話題の戻ると、
・・・わからん、すまん。

144 :名無しさん@お腹いっぱい。:2009/07/09(木) 09:40:17
v6のこと、よくわかってないから的外れなこと言ってたら優しく指摘してよ。
v4でインターネットに繋がっていないLAN内だけのDNSを立てるとき
ルートサーバーとして設定してたじゃない。
それと同じようにv6のルートサーバーにすればいいんじゃないのではございませんか。


145 :144:2009/07/09(木) 10:11:37
ああ、これじゃだめですね。


146 :名無しさん@お腹いっぱい。:2009/07/09(木) 20:13:56
>>134
既存のプログラムを改造してそういうフルリゾルバを作ってやるしかないのでは。
大技としてAAAA他最近の拡張されたクエリーを理解できないくらい古いBINDを
フルリゾルバとして使うというのも考えられるけれど副作用が大きすぎる。

そもそもなんでそんなことしたいの?


147 :名無しさん@お腹いっぱい。:2009/07/29(水) 20:00:08
Bindにセキュリティホールだって
http://jprs.jp/tech/security/bind9-vuln-dynamic-update.html

148 :名無しさん@お腹いっぱい。:2009/07/29(水) 21:26:46
>>147
あらゆるプライマリサーバが脆弱性の対象か・・・
思ったより深刻なセキュリティホールだな。

149 :名無しさん@お腹いっぱい。:2009/07/29(水) 22:13:30
iptablesのworkaroundが書いてあったけど
何やってるのかワケワカメ~

150 :名無しさん@お腹いっぱい。:2009/07/30(木) 04:45:34
>>148
プライマリサーバって?

151 :名無しさん@お腹いっぱい。:2009/07/30(木) 08:40:10
>>150
masterゾーンを管理しているサーバ

152 :名無しさん@お腹いっぱい。:2009/07/30(木) 12:48:14
今はもうプライマリと言っても通じない世代が居るのか
BIND4時代の古い用語だからしょうがないな

153 :名無しさん@お腹いっぱい。:2009/07/30(木) 12:53:54
それを知ってて突っ込んでるだけだろw 釣られ過ぎ

154 :名無しさん@お腹いっぱい。:2009/07/30(木) 14:17:07
>>153
JPRSの文章がそうなっているじゃん。w

155 :名無しさん@お腹いっぱい。:2009/07/30(木) 19:56:31
type master;以外は雑魚ということですね-)

156 :名無しさん@お腹いっぱい。:2009/07/30(木) 20:01:32
>>155
大抵localhostに対してはmasterよ

157 :名無しさん@お腹いっぱい。:2009/07/30(木) 20:01:42
localhostや127.in-addr.arpaくらいはmasterになってるだろ

158 :ななし:2009/07/31(金) 00:13:35
BIND9.3以前はEOLでパッチが提供されないみたいだけど、9.4以降の修正内容を
参照すると9.3でも簡単にパッチ作れるな。^^;

159 :名無しさん@お腹いっぱい。:2009/07/31(金) 14:53:20
JPRS の DNS 攻撃で落ちたのか。
こりゃ、急いだ方が良いな。

月曜日にやろうと思ったけど、今からあげよ。

160 :えっ:2009/07/31(金) 16:45:16
ほんとに?

161 :名無しさん@お腹いっぱい。:2009/07/31(金) 16:48:19
>>160
マジだよ。JP DNS が落ちた訳じゃないらしいけど。
みんみんが、言っているんだから間違いない!

162 :NoName:2009/07/31(金) 16:55:19
みんみんて誰だよ

163 :名無しさん@お腹いっぱい。:2009/07/31(金) 17:01:04
>>162
JPRSの中の人
民田雅人

164 :NoName:2009/07/31(金) 17:03:52
ほんとだメールアドレスがみんみんだ
俺もうpしよう
これはやばそうだ

165 :名無しさん@お腹いっぱい。:2009/07/31(金) 17:11:16
(゚Д゚)ノ⌒SMF
Solaris10純正は落ちたら再起動してくれるよ


166 :名無しさん@お腹いっぱい。:2009/07/31(金) 18:36:47
>>165
それで良いのか?
アップデートないの?

167 :名無しさん@お腹いっぱい。:2009/07/31(金) 19:31:25
http://sunsolve.sun.com/search/document.do?assetkey=1-66-264828-1


168 :名無しさん@お腹いっぱい。:2009/07/31(金) 20:33:00
ズコ(AA略

169 :名無しさん@お腹いっぱい。:2009/07/31(金) 23:20:58
OSX ServerのアップデートがAppleから落ちてこないのは気のせい?

170 :名無しさん@お腹いっぱい。:2009/07/31(金) 23:53:17
龍谷大の人がexploitのコード載せちゃったからね

171 :名無しさん@お腹いっぱい。:2009/08/01(土) 00:14:32
>>170
あらら・・・
手回しの良いことで。

せめて週明けまで待てばいいのに。

172 :名無しさん@お腹いっぱい。:2009/08/01(土) 00:23:02
>>165
落ちるんじゃなくてnamed生きたまま応答しなくなるという嫌らしさ

ほんとに他愛のないUDPパケット一個で即死する
発信元IPが偽造されたら追跡もできないな
プロバイダ各社のエグレスフィルタ採用状況はどうなんだっけ?

173 :ななし:2009/08/01(土) 01:42:22
>>172
環境依存なのかRHEL5を使っているウチではnamedが死ぬけどね。

174 :名無しさん@お腹いっぱい。:2009/08/01(土) 15:19:24
>>173
ウチの環境では起こっていない。@RHEL 5 64bit

175 :173:2009/08/02(日) 03:45:55
>>174
assertionで落とされているという認識なので、CPUアーキテクチャの
違い(32bit/64bit)に影響を受ける部分とは思えないんだけど、興味深い
話ですね。

検証できる環境もないし、する必要もないのでそれだけですが。

176 :名無しさん@お腹いっぱい。:2009/08/03(月) 21:34:42
tmが出張してtinydnsの宣伝してるけど、メンテが期待できないものを薦めるなんて正気の沙汰とは思えない。
IPv6対応にするだけでも他人が書いたパッチが必要とか・・・DNSSEC対応できるの?

177 :名無しさん@お腹いっぱい。:2009/08/03(月) 21:53:43
>>176
tinydns ねぇ。あったねそんなの。
ところで、どこの話題?俺の入っていないMLなんだろうけど

178 :名無しさん@お腹いっぱい。:2009/08/03(月) 22:20:03
>>177
tss氏の日記(2009-07-29)へのコメント。
「コンテンツサーバとキャッシュサーバの分離」とか、安全なDNSサーバのPoCとしては十分な役割を果たしたと
思うけど、もう引退させた方が良いでしょ。

179 :名無しさん@お腹いっぱい。:2009/08/03(月) 22:36:49
>>178
Res ありがとう。どこか判った。
つーか、なんちゅう極端な人たちだ。

180 :名無しさん@お腹いっぱい。:2009/08/04(火) 10:29:08
今ならunbindおすすめ?

181 :名無しさん@お腹いっぱい。:2009/08/04(火) 10:42:51
>>180
unboundな。

コンテンツサーバなら、NSD使えばいいんでね。


182 :名無しさん@お腹いっぱい。:2009/08/04(火) 18:12:54
手元の検証用マシンに載ってたDNS鯖(9.3.6-P1)に
PoC(perl版, C版)投げても平気な顔してるうちのDNS鯖。

PoCの設定の仕方がおかしいのか(´・ω・`)



183 :名無しさん@お腹いっぱい。:2009/08/04(火) 19:16:05
>>182
ログはどうなの?↓が出ている?
/ANY: 'RRset exists (value dependent)' prerequisite not satisfied (NXRRSET)


184 :名無しさん@お腹いっぱい。:2009/08/04(火) 19:21:27
>>183
レスd
C版でやるとソレが出たわ

perl版は正しいrndcのkey nameとkey入れんとダメなんかいな

185 :184:2009/08/04(火) 19:50:09
perl版にkey nameとkeyを実際に設定している値にすると >>183 のログが出たわ。

186 :184:2009/08/04(火) 20:19:40
http://www.ntt.com/icto/security/images/sr200803101.pdf の通りにやってみたが
PoCは途中で止まらずprint後にプロンプトに戻るし、
ログには >>183 が出るだけだわ('A`;)

今日はもう遅いのでまた明日チャレンジしてみる ノシ

187 :名無しさん@お腹いっぱい。:2009/08/04(火) 21:21:07
>>184
私が見たPoCのコードだと、構造体のパディングが考慮されてなくて
うまく動かないかもしれないように見えたんだけど。Cで書かれたやつね。

188 :名無しさん@お腹いっぱい。:2009/08/08(土) 01:49:21
DNS担当って損だよな。

影響大きいのに、金は安い。
SEでさえ、きちんと仕組みを理解している人が少ない。
だから、いつも説明に困る。。
コンテンツとキャッシュを区別できるひとはどれだけいるのだろう。。


189 :ななし:2009/08/08(土) 13:55:55
>>188
>コンテンツとキャッシュを区別できるひとはどれだけいるのだろう。。

さすがにそれはお前の環境だけの問題では?という気がするが・・・。

190 :名無しさん@お腹いっぱい。:2009/08/09(日) 00:15:20
>>189
んなことはない。
客先に説明するときは、まず、コンテンツとキャッシュを説明する。

191 :189:2009/08/09(日) 10:32:21
>>190

客にはそうだと思うけど、>>188は客相手の話なのか?

192 :名無しさん@お腹いっぱい。:2009/08/10(月) 17:00:01
NICの故障も、ケーブル抜けも、ハブの故障も、DNSのダウンも、
ファイルサーバーのダウンも、プロキシサーバーのダウンも、
ウェブサーバーのアクセス禁止処置も、なんでもかんでも、
「ネットが落ちてるんですけど、どのくらいで直りますか」
と言う奴に比べると120%ましだと思うんですけど何か。


193 :名無しさん@お腹いっぱい。:2009/08/10(月) 17:09:47
見当外れの予想で口を挟みまくるヤツもイヤだなあ

194 :188:2009/08/11(火) 00:36:02
客といってもSEだよ。しかも、大手だったりする。

こんなやつらがalteonなんてつかっていると思うと怖いわー

195 :184:2009/08/14(金) 11:08:26
手元の本番サーバ(8.3.5-P2)にPoCしかけたらnamedあっさり止まりやがった(´・ω・`)
そっこー対処しますた。

検証環境の9.3.6-P1には例のPoCは効かんのかいな。



>>194
5年近くインフラ周り全般の管理をやってる俺だけど、
キャッシュ鯖とコンテンツ鯖の違いを知ったのは3年くらい前だ。

システム管理の先輩社員がおらず、俺よりも知識・技術が上の人(教えてくれる人)が
居ない状況だとはいえすげえ恥ずかしいわ('A`;)


196 :名無しさん@お腹いっぱい。:2009/08/16(日) 21:47:09
>>195
viewつかってるとか?

197 :名無しさん@お腹いっぱい。:2009/08/18(火) 23:55:34
http://tomocha.net/diary/?20090817#200908171

ime.nuだめぽ。

198 :名無しさん@お腹いっぱい。:2009/09/02(水) 04:41:11
xname更新遅せー

199 :名無しさん@お腹いっぱい。:2009/09/03(木) 00:35:53
すごいこと発見。

某大手新聞社のネームサーバはオープンリゾルバです。
しかも、サブドメインの権限委譲を別のネームサーバにしてます。
で、その権限委譲した先のネームサーバは自分のAレコードを間違って応答します。

これを組み合わせると、どうなるでしょう??

200 :名無しさん@お腹いっぱい。:2009/09/03(木) 08:39:48
ひさしぶりの大先生チェックですね。

201 :名無しさん@お腹いっぱい。:2009/09/03(木) 09:29:33
>>199
どこだろうと思って朝日読売毎日だけざっと調べてみたけど
セカンダリDNSがオープンリゾルバだったりするのもあるな。



・・・・・・うちの会社も似たようなもんだから他所様を笑えないんだがな

202 :名無しさん@お腹いっぱい。:2009/09/03(木) 23:19:13
co.jpだね。
ためしてみたら、オープンリゾルバのほうは見事にアクセスできなくなった。。
怖!

もう片われがオープンリゾルバじゃないから助かっているが。


オープンリゾルバは世の中に結構あるよね。
いまさらオープンリゾルバをやめるのはそりゃ、厳しいわな。

うちもセキュリティ向上のため、オープンリゾルバやめたらいろいろトラブルあったよ。
でも、思い切るしかないんだな、、これ。

203 :名無しさん@お腹いっぱい。:2009/09/04(金) 00:10:10
勝手に使ってるくせして文句言ってくる奴でも居るの?

204 :名無しさん@お腹いっぱい。:2009/09/04(金) 23:19:29
コンテンツ使っているやつが、キャッシュ(リゾルバ)としてつかってたとかね。

DNSサーバだからこれ使えとわからないやつがいってたりね。


205 :名無しさん@お腹いっぱい。:2009/09/05(土) 00:54:03
>>204
ACL書いて組織内からのqueryは通せばいいだけだな

できれば組織内向けリゾルバサーバとしての機能だけを残して(daemonもそれ専用のものに変えて)
コンテンツサーバとしては分離してリナンバーしてNICへの登録を変更してしまうというのがよい
これならほうぼうのresolv.confを書き直して歩く必要はない

206 :名無しさん@お腹いっぱい。:2009/09/05(土) 16:21:26
>>205
コンテンツを違うサーバに移して、キャッシュのみにしたあと、ログを確認。
ログから抽出したある程度のアドレスに対しては、変更してもらうように依頼。
最後はばっさり。

207 :名無しさん@お腹いっぱい。:2009/09/14(月) 18:03:23
ローカルだけで使用する目的で仮で『aiueo』というだけのドメインで
namedを作ったのですが、dig aiueo; でちゃんと返ってくるところ
までできました。

そこでWindowsのコマンドプロンプトから『ping aiueo』をしてみたの
ですが以下のメッセージが出てpingできません。

Ping request could not find host aiueo. Please check the name and try again.

コマンドプロンプトで『nslookup aiueo』ではちゃんとIPが引けているの
ですが ping では上のようなメッセージが出てしまいます。

hostsに直接書けばこれは『ping aiueo』通ったのですが、DNSだと『aiueo』
のようなドメインはダメなのでしょうか?


208 :名無しさん@お腹いっぱい。:2009/09/14(月) 18:05:24
>>207
そのWindows機はそのnamedに聞きにいくようになってるのか?

209 :名無しさん@お腹いっぱい。:2009/09/14(月) 18:12:37
ドット「.」がひとつ以上含まれていないと DNSは参照しないというしようだったような。

210 :名無しさん@お腹いっぱい。:2009/09/14(月) 18:25:31
>>208,209
ありがとうございます。そうなんですね。
ping aiueo.
で飛びました!!
でも『aiueo.』はなんとなく気持ち悪いのでちゃんと.comやら付けようと思います。


211 :名無しさん@お腹いっぱい。:2009/09/14(月) 18:37:12
>>210
実在するドメインは使わない方がいいぞ

212 :名無しさん@お腹いっぱい。:2009/09/14(月) 22:07:08
ローカルだって一目で確実に分るように、
http://--.--/
としようとしたんですが、IE6が毎回落ちてしまいますね(>_<)

213 :名無しさん@お腹いっぱい。:2009/09/14(月) 23:03:14
板違い。

214 :名無しさん@お腹いっぱい。:2009/09/15(火) 15:22:02
なんで .local にしないんだ

215 :名無しさん@お腹いっぱい。:2009/09/15(火) 15:52:15
RFC2606か何かで出してくれてもいいのにね
もっと短く".lan"でもいいと思うけど。

http://example.com/
って実際に接続できるサイトだったとは知らなかった。

216 :名無しさん@お腹いっぱい。:2009/09/15(火) 23:49:17
dyndnsか何かで取ったドメインを使うのが俺のおすすめ

217 :名無しさん@お腹いっぱい。:2009/09/16(水) 20:55:38
example.comワロタ。
NXDOMAINが返ってくることを期待してたらどうするんだw

Site Finder対策?

218 :名無しさん@お腹いっぱい。:2009/09/16(水) 22:34:22
どこのメーカーも例示といったらacme.comだった頃が懐かしい

219 :名無しさん@お腹いっぱい。:2009/09/17(木) 11:57:13
ttp://acme.com
これもあるな

220 :名無しさん@お腹いっぱい。:2009/09/17(木) 23:46:16
アクメ に一致する日本語のページ 約 558,000 件中 1 - 10 件目 (0.15 秒)


えっちなのはいけないとおもいます(><)

221 :名無しさん@お腹いっぱい。:2009/09/18(金) 02:43:57
幼稚

222 :名無しさん@お腹いっぱい。:2009/09/22(火) 10:09:17
bind9を使ってopendnsみたいなサービスしたいんですが、、
何か参考になるURLあれば教えてください。

223 :名無しさん@お腹いっぱい。:2009/09/22(火) 13:02:56
>>222
迷惑だから止めろ

224 :名無しさん@お腹いっぱい。:2009/09/22(火) 14:36:50
その程度の知識しかないくせにいらんこと考えるな手を出すな

225 :名無しさん@お腹いっぱい。:2009/09/29(火) 07:36:12
最近、jp.msn.com の名前解決に失敗するんだけど
気のせい?

http://thednsreport.com/?domain=jp.msn.com
http://thednsreport.com/?domain=jp.kaw.cb3.glbdns.microsoft.com
とかでチェックしたら、かなりデタラメなんだけど、
名前解決できない程の問題ではないよね。

226 :名無しさん@お腹いっぱい。:2009/09/29(火) 09:26:56
dns はどこの

227 :225:2009/09/29(火) 23:33:37
>>226
bind9.3.5-P2 に以下のパッチ適用してます。
http://security.FreeBSD.org/patches/SA-09:12/bind.patch

228 :名無しさん@お腹いっぱい。:2009/09/30(水) 01:23:45
root server has changed

229 :225:2009/10/01(木) 01:40:09
はっきりした原因は不明だけど、
自分のマシンから以下のサーバへの問い合わせ、
またはその応答がどこかで失われてるらしい。
glb1.glbdns.microsoft.com
glb2.glbdns.microsoft.com

以下の事例がかなり類似してたので、
http://www.linuxquestions.org/questions/linux-networking-3/bind-problem-for-one-domain-name-726997/

フォワーダを指定して回避することにした。
zone "microsoft.com" {
type forward;
forward only;
forwarders { xxx.xxx.xxx.xxx; }; #プロバイダ提供のname server
};

230 :名無しさん@お腹いっぱい。:2009/10/04(日) 06:16:01
>>202
が犯罪行為の告白にしか見えないのは俺だけ?
何を試したんだw

231 :名無しさん@お腹いっぱい。:2009/10/04(日) 07:51:17
>>230
きっと関わらない方が無難だと、俺も思う。

232 :名無しさん@お腹いっぱい。:2009/10/04(日) 18:01:45
>>230
なんで犯罪なの?

233 :名無しさん@お腹いっぱい。:2009/10/04(日) 22:25:50
>>232
他人のDNSに毒入れして正規の応答を返せない状態にしたら、
偽計業務妨害かな。

234 :名無しさん@お腹いっぱい。:2009/10/04(日) 23:13:05
知ったかをしている勘違い野郎がいるな

235 :名無しさん@お腹いっぱい。:2009/10/05(月) 11:48:03
>>234
誰のこと?

236 :名無しさん@お腹いっぱい。:2009/10/05(月) 12:52:12
俺だよ、オレオレ!

237 :名無しさん@お腹いっぱい。:2009/10/06(火) 00:00:15
>>230
ネームサーバとして公開されているゾーンのAレコードを引いて何処が悪いんだ?
そんな設定でDNSサーバを公開しちゃいかんでしょ。


238 :名無しさん@お腹いっぱい。:2009/10/19(月) 22:28:18
e.root-servsers.netが応答しねぇー

239 :名無しさん@お腹いっぱい。:2009/10/19(月) 23:25:09
それipaddress変わったし

240 :238:2009/10/20(火) 00:01:18
ttp://www.root-servers.org/
ここ参照じゃマズイ?

241 :名無しさん@お腹いっぱい。:2009/10/20(火) 00:32:01
>>240
IANAをみるべき。http://www.internic.net/zones/named.root

242 :238:2009/10/20(火) 07:44:17
>>241
thx

192.203.230.10かぁ〜
やっぱり応答しないな・・・大学からなら繋がる様だが・・・

243 :名無しさん@お腹いっぱい。:2009/11/25(水) 00:22:58
http://www.hash-c.co.jp/info/20091124.html

これって、DNS Rebindingなんて大げさなもの使わなくても、
iモードIDを知っていればHTTPヘッダを小細工すれば
同じようなことできるんじゃないの?

iモードIDはWebサイト持ってれば取得できるわけだし。

俺の認識違い?

244 :名無しさん@お腹いっぱい。:2009/11/25(水) 01:36:42
>>243
携帯のUAに偽装してってことなら、普通はそれが出来ないように
アクセス元のIPアドレスもチェックする。けど。
かんたんログイン自体が脆弱って結論出てなかったっけ。

245 :名無しさん@お腹いっぱい。:2009/11/25(水) 22:29:10
>>244
ってことはこの発見は何をいまさらって感じ?

唯一IPチェックをかいくぐれる可能性があるということか。

246 :名無しさん@お腹いっぱい。:2009/11/27(金) 01:16:21
          __,,/  _, ----`ヽ  :.
     :.  / _     ___   、\
       / /   i      \   \\ :.
     :. ,'./       i  ヽ:.   ヽ:.:.. ヽ.ヽ
      ,'/    / .ハ ヽ ヽ:.:.:.:. ヽ::.. ヽヽ :.
     :. |i .i i  .i /  ヽ ト 、 \、:.:.:. ',:.',:.:.lヽ}
       |i .i l  :N_, -弋 \弌弋ナ:}:.:}
    :. |i∧ ', :{ ,ィjモト \  イjミトイイV :.  な…
       .|  :メヽ.', `ozZ}      izN。ハ::{     なんなんだよもん?
      :. |  :ヾ_! ゝ "゙゙    '  `゙ ハ.:', :.   ここ、どこだよもん?
      |  :.:_イ .:.ヽ.   (二フ , イ :.:.:!:.ヽ     なんであたし
   :.  / rィイ | :.:.ヽ: >r/`<ノ .:.::.}ヽ、\:.   貼られたんだよもん?
      / ∧l;l ! :.:.:.://{二 ̄ .} ..:..::リ//ハ.:\
 :.  / .{. ',ヾ、ヽi .:.:.{ /(^`  |.:.:.:.//: : :.}: . ヽ.:.
   / /  ) ヽ ヾ、ヽ:.ハ ヤ{   ∧/.-‐'": : |:.:. i ',
  ./ .,イ .:..} : :\ヾレ'ハ ∧__ノノハヾ、  : : : l:.:.: .ハ ',
  { /| .:.:ハ : : :i Y {ヾ`Yヽニン'ノ}: : } : : : :/:.:.:/ }:.}
  V | .:.:/:.:|_,ィ' ̄  ヽ三{ `ー-ノ : イ : : :/:.:i.:{  リ
    ヽ:.:{、.:.V     : : ヘ     : : {: : :/:.::∧|
     ヽ! )人    : : :人      : : : / \! :.
      "  ヽ : : : : :/イ{     :.ノ: : : :.\ :.
       :.  \__///: :\______/: : : : : : : ヽ
           / //: : :|;|: : : : : : i: : : __: : : : ',
       :.     / 、 {;{   |;|   . : i/. : : : : : :|
          / `Y;{. . . .|;|. : : : /i: : : : : : : : :l

247 :名無しさん@お腹いっぱい。:2009/11/30(月) 13:30:10
bind 9.3 の host と nslookup でコマンドラインでネームサーバを指定したとき、そのネームサーバが
落ちてたときに resolv.conf に書いてあるネームサーバを使った結果が返ってきます。
9.2 と 9.4 では意図したとおり connect time out になるんですが、この 9.3 の動きってバグですか?

248 :逆引きの質問:2009/12/01(火) 21:59:08
質問をさせてください。
現在、solaris10, bind9を使っています。
slaveサーバ側でmasterサーバからゾーン転送ができるように設定をし、
named.confの再読み込みを実施しました。
しかし、この段階ではまだmasterサーバ側ではslaveへのゾーン転送設定はしていません。
そのため、slaveサーバ側にはゾーンファイルが作成されておらず、
当然refresh間隔などの情報も持っていません。
この状態がずーと続いた場合、slaveサーバは、定期的にmasterサーバに対して
ゾーン転送の要求を行いますか?

ログ(/var/adm/messages)を見ると、どうも何もしないような気がするのですが・・
また、途中、named.confの再読み込みを何度かしたことはありますが、それでもエラーログをはいた跡はありませんでした

249 :sage:2009/12/02(水) 22:10:09
行わない

250 :sage:2009/12/02(水) 22:11:47
BINDにバグはない。すべては仕様。

251 :名無しさん@お腹いっぱい。:2009/12/02(水) 22:18:51
ソース読めば。

252 :sage:2009/12/02(水) 23:42:07
nslookupなんか使わなきゃいいのに

253 :名無しさん@お腹いっぱい。:2009/12/03(木) 19:49:02
"Nslookup is obsolete."って記述が最近消えたって聞いたんだけど

254 :名無しさん@お腹いっぱい。:2009/12/03(木) 19:58:49
表示したってどうせ馬鹿は理解できないからだろ

255 :名無しさん@お腹いっぱい。:2009/12/03(木) 20:22:51
なんで nslookup いかんの?

256 :名無しさん@お腹いっぱい。:2009/12/03(木) 20:39:29
おせっかい

257 :名無しさん@お腹いっぱい。:2009/12/03(木) 22:02:04
すなおに聞きに行かずにまず余計なことを聞いてから処理を始めるから。

258 :名無しさん@お腹いっぱい。:2009/12/04(金) 10:21:40
>>257
最近はそれやめたんじゃなかったっけ。

259 :名無しさん@お腹いっぱい。:2009/12/04(金) 12:00:16
>>248
SOA 書き換えない限り slave は何もしないぞ

260 :名無しさん@お腹いっぱい。:2009/12/09(水) 04:34:52
自宅のネットワークトラフィックを減らしたいので、キャッシュ用のBINDを立ち上げています。
BINDで最大限キャッシュする設定を教えてください。


261 :名無しさん@お腹いっぱい。:2009/12/09(水) 10:41:00
DNSでどんだけトラフィック食ってるんだ?

262 :名無しさん@お腹いっぱい。:2009/12/09(水) 14:31:02
>>260
ググれカス
http://www.atmarkit.co.jp/flinux/rensai/bind911/bind911a.html

263 :名無しさん@お腹いっぱい。:2009/12/09(水) 17:39:10
>>262
これって、キャッシュ時間やメモリの最大値を設定してるだけで、
元の(外部の)DNSサーバーが返したキャッシュ時間を超えて
強制的にローカルでキャッシュすることはできないのでは?

質問は、何がなんでも一度問い合わせたDNS情報は
強制的に無期限でキャッシュしたいということだと思うが。

264 :名無しさん@お腹いっぱい。:2009/12/09(水) 18:30:11
>>263
そもそも論だと、トラフィック削減のためにDNSの情報をcacheするトラフィックを削減したい
って考えからしておかしいから。


265 :名無しさん@お腹いっぱい。:2009/12/09(水) 18:34:03
考えがおかしいかどうかは聞いていません。
トラフィックが削減できればいいんです。

266 :名無しさん@お腹いっぱい。:2009/12/09(水) 18:56:25
たいして削減できないよ。

267 :名無しさん@お腹いっぱい。:2009/12/09(水) 19:05:45
たいして削減できなくてもいいからやりかた教えろよ

268 :名無しさん@お腹いっぱい。:2009/12/09(水) 19:43:37
>>267
resolv.confに
nameserver 8.8.8.8
と書く

269 :名無しさん@お腹いっぱい。:2009/12/09(水) 19:47:38
普通にキャッシュサーバ立てれば
メモリ使いきることはないと思うけどなぁ。
>>263みたいなことやりたいの?

270 :名無しさん@お腹いっぱい。:2009/12/09(水) 20:42:51
>>260
negative hit し続けることほど悲惨なものはないから普通はそういうことはしない

クライアントサイドの DNS lookup のトラフィックなんざ
Yahoo!Japan のトップページを一回開いたら吹き飛ぶような量でしかない

271 :名無しさん@お腹いっぱい。:2009/12/09(水) 20:55:20
DNSとしてのトラフィックを減らしたいのです。
httpとの比較を言われても意味ありません。

今現在、どのDNSの名前解決をしているかを
(最初の1回を除いて)外部に漏らしたくないのです。

272 :名無しさん@お腹いっぱい。:2009/12/09(水) 20:59:02
TTL切れたら再度聞きに行くのはアリ?

273 :名無しさん@お腹いっぱい。:2009/12/09(水) 21:00:15
むしろTTLを無視して無限大にしたいと言う質問かと

274 :名無しさん@お腹いっぱい。:2009/12/09(水) 21:03:01
>>273
そこをはっきり言わないんだよね。なぜか。

275 :名無しさん@お腹いっぱい。:2009/12/10(木) 00:57:08
サーバが引っ越したらどうするつもりなんだろうね

276 :名無しさん@お腹いっぱい。:2009/12/10(木) 07:13:24
>>275
デスクトップ用途なら毎日起動しなおすから、
DNSサーバーの移動のような長いスパンは考えなくていい。
たまたま起動中にどこかのDNSサーバーが移動した場合は
手動でキャッシュサーバーを再起動すればいいだけ。

277 :名無しさん@お腹いっぱい。:2009/12/10(木) 07:18:24
どれが質問者かわからんな。
トリップつけてくれ。

278 :名無しさん@お腹いっぱい。:2009/12/10(木) 09:51:28
>>276
アホか
変更される可能性が高いのはDNSサーバ以外の話だろ
動的IPアドレスに対応するレコードなら1日に何回も変わる場合がある

279 :名無しさん@お腹いっぱい。:2009/12/10(木) 09:58:42
>>278
動的IPのサイトなんてアクセスしません。
あと、ラウンドロビンのサイトがあっても1つに固定して無問題。

280 :名無しさん@お腹いっぱい。:2009/12/10(木) 10:14:01
BINDなんかやめてdjbdns使うのがおすすめ

281 :名無しさん@お腹いっぱい。:2009/12/10(木) 10:19:35
>>280
でもTTL無視はできないよね。
何使うにしろ改造しないと無理じゃないかなぁ。

282 :名無しさん@お腹いっぱい。:2009/12/10(木) 21:45:38
CDNでデータ供給しているサイトあてのアクセスとかはどうするつもり?
あれはかなり激しく向き先が変わるぞ

283 :名無しさん@お腹いっぱい。:2009/12/11(金) 09:07:58
いまどきdjbdnsなんかおすすめすんな

284 :名無しさん@お腹いっぱい。:2009/12/11(金) 09:50:33
>>283
なんで?

285 :名無しさん@お腹いっぱい。:2009/12/11(金) 15:23:08
BIND使いならforwarders指定するのが良いんじゃない?
ttp://acapulco.dyndns.org/blog/2009/12/06/632

286 :名無しさん@お腹いっぱい。:2009/12/11(金) 15:29:37
>>285
トラフィックは減らないんじゃない?

287 :名無しさん@お腹いっぱい。:2009/12/11(金) 15:51:32
米Neustar、リアルタイムDNS更新を目指すイニシアティブを設立
http://internet.watch.impress.co.jp/docs/news/20091211_335219.html

DNSキャッシュを制御しよう! だそうで。
(いろいろとアタック系の別の問題が激しく起きそうな)

288 :名無しさん@お腹いっぱい。:2009/12/13(日) 17:19:44
A-192-168-0-1.EXAMPLE.COMとかでAレコードひくと
192.168.0.1を返してくるDNSサーバを提供してるドメインってないですか?


289 :名無しさん@お腹いっぱい。:2009/12/13(日) 18:00:58
>>288
何がしたいの。

290 :名無しさん@お腹いっぱい。:2009/12/13(日) 18:08:28
echo '192.168.0.1 A-192-168-0-1.EXAMPLE.COM' >> /etc/hosts

291 :名無しさん@お腹いっぱい。:2009/12/13(日) 19:52:02
>>290
ありがとう。今環境がないので月曜日に試してみます。

292 :名無しさん@お腹いっぱい。:2009/12/13(日) 22:44:23
え、それでいいの!?

293 :288:2009/12/14(月) 01:27:37
>>289
スゴーク.長い.任意の.サブドメイン名.A-192-168-0-1.EXAMPLE.COM
という名前を、

>>290
自分の管理下にないホストにも参照させたい。

ということです。

Dynamic DNSサービスでシコシコ登録すればできるんですが、
そういうサービスないかなと思いました。


294 :名無しさん@お腹いっぱい。:2009/12/14(月) 10:39:36
意味わからん。

295 :名無しさん@お腹いっぱい。:2009/12/14(月) 23:21:04
>>293
リゾルバサーバを powerdns-recursor にすると、
ほかのゾーンから引いてきたリソースレコードに /etc/hosts (等任意のファイル)に
書いた内容をオーバーライドして返事をしてくれる。
ソフトウェア開発上の都合で fake resolver をつくらなければならないときにかなり便利。

296 :名無しさん@お腹いっぱい。:2009/12/25(金) 17:51:07
Dec 25 17:35:03 localhost named[17732]: unexpected RCODE (REFUSED) resolving '54.244.149.89.in-addr.arpa/PTR/IN': 217.20.116.2#53
Dec 25 17:45:31 localhost named[17732]: unexpected RCODE (REFUSED) resolving '54.244.149.89.in-addr.arpa/PTR/IN': 217.20.115.2#53

こういうログが溢れてるんですけど、これって何何でしょうか?

297 :名無しさん@お腹いっぱい。:2009/12/25(金) 18:59:42
何何でしょうか -> 何なのでしょうか

298 :名無しさん@お腹いっぱい。:2009/12/26(土) 01:30:21
http://www.google.co.jp/search?rlz=1C1CHMA_jaJP357JP357&sourceid=chrome&ie=UTF-8&q=unexpected+RCODE+(REFUSED)+resolving

299 :名無しさん@お腹いっぱい。:2010/01/22(金) 06:16:34
ちょいと質問させてください。
VPSサービスで鯖運用、DNSサーバにBindを使用しているのですが、
FreeDNSreport
ttp://thednsreport.com/
というサイトで、以下のようなWarningとErrorがでるのですが、何が原因でしょうか?
プライマリを自分のDNSサーバ、セカンダリをVPSサービス側で用意されたものを設定
HTTPもSMTPも特別問題なく動いているのですが、failで警告表示がでているので気になって・・・。
warnはいくつかのParentネームサーバであなたのドメインの解決はできないよって怒られていてるようなのですが。

warn Glue at parent nameservers
WARNING. The parent servers (I checked withd.dns.jp.) are not providing glue for all your nameservers.
This means that they are supplying the NS records (host.example.com), but not supplying the A records That may cause some extra miliseconds in DNS.
This will usually occur if your DNS servers are not in the same TLD as your domain

fail No NS A records at nameservers
Error: some servers does not provide A records for nameservers

At ***********.***** [***.***.***.***]  ←VPSで使用しているドメインとIP

No A record for *******.****  ←VPSサービス側で用意しているセカンダリDNS

300 :名無しさん@お腹いっぱい。:2010/01/22(金) 08:57:35
公開サーバとして登録されていないサーバを指定してるんだろ。

301 :名無しさん@お腹いっぱい。:2010/01/22(金) 20:47:34
LINUX系のDNSの構築っていくら取れるんですか?
社内で別部署の偉い人から頼まれたんです。

報酬は「うちの余った予算で好きなもの買ってやる」、だそうです。

一応仮で立てまして、言われた条件は全てクリアはしたとは思っています。
社内からは4セグメント、2度ドメインACL制限と全ホストの正逆引きOK
セキュリティ(iptableでアクセス制限)とバックアップ(週一で社内サーバーに
sambaマウントでコピーするcron)
運用と保守に関してはその部署の女の子が担当だそうで。
直接config触ると多分泣いちゃうので(僕が)webminで設定変更を
可能に(イントラ、SQL、webmin、日本語化)
サーバーの監視ソフト(nagios)と緊急用メールサーバー。
グローバルは4つ。うち一つは社外からの緊急保守用。

これっていくら取れます?
つーかこんなんでいいの?全部フリーなんですけど。
別会社名で通販を始めるそうで。
素材もフリー。色々ググッて構築なんですけど。

これ本当にいいの?良いなら一台いくら取れるの?

やめたほうがいいですかね?
いや世間なんてそんなモンだよですかね?

302 :名無しさん@お腹いっぱい。:2010/01/22(金) 20:57:33
日本語でおk

303 :名無しさん@お腹いっぱい。:2010/01/22(金) 22:54:19
フリーだからって知識がないと設定出来ないんだから金は取っていいよ

ただし設定間違えてアクセス出来なくなっても知らないよwww

損害賠償請求されたらもらった金全部返すくらいの覚悟は必要かな

責任負えるなら自信持って受ければ良いよ


304 :名無しさん@お腹いっぱい。:2010/01/22(金) 22:56:00
余った予算全取りできるでしょう

305 :名無しさん@お腹いっぱい。:2010/01/23(土) 02:23:40
社内で別部署って書いてるから自分とこの会社の中の話と思ってたんだが違うのか?
そんで、>>301が作ったやつを再販するからどのくらいの金額設定すればいいのか?という話に見えたんだが。

306 :anon:2010/01/23(土) 07:40:06
DNS勉強する前に日本語勉強しる

307 :名無しさん@お腹いっぱい。:2010/01/23(土) 16:10:09
>>300
うーん、いまいち理解できません・・・。馬鹿で申し訳ない。
VPSサービス側が用意したセカンダリDNSが公開サーバとして登録されていないって
ことでしょうか? そもそも登録とはいかに・・・?
勉強不足なのはわかっておりますので、答えとは言いませんがヒントだけでも。

308 :名無しさん@お腹いっぱい。:2010/01/23(土) 16:19:19
知ってるがおまえには教えない(AA略

309 :名無しさん@お腹いっぱい。:2010/01/23(土) 16:37:36
>>308 × 正しくは…
○ 知らないから教えられない

310 :名無しさん@お腹いっぱい。:2010/01/23(土) 16:48:45
>>307
"DNS グルー" でググれ

311 :名無しさん@お腹いっぱい。:2010/01/23(土) 18:13:13
>>309
煽っても何も出ませんよ

312 :名無しさん@お腹いっぱい。:2010/01/23(土) 22:40:05
>>311
被害妄想すぎる

313 :名無しさん@お腹いっぱい。:2010/01/25(月) 04:37:59
WEBでドメインが弾けない場合にOpenDNSみたいに独自のエラー画面出すにはどうしたらいい?

314 :名無しさん@お腹いっぱい。:2010/01/26(火) 00:23:37
>>313
好きなの選べ
・DNSサーバを細工する
・OSのリゾルバを細工する
・ブラウザを細工する

315 :名無しさん@お腹いっぱい。:2010/01/26(火) 07:15:26
>>313
・ドメインが弾けた→(はじけた=拒否)→見せないぜザマーミロ
・ドメインが弾けなかった→(はじけなかった)→エラー画面出すぜザマーミロ
こうですね?

316 :名無しさん@お腹いっぱい。:2010/01/26(火) 22:59:31
>>301
工数としてどれだけ計上して部門間請求していいかという話?
かかった時間に一定の係数かけて計上しなよ。
作業するのも時間ゼロじゃないんだからきっちり請求あげろ。


317 :名無しさん@お腹いっぱい。:2010/01/30(土) 03:08:18
>>316
301です。
今日偉い人同士話し合いで20万現金で付け替えで決着していました。
んで知らない間に本体も稼動していました。
全支店用のセカンダリーとしても使っていくんだそうで。
仕様書書くのが超面倒くさい

ありがとうございました

318 :名無しさん@お腹いっぱい。:2010/01/30(土) 16:40:53
仕様書代も含まれちゃってるのか。追加で費用もらうべきだなあぁ。

319 :名無しさん@お腹いっぱい。:2010/01/31(日) 10:18:31
この後でサポート要請が際限なく来たりして。
レコード追加したくなる度に依頼が来るとか、PC不調になるたびに
念のため見てくれとか話が来るとか。

320 :名無しさん@お腹いっぱい。:2010/01/31(日) 16:53:58
昔お客さんから「PCから変な音がするから来てくれ」って言われて
一時間掛けて逝って見たらキーボードの上に物が載ってただけだった

321 :名無しさん@お腹いっぱい。:2010/02/23(火) 15:55:48
DNSサーバを2台立てて
A-DNSはA-WEBのアドレスを返す
B-DNSはB-WEBのアドレスを返す
なんてことはやっていいことですか。

322 :名無しさん@お腹いっぱい。:2010/02/23(火) 15:57:46
googleのDNSはgoogleのアドレスを返して、
yahooのDNSはyahooのアドレスを返してるけど何か問題でも?


323 :321:2010/02/23(火) 16:23:25
A-DNSとA-WEB、B-DNSとB-WEBはそれぞれ同じVMサーバー内で動いています。
どちらかのVMが死んでも、もう片方で運用できるかを考えています。
A-WEBとB-WEBの中身は定期的に同期させています。


324 :名無しさん@お腹いっぱい。:2010/02/23(火) 17:12:32
NameServerのスレで何を聞いているんだ?

325 :名無しさん@お腹いっぱい。:2010/02/23(火) 17:13:17
考えるんじゃなくて、本を読もう。バッタ本とか。
DNSの基本的な理解がまったく足りてない。

326 :321:2010/02/23(火) 17:33:44
DNSサーバの立て方とかは本にあるんですが、
>>321
のような運用をしていいのかいけないのかが分からないのです。
ゾーンの内容は必ず同期させないといけないのですか?

327 :名無しさん@お腹いっぱい。:2010/02/23(火) 17:39:48
そういう基本を書かずに設定ファイルの書き方だけしか載ってないような本なら捨てろ


328 :名無しさん@お腹いっぱい。:2010/02/23(火) 18:07:45
同期させないとしても君の目的は満たせない。

329 :名無しさん@お腹いっぱい。:2010/02/23(火) 21:46:05
>>326
AkamaiのDNSサービスを買うといいよ


330 :名無しさん@お腹いっぱい。:2010/02/23(火) 23:48:40
>>321
マジレスすると、何をやりたいかがその文面からは読み取れない。

 上位のDNSに、そのドメインのNSレコードをA-DNSとB-DNSに
 しているってこと?
 
 ま、普通にLB使うことを勧める

331 :321:2010/02/24(水) 10:16:49
LBはロードバランサですね。
例えばDNS、サーバがある所がまるごと、大げさに言って建物全体が
停電とかルータが壊れたという事態になったときに、
あらかじめ同じ構成を離れた場所に作っておいて、そちらに向ける
ってことをしたいのです。
そんな場合でもLBは使えますか?

332 :名無しさん@お腹いっぱい。:2010/02/24(水) 10:18:46
そんな重要なサーバなら
ちゃんとお金かけてSIerに相談すべき。

333 :321:2010/02/24(水) 10:37:14
サーバが重要かどうかは問題ではありません。
お金が掛けるとか掛けないかってことでもないです。
方法が可能なのかってことが知りたいのです。

334 :名無しさん@お腹いっぱい。:2010/02/24(水) 10:55:24
>>331
GSLB

335 :たう:2010/02/24(水) 12:49:04
>>333
そういう設定をすることはできるが、思惑どおりには動かない。
に一票。

336 :321:2010/02/24(水) 13:05:51
一度名前解決ができてキャッシュが利いているなら無理ですが、
そうではないクライアントが接続するのに、一方がすべて死んでいたなら、
他方のDNSとその名前解決で接続出来そうな気がしたのですが、
実際はそうではないのですね。

337 :名無しさん@お腹いっぱい。:2010/02/24(水) 13:11:58
試しにやってみたら

338 :名無しさん@お腹いっぱい。:2010/02/24(水) 14:13:27
>>321
ロードバランサーが壊れたらどうするの?とか考えていくと究極的にはAS取ってBGP喋る話になる。
いずれにせよこのスレのネタじゃぁない

339 :名無しさん@お腹いっぱい。:2010/02/24(水) 20:01:32
>>321
君がかんがえているより世の中はよっぽど発達している。


 アカマイなり、GSLBなり。

340 :名無しさん@お腹いっぱい。:2010/02/25(木) 02:16:44
お手軽ロードバランシングならDNS使うよりIPVS+keepalivedおすすめ。スレチだけど。

341 :名無しさん@お腹いっぱい。:2010/02/25(木) 07:24:15
この板的にはpfのround - robinと言って欲しいところ
LVS+keepalivedほどの機能はないがその場にあるものを使える点でずっとお手軽

342 :名無しさん@お腹いっぱい。:2010/03/05(金) 15:56:42
自宅鯖の質問スレに投下した馬鹿がいたので本人が仰るとおり無断転載しとくw
http://pc11.2ch.net/test/read.cgi/mysv/1260157258/614-619 が前置き


628 名前:615[sage] 投稿日:2010/03/05(金) 13:42:31 ID:???
シカトされるかと思ってたんですが
テスターしてもいいって人が1人はおられて、ひと安心・・・

なんで、昨晩がんばってホームページぽい説明ページを作りました。
今朝がたドメインも買い直しました。

日本語.jpを買ってあったんですが、nslookup が日本語に対応してなくて
代わりに xn--〜 と書かなくてはいけないことに買った後で発覚・・・

http://cc.wariate.jp/
です
cc は カントリーコードの略で、割り当てカントリーコード、って意味で付けました

スレチでしたら、ヨソへ無断転載いただいて構いません

343 :名無しさん@お腹いっぱい。:2010/04/12(月) 21:17:30
すみません。誰か教えてください。
DNSSECの勉強中ですが、1つのドメインに対して複数のZSK公開鍵のDNSKEYレコードを
登録する理由は何でしょうか?

dig @localhost se. dnskey +dnssec
を実行すると複数出てきます。
seドメインのzsk公開鍵は1つで十分ではないでしょうか?


344 :名無しさん@お腹いっぱい。:2010/04/12(月) 21:42:09
WEPキーが4つ入力できる理由と同じのはず

345 :名無しさん@お腹いっぱい。:2010/04/14(水) 22:52:20
bind9.5でのloggingの設定について教えてください。

dns&bind5版やサイトでは、
logging {
channel "チャネル名" {
file "出力ファイル名";
severity dynamic;
  };
category default {"チャネル名";};
};
を設定すれば、すべてのログがファイルに出力されると書いていましたが、
実際設定したところ、すべてでもなくまたsyslog(から/var/log/messagesへ)
にも出力されていました。
面倒でも、すべてのカテゴリに対して、
category カテゴリ {"チャネル名";};
を追加したらファイルへすべて出力され、syslogへの出力もなくなりました。

これって、本やサイトの説明が間違っているのでしょうか?

346 :名無しさん@お腹いっぱい。:2010/04/14(水) 23:08:15
デフォルトでsyslogに出すチャネルが存在して、
そのチャネルと同じ名前でsyslog以外に出すように
上書きしてない?

347 :名無しさん@お腹いっぱい。:2010/04/17(土) 01:24:00
>>346
named.confでデフォルトで書かれていた設定は以下の通りです(現在はコメントアウト)
#logging {
# channel default_debug {
# file "data/named.run";
# severity dynamic;
# };
#};



348 :名無しさん@お腹いっぱい。:2010/04/17(土) 01:37:53
pv6対応のdns構築中なんですが、ループバックアドレス(::1)に対する逆引きだけが
どーしてもうまくいきません。 
一応設定は、KDDIのHPを参考にしました。
ttp://www.kddi.com/business/customer/internet/powered/dns_ipv6.html

現在の設定は、
vi named.conf
zone "0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.ip6.arpa" IN {
type master;
file "zonefile/localhostv6.rev";
};

vi zonefile/localhostv6.rev
$TTL 1D
@ IN SOA nssv1.example.jp. root.example.jp.(
2010033002 ; serial
6H ; refresh
1H ; retry
1W ; expire
900 ) ; minimum
;
NS localhost.
;
1 PTR localhost.



349 :348のつづき:2010/04/17(土) 01:42:23

# dig @localhost -x ::1 ptr +norec
;; flags: qr aa ra; QUERY: 1, ANSWER: 0, AUTHORITY: 1, ADDITIONAL: 0
;; QUESTION SECTION:
;1.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.ip6.arpa. IN PTR

;; AUTHORITY SECTION:
1.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.ip6.arpa. 86400 IN SOA 1.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.ip6.arpa. . 0 28800 7200 604800 86400

flagsにaaがあることと、authority sectionのSOAレコードから、
自サーバ内の別の設定ファイルを見ているようなんですが、どうしてもその理由が分かりません。
同じzonefile内に置いているIPv4のループバック、グローバルの逆引き、正引き、IPv6のグローバルの逆引きは
正常に応答できています。

350 :名無しさん@お腹いっぱい。:2010/04/17(土) 01:56:36
>>349
BINDのバージョンくらい書け
そして disable-empty-zone でググれ

351 :名無しさん@お腹いっぱい。:2010/04/17(土) 03:33:08
>>350
ツンデレ回答乙でした。直りました。
disable-empty-zone〜の3行追加しただけです。
ちなみに fedora9 BIND 9.5.0b2 です。
ググッたら、named.confにデフォルトで書かれているようでしたが、
自分のnamed.confにはありませんでした。

昔のログには、
automatic empty zone: 1.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.IP6.ARPA
というものが出ていました。

352 :名無しさん@お腹いっぱい。:2010/04/30(金) 23:59:01
助けてください!
汎用JPのdnsを書き換える方法ありませんか?
Aレコード?、CNAME?全て消えてしまいました。
サーバーへ向いていません。
今すぐ書き換えたいです!
または、別のアドレスに転送でも良いです。
ほぼ素人ですが、どなたかよろしくお願いします。

353 :名無しさん@お腹いっぱい。:2010/05/01(土) 05:48:40
>>352
意味不明なんだが、ドメイン更新してなくて削除されたとか。

354 :名無しさん@お腹いっぱい。:2010/05/01(土) 05:58:59
なんで DNS の仕組みそのものを理解しないで bind とか設定しようとしてる訳?
にわかネットベンチャーの社員か?

355 :名無しさん@お腹いっぱい。:2010/05/08(土) 12:26:40
自宅サーバのcentOS5.4にbindをインストールしようと思っています。
その前に、bindというかdnsの機能を確認したいんですが、

クライアントからurlのリクエストが来る
対応するIPアドレスをdnsが返す
クライアントがそのIPアドレスに接続する
ブラウザで表示

って流れですよね?
てことは固定のグローバルIPアドレスとドメインをを持ってなければ
dnsインストールしても意味がないんでしょうか?

こんなボケた質問するのにdnsを入れようと言うのは、単にlinuxの設定本に
書いてあることを全部やってみようという理由と、
postfixでのメール送信にかかわりがあるらしいからという理由です。

初心者質問ですみませんが、お願いします。

356 :名無しさん@お腹いっぱい。:2010/05/08(土) 12:31:42
>>355
そういう質問をする時は、OSもバージョンも関係ないんだから、
CentOSとかLinuxとかのキーワードは伏せて質問しないと叩かれるよ

357 :ななし:2010/05/08(土) 15:23:10
>>355
閉じた環境で試す分には意味ある。
がんばれ。

358 :名無しさん@お腹いっぱい。:2010/05/09(日) 03:49:26
>てことは固定のグローバルIPアドレスとドメインをを持ってなければ
>dnsインストールしても意味がないんでしょうか?

なんでそう思ったの?


359 :名無しさん@お腹いっぱい。:2010/05/09(日) 06:00:41
Archivo resolv conf
http://www.ajaxman.net/wp-content/uploads/2008/09/resolvconf.jpeg
resolv conf ?rne?i
http://www19.atpages.jp/imagelinkget/get.php?t=v&u=www.archlinuxtr.org/kurulum/images/kurulum026.png
kuro 09 png
http://www2.wapres.org/kuro-box/img/kuro_09.png
図3  nameserver という文字列を含むファイルの検索
http://image.gihyo.co.jp/assets/images/admin/serial/01/ubuntu-recipe/0024/thumb/TH400_0024-03.png
netconfig wbel331 png
http://www.obenri.com/_minset_wbel3/image/netconfig_wbel331.png


360 :名無しさん@お腹いっぱい。:2010/05/10(月) 15:30:08
http://www.ajaxman.net/wp-content/uploads/2008/09/resolvconf.jpeg
http://www.archlinuxtr.org/kurulum/images/kurulum026.png
http://www19.atpages.jp/imagelinkget/get.php?t=v&u=www2.wapres.org/kuro-box/img/kuro_09.png


361 :名無しさん@お腹いっぱい。:2010/05/10(月) 21:56:43
>>356,357
お礼遅れました、ありがとうございます
>>358
勘違いしてました。今はローカル向けで設定の勉強してます

すみませんさらに追加の質問させてください。
今bind9で設定していて、ローカルIPの192.168.0.10にdns(bind)とhttpd, postfixその他サーバを入れています。
で、逆引き設定したのですがnslookupの検証でうまくいきません。

 > 192.168.0.10
 Server: 192.168.0.10
 Address: 192.168.0.10#53
 *** Can't find 10.0.168.192.in-addr.arpa.: No answer
というエラーが出てしまいます。

該当のゾーン設定ファイルは以下の通りです。
 $TTL 86400
 0.168.192.in-addr.arpa. IN SOA ns.sample.co.jp. root.sample.co.jp. (
  2010050802 ;Serial
  7200 ;Refresh
  3600 ;Retry
  604800 ;Expire
  3600 ;Minimum TTL
 )
  IN NS ns.sample.co.jp.
 10 IN PTR ns.sample.co.jp.

どこに原因があるのでしょうか?
環境の説明はもう少し続きます(次のレスへ)

362 :名無しさん@お腹いっぱい。:2010/05/10(月) 22:08:47
named-checkzoneとnamed-checkconfを活用せよ。

363 :361 続き :2010/05/10(月) 22:22:11
補足1)named.confでの正引き用、逆引き用ゾーン設定は以下の通りです
  zone "sample.co.jp"{
  type master;
  file "sample.co.jp.db";
  allow-transfer{none;};/*転送許可するスレーブサーバ*/
  };
  zone "0.168.192.in-addr.arpa" {
  type master;
  file "0.168.192.in-addr.arpa.db";
  allow-transfer {none;};
  };
 ※named-checkconfコマンドでエラーは表示されません。

補足2)nslookupでの検証では、正引きは正常に返ります(以下の通り)
 > www.sample.co.jp
 Server: 192.168.0.10
 Address: 192.168.0.10#53
 www.sample.co.jp canonical name = ns.sample.co.jp.
 Name: ns.sample.co.jp
 Address: 192.168.0.10

補足3)また、同一ローカルネットワーク上の他マシンのfirefoxでwww.sample.co.jpをブラウジングしようとすると
「www.sample.co.jp という名前のサーバが見つかりませんでした。」とエラーになります。
※実は、このドメインはインターネット上に実在してて、アクセスできるはずのものです

補足4)このbindの設定以前に、内部ネットワークのマシン(macとwin)には、192.168.0.10またはwww.hogehoge.comに
ブラウズすると、サーバ(192.168.0.10)のapache中のサイト(www.hogehoge.com)が見えるよう設定してあります。

不要な情報や補足があるかもしれませんが、関係しているのかなと思われたことを書かせていただきました。
どうして逆引きがエラーになるのか、また www.sample.co.jpへのブラウジングがなぜ失敗するのか
説明いただけたらうれしいです。長くてすみません、よろしくお願いします。

364 :名無しさん@お腹いっぱい。:2010/05/10(月) 23:20:54
前提条件がさっぱりわからん。
sample.co.jpはインターネット上のサイトなの?LAN上なの?
www.hogehoge.comはどうやって名前解決してたの?
コンテンツサーバとキャッシュサーバの違いは理解してる?

365 :名無しさん@お腹いっぱい。:2010/05/10(月) 23:26:46
質問者のレベルをみるとオライリー「DNS&BIND」を10回くらい読んで
DNSの仕組みを理解してからDNSに手を付けた方がいい気がする。

366 :名無しさん@お腹いっぱい。:2010/05/10(月) 23:41:30
>>364
すみません。sample.co.jpは、本当は(本に書いてある通りだと)www.itboost.co.jpです
このドメインを取得したと言う仮の前提でやっているんですが、これってこの本を書いた会社のドメインなので
www.itboost.co.jpにアクセスすれば表示されるはずなんです(ブラウザで)
今は192.168.0.10のネームサーバでこのドメインへのIPアドレス設定をしてるけど、
まだ対応するwebサイトを設定してないから接続エラーなんでしょうか? すみません。

あと、質問する場所間違えたのがあるんですが、コピペします。

>bindのゾーンファイルを検証する、named-checkzoneがうまく動きません
>以下のようになります。
>[root@localhost named]# named-checkzone itboost.co.jp.db
>usage: named-checkzone [-djqvD] [-c class] [-o output] [-t directory] [-w directory] [-k (ignore|warn|fail)] [-n (ignore|warn|fail)] zonename filename
>何が原因なのでしょうか?
>現在の階層でls -laすると
>-rw-r----- 1 root named 270 5月 9 21:36 itboost.co.jp.db
>があるのは確認できます。

これはなぜでしょうか?

>>365
すみません、いろんなサイトや本で読んでるんですが、どうもよくわからないです…

367 :名無しさん@お腹いっぱい。:2010/05/10(月) 23:45:51
sample.co.jp も www.hogehoge.com も実在するので注意。

368 :名無しさん@お腹いっぱい。:2010/05/10(月) 23:57:49
www.itboost.co.jpって引くたびに応答が違うのでちょっと調べてみたら、
ns.itboost.co.jpとdns2.itboost.co.jpはwww.itboost.co.jpのAレコードを返さない。
こんな最低な設定をしてる会社の本を信用しちゃダメ。
素直にオライリー本を買いなさい。

369 :366:2010/05/11(火) 00:00:51
上の投稿の named-checkzoneの質問は解決しました
お騒がせしました
関連のゾーンファイルへのnamed-checkzoneはどれもOKでした

なんで逆引きがうまくいかないのかな

370 :名無しさん@お腹いっぱい。:2010/05/11(火) 00:08:57
dns.tk.itboost.co.jpしかwww.itboost.co.jp答えてくれないね
TTLも300秒ばっか、DDNSで運用してるのかな?

371 :名無しさん@お腹いっぱい。:2010/05/11(火) 00:15:59
>>369
named-checkconfを-zオプション付きで走らせてみた?

372 :名無しさん@お腹いっぱい。:2010/05/11(火) 01:10:40
まず、設定したサーバ上で、ゾーン自体の確認してみたら?

$ dig @127.0.0.1 0.168.192.in-addr.arpa. SOA +norec

NOERRORでANSWER SECTIONに設定したSOAレコードが確認できる?
SERVFAILとかなら、ゾーン自体ダメだと思う。


373 :366:2010/05/11(火) 07:15:27
>>371,372
ありがとうございます、それぞれこうなりました。
[root@localhost named]# named-checkconf -z
zone localdomain/IN: loaded serial 42
zone localhost/IN: loaded serial 42
zone 0.0.127.in-addr.arpa/IN: loaded serial 1997022700
zone 0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.ip6.arpa/IN: loaded serial 1997022700
zone 255.in-addr.arpa/IN: loaded serial 42
zone 0.in-addr.arpa/IN: loaded serial 42
zone itboost.co.jp/IN: loaded serial 2010050901
zone 0.168.192.in-addr.arpa/IN: loaded serial 2010050802
zone 10.0.168.192.in-addr.arpa/IN: loaded serial 2010050802
zone itboost.co.jp/IN: loaded serial 2010050901
zone 0.168.192.in-addr.arpa/IN: loaded serial 2010050802

[root@localhost named]# dig @127.0.0.1.0.168.0192.in-addr.arpa.SOA +norec
dig: couldn't get address for '127.0.0.1.0.168.0192.in-addr.arpa.SOA': failure

digの方はおかしいですね、なんでだろう


あと、ローカルのゾーン設定用にaclを以下のように設定したところ
acl "localnets"{
192.168.0.0/24;
127.0.0.1;
};
/etc/named.conf:24: attempt to redefine builtin acl 'localnets'
と警告が出ました。既に定義済みのものを再定義してるってことだと思いますが
どこで既に定義してるんでしょうか? named.conf中には見つからなかったんですが…


374 :名無しさん@お腹いっぱい。:2010/05/11(火) 07:32:29
> zone itboost.co.jp/IN: loaded serial 2010050901
> zone 0.168.192.in-addr.arpa/IN: loaded serial 2010050802

2回ずつ読まれてる。

> zone 10.0.168.192.in-addr.arpa/IN: loaded serial 2010050802

いいの?

> [root@localhost named]# dig @127.0.0.1.0.168.0192.in-addr.arpa.SOA +norec

digの使い方間違えてる。man嫁。

375 :名無しさん@お腹いっぱい。:2010/05/11(火) 11:11:48
>>373
"builtin" acl 'localnets'
たしかbindしたインターフェースに振られたアドレスあたりは
自動でこのaclに定義されてる。

376 :名無しさん@お腹いっぱい。:2010/05/11(火) 17:52:19
>>377
127.0.0.1 と 0.168.192.in-addr.arpaの間はスペース入れれ。

そもそも
>zone itboost.co.jp/IN: loaded serial 2010050901
>zone 0.168.192.in-addr.arpa/IN: loaded serial 2010050802
>zone 10.0.168.192.in-addr.arpa/IN: loaded serial 2010050802
>zone itboost.co.jp/IN: loaded serial 2010050901
>zone 0.168.192.in-addr.arpa/IN: loaded serial 2010050802

同じゾーンが出てるぞ。named.conf内で同じゾーンファイルで
複数回ゾーン設定しちゃってるんじゃない?



377 :名無しさん@お腹いっぱい。:2010/05/11(火) 20:38:13
ITBoostが運営してるっぽいSTACK*とかいうサイトもDNSの設定が腐ってるな…

378 :名無しさん@お腹いっぱい。:2010/05/11(火) 22:19:23
NSのうち片方のDNS、co.jpをjpに変えたんだろうけど、NS変えるの忘れてるな。
元のドメインは放棄しているみたいだからやろうと思えば簡単に乗っ取れそう。
JPNICが気をつけろ、と必死に宣伝してるのにこの有様。

379 :366:2010/05/11(火) 23:23:00
皆さん詳しいですね。本当にありがとうございます。
以前買ったbindの本があるの思い出したので、皆さんの回答とあわせて読み直してます。

>>376
うっかりしてました、ありがとう。やり直したらこうなりました。
[root@localhost named]# dig @127.0.0.1 0.168.0192.in-addr.arpa.SOA
; <<>> DiG 9.3.6-P1-RedHat-9.3.6-4.P1.el5_4.2 <<>> @127.0.0.1 0.168.0192.in-addr.arpa.SOA
; (1 server found)
;; global options: printcmd
;; connection timed out; no servers could be reached


複数回ゾーン設定してるんじゃないかという件ですが、してました。
view "localhost_resolver"{}とview "internal"{}の中で同じものを設定していました。
本の説明では、DNS自身とローカルネットワーク上のwinから確認するためにそうすると
書いてあります。
調べたら、多分ここの設定と同じかな。問題あるんでしょうか?(読んで勉強し直します。)
ttp://d.hatena.ne.jp/japanrock_pg/20090723/1248359871

bind難しいですね… ほんとお世話になります、すみません

380 :名無しさん@お腹いっぱい。:2010/05/12(水) 00:37:51
>>379

viewごとの細かい設定とかが必要ないんなら、
まずはview無しで単純に書いてみたら?

381 :名無しさん@お腹いっぱい。:2010/05/13(木) 18:59:03
BINDが入ってるローカル鯖で
[root@localhost named]# dig @127.0.0.1 0.168.0192.in-addr.arpa.SOA
を実行したところ、以下の結果が出ました。
これは逆引き設定がうまくいってると考えて良いのでしょうか?
NXDOMAINというのが気になるんですが
(ドメインを指定した正引きの場合、問題なのはわかるんですが)

; <<>> DiG 9.3.6-P1-RedHat-9.3.6-4.P1.el5_4.2 <<>> @127.0.0.1 0.168.192.in-addr.arpa.SOA +norec
; (1 server found)
;; global options: printcmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NXDOMAIN, id: 25808
;; flags: qr ra; QUERY: 1, ANSWER: 0, AUTHORITY: 1, ADDITIONAL: 0
;; QUESTION SECTION:
;0.168.192.in-addr.arpa.SOA. IN A
;; AUTHORITY SECTION:
. 9796 IN SOA a.root-servers.net. nstld.verisign-grs.com. 2010051201 1800 900 604800 86400
;; Query time: 0 msec
;; SERVER: 127.0.0.1#53(127.0.0.1)
;; WHEN: Thu May 13 02:55:54 2010
;; MSG SIZE rcvd: 119


382 :名無しさん@お腹いっぱい。:2010/05/13(木) 20:26:36
>>381
in-addr.arpa. とSOAの間にスペースを
dig @127.0.0.1 0.168.192.in-addr.arpa. SOA

383 :名無しさん@お腹いっぱい。:2010/05/13(木) 20:43:56
>>382
うまくいきました! ありがとうございました

384 :名無しさん@お腹いっぱい。:2010/05/17(月) 07:56:17
動けばいい、っていうんじゃなくて、動作の理解をしなさいよ。

385 :名無しさん@お腹いっぱい。:2010/06/01(火) 04:35:23
unboundでGoogle Public DNS使おうと思って、

forward-zone:
name: "."
forward-addr: 8.8.8.8
forward-addr: 8.8.4.4

を設定したけれど、解決できないドメインがある

# drill example.com @127.0.0.1
だと解決できないが、
# drill example.com @8.8.8.8
とすると解決できる。

恐らくウチの環境(or設定)が悪いだけ、と思ってるけれど、
解決できるドメインもあるので原因が分からない・・

386 :名無しさん@お腹いっぱい。:2010/06/01(火) 11:01:16
>>385
そのドメインの設定が腐ってる可能性もあると思うよ。

387 :名無しさん@お腹いっぱい。:2010/06/01(火) 23:53:10
>>368みたいな腐った設定はゴマンとあるしな
stack*は相変わらずlameっぽ

388 :名無しさん@お腹いっぱい。:2010/06/02(水) 00:26:34
>>385
日本でGooglePublicDNS使うとAkamai他のCDN関係を全部日本以外に転送されてしまうから
ウェブブラウズなどが遅くなるだけでうれしいことはなにもないぞ。OpenDNSでも同様。

あれを日本から使ってうれしいのは「自組織以外からDNS参照をおこなったらどうみえるか」を
手軽に検証できることだけ。


389 :名無しさん@お腹いっぱい。:2010/06/02(水) 00:47:16
>>388
1月末に提案されたドラフトは01になったね。
ttp://tools.ietf.org/id/draft-vandergaast-edns-client-ip-01.txt

検証目的であればここも便利
ttp://www.dns-oarc.net/oarc/services/odvr

390 :名無しさん@お腹いっぱい。:2010/06/11(金) 00:51:08
BINDの動的なインターフェースなどのアドレスを一定時間毎に動的にListenする機能って
rootで動かしていないとうまく機能しないのかな?

391 :名無しさん@お腹いっぱい。:2010/06/11(金) 01:18:10
0.0.0.0:53にbindしていただくという方法での回避はできなかったから
やっぱりrootで動かすしかないかなぁ。

392 :名無しさん@お腹いっぱい。:2010/06/11(金) 03:05:30
>>390
リファレンスのinterface-intervalの項目に制約は書かれていないけど駄目?
DebianではPPPのup時にrndc reconfigで回避してる。

393 :名無しさん@お腹いっぱい。:2010/06/15(火) 03:17:52
>>392
ありがとうございます。
reconfigでもやっぱりpermission deniedという理由でbindさせてもらえてませんでした。
restartしてしまえばいいのかな?コストがアレですけど。

394 :名無しさん@お腹いっぱい。:2010/06/16(水) 20:49:00
この板のスーパーハカー様方に質問です。

hamusoku.com. IN NS ns1.domain.livedoor.com
IN NS ns1.domain.livedoor.com
IN CNAME blog-01.livedoor.jp

これってRFC違反だと思うのですがどうでしょう。
ちなみにWIN2008R2のDNSサーバだとエラーになって引けません。
最近のBINDではどうですか?



395 :名無しさん@お腹いっぱい。:2010/06/16(水) 21:07:18
>>394
これいかんね。
http://bonz.squares.net/~dais/misc/rfc1912j.html#cname

396 :名無しさん@お腹いっぱい。:2010/06/16(水) 21:20:58
おかしいね。
とりあえず bind 9.6.1-P1 と unbound 1.4.3 では引けちゃったけど、
エラーにするキャッシュ DNS があったとしても不思議ではない。

ただ、bind ならこういう腐ったゾーンはエラーにして読み込まなかったような。
……と思ったら、なんか nsd っぽいなぁ。
nsd って bind よりゾーンファイルのバリデーションが緩いんだよなぁ。


397 :名無しさん@お腹いっぱい。:2010/06/16(水) 22:14:21
394です。
ありがとうございます。
ライブドアにこんなん引けねーよと言ってみたのですが
「問題を認識できません」て返されました。
こういうお馬鹿さんはどうすればいいんでしょうね。


398 :名無しさん@お腹いっぱい。:2010/06/17(木) 00:28:12
相手にするおまえがおバカさんだ
日本はこういう国になっちまったんだ諦めろもう終わり

399 :名無しさん@お腹いっぱい。:2010/06/17(木) 09:40:04
DNSOPSあたりで話題に出せば誰か反応するかも。

400 :名無しさん@お腹いっぱい。:2010/06/17(木) 12:28:36
TwitterでLivedoorの技術系の中の人に直接つっこんでみるとか


401 :名無しさん@お腹いっぱい。:2010/06/18(金) 00:07:12
>>400

俺もそう思った。
サポートに言っても障害として検知していない状態で、類似のクレームも
他になければ取り合わなさそう。

402 :名無しさん@お腹いっぱい。:2010/06/18(金) 03:58:34
>>399
参加者あまり多くないんじゃない?
空気読まずにjanogとか(w

>>401
国税庁の時も全く返事が来なくて、忘れたころにこっそり直してたな。

403 :名無しさん@お腹いっぱい。:2010/06/18(金) 20:04:56
>>402
DNSOPSをsubscribeしているひとはJANOGもsubscribeしてるだろう




404 :名無しさん@お腹いっぱい。:2010/06/21(月) 08:14:22
JANOGに投げて空気変えてほしいな。

405 :名無しさん@お腹いっぱい。:2010/07/01(木) 12:35:08

るーと更新おめでとう!!
          .o゜*。o
         /⌒ヽ*゜*
   ∧_∧ /ヽ    )。*o  ッパ
    (・ω・)丿゛ ̄ ̄' ゜
.  ノ/  /
  ノ ̄ゝ

406 :名無しさん@お腹いっぱい。:2010/07/01(木) 21:37:27
windowsでもdjbdns使いたいのだが駄目かな

407 :名無しさん@お腹いっぱい。:2010/07/01(木) 23:38:26
>>406
変態

408 :名無しさん@お腹いっぱい。:2010/07/02(金) 02:23:48
>>406
変態だな……。


409 :名無しさん@お腹いっぱい。:2010/07/03(土) 00:47:26
>>406
DJ本人乙

410 :名無しさん@お腹いっぱい。:2010/07/03(土) 21:09:28
愛が感じられるような

411 :名無しさん@お腹いっぱい。:2010/07/16(金) 23:29:13
ルートサーバーがDNSSEC対応したらしいが、
お主らのキャッシュサーバーは対応やった?

412 :名無しさん@お腹いっぱい。:2010/07/17(土) 10:25:37
>>411
うちのはBIND9.6系でトラストアンカーの自動更新は未対応っぽいから
しばらく様子見かな。鍵はどのくらいの間隔で更新されるの?

413 :名無しさん@お腹いっぱい。:2010/07/17(土) 11:58:15
bindは9.7じゃないとsha-2が使えないから、9.6だとそっちが引っかかる。

414 :名無しさん@お腹いっぱい。:2010/07/17(土) 12:10:42
http://www.iepg.org/2009-11-ietf76/rootsign-ietf76-iepg.pdf
によりますと
KSKは2〜5年ごと
ZSKは年4回
だそうですが。

415 :名無しさん@お腹いっぱい。:2010/07/17(土) 18:17:22
>>413
そこは気になったけど、9.6.2rc1で9.7からバックポートされたので問題ないよね?
ttp://lists.isc.org/pipermail/bind-announce/2010-February/000621.html

416 :名無しさん@お腹いっぱい。:2010/07/17(土) 18:32:19
>>414
それなら導入しても大丈夫そうだな。
KSK変わるときはニュースになりそうですし。

ところで、現時点でルートゾーンは署名されたけど、
既にDNSSEC導入済みのTLDへの署名はまだだよね?

これは次のセレモニー以降でZSKの更新の際に行われるのかな。
スケジュールでてる?

417 :anonymous:2010/07/17(土) 21:49:33
いくつかのccTLDにDSが入っています。

418 :名無しさん@お腹いっぱい。:2010/07/17(土) 22:40:06
>>417
確かに8個ほど入ってた。.CATなんてあったんだ。
http://www.root-dnssec.org/faq/
dig . AXFR @xfr.lax.dns.icann.org

自ドメインが検証できるようになるまではまだ時間がかかりそうだ。

419 :名無しさん@お腹いっぱい。:2010/07/18(日) 00:05:24
設定方法・・・ってほどでもないけど。
"9.6 or higher"は誤りで"9.6.2 or higher"に訂正予定とのこと。
ttp://www.isc.org/community/blog/201007/using-root-dnssec-key-bind-9-resolvers

keyはコッチで確認すること。
ttps://data.iana.org/root-anchors/

420 :名無しさん@お腹いっぱい。:2010/08/12(木) 10:42:04
>>394
この件と同種?で okwave に質問してる椰子がいるが
「普通のことです。違反でもなんでもありません。」って回答くらってるぞ

どっちが正しいんだ?

http://okwave.jp/qa/q6101868.html

421 :名無しさん@お腹いっぱい。:2010/08/12(木) 10:48:17
okwave の回答が間違ってる。
その回答に対する質問主のフォローが正解。


422 :名無しさん@お腹いっぱい。:2010/08/12(木) 11:01:57
そうか

いやなに、俺が立ててる DNS サーバーでも
ライブドアのあれみたいな書き方やってるんだw
ホスト名なしのドメイン名を別ホストへcnameさせてる。

A レコード書くと、ホスト引っ越しのときに不便なんだが。。
今のところクレーム来てないが、バレる前に直しておいたほうがいいのか

423 :名無しさん@お腹いっぱい。:2010/08/12(木) 11:59:26
質問の仕方がまずいんだと思う。
「Aの別名にBを使っているけどいいの?」って読みとられてしまっているよね

424 :名無しさん@お腹いっぱい。:2010/10/14(木) 01:08:48
DNS障害でYahooのほとんどのサービスが落ちてたね

425 :名無しさん@お腹いっぱい。:2010/10/14(木) 01:44:18
具体的にはどーだったの?
hostやdigで単純に引くとaレコードが帰ってこなくて
明示的にaレコードを指定すると戻ってきたみたいだけど

426 :名無しさん@お腹いっぱい。:2010/10/14(木) 10:02:45
primary name server = yahoo.co.jp
responsible mail addr = postmaster.yahoo.co.jp
serial = 2010101401
refresh = 1800 (30 mins)
retry = 900 (15 mins)
expire = 86400 (1 day)
default TTL = 900 (15 mins)

丸1日は途中のDNSがキャッシュ値を返してくれるの?

427 :名無しさん@お腹いっぱい。:2010/10/15(金) 14:06:25
自分が参照してるキャッシュのタイミング次第だろ。

expire直前にヤフーが死ねばすぐにアウトになる。

なんか、負荷分散サーバの障害とかいうてるみたいだけど、
権威サーバをIPAnycast化とかしてたんかな?

それともYahooクラスだと権威サーバでもロードバランサ
入れないとダメポなくらい負荷高いのかね?

428 :名無しさん@お腹いっぱい。:2010/10/15(金) 18:27:53
普通はBindで困ることって特にないよな。
DNS運用業者やってたときは、10万ドメイン以上あったから色々考えることあったけども。

429 :名無しさん@お腹いっぱい。:2010/10/18(月) 11:37:39
「BIND」な。

430 :名無しさん@お腹いっぱい。:2010/10/25(月) 18:53:45
2008R2 な DNS 鯖だと
recruit.co.jp のドメイン情報が全く読めないんだが
SOA レコードすら引けない。
なんでだ!?

2003 な DNS 鯖で引くと大丈夫

431 :430:2010/10/25(月) 18:59:20
>>394 と同じ理由?
とりあえず、2008R2 の DNS 鯖で ISP の DNS にフォワーダかけたらうまくいく。

432 :名無しさん@お腹いっぱい。:2010/10/25(月) 19:02:45
Windowsの話はよそでやったら。

433 :名無しさん@お腹いっぱい。:2010/10/25(月) 19:03:13
>>430
ポートが開いてないんだろ

434 :名無しさん@お腹いっぱい。:2010/10/25(月) 20:01:58
他は引けるからポートの問題じゃないよ

435 :名無しさん@お腹いっぱい。:2010/10/25(月) 20:24:37
recruit.co.jp が特定の環境下で名前解決できないという話は別の所でもでていたような…
janogだったかdnsopsだったか


436 :名無しさん@お腹いっぱい。:2010/10/26(火) 00:30:25
512バイト超えてるんだろう

437 :名無しさん@お腹いっぱい。:2010/10/26(火) 22:07:15
recruit.co.jpはこれと同じ原因だよ
ttp://www.vwnet.jp/Windows/WS08R2/EDNS0/EDNS0.htm

438 :名無しさん@お腹いっぱい。:2010/11/06(土) 03:43:18
BIND10使ってるひとどのくらいいますか?

439 :名無しさん@お腹いっぱい。:2010/11/08(月) 11:16:37
20人くらい。

440 :名無しさん@お腹いっぱい。:2010/11/26(金) 11:36:45
政府によるDNSポイゾニングっていよいよ本格的に始まったんじゃない?
検出した気がする
先日の法相更迭はサインを渋ったからだとみた

441 :名無しさん:2010/11/27(土) 15:55:54
DNSSEC対応どーすんべ。。。

442 :名無しさん@お腹いっぱい。:2010/11/27(土) 17:31:50
>>441
慌てる必要はないよ。必要になったらやればいい。

443 :名無しさん@お腹いっぱい。:2010/12/02(木) 00:57:02
眺めている段階

444 :名無しさん@お腹いっぱい。:2010/12/02(木) 16:15:10
BIND: cache incorrectly allows a ncache entry and a rrsig for the same type
Versions affected: 9.6.2 - 9.6.2-P2, 9.6-ESV - 9.6-ESV-R2, 9.7.0 - 9.7.2-P2
Severity: High
https://www.isc.org/software/bind/advisories/cve-2010-3613

BIND: Key algorithm rollover bug in bind9
Versions affected: 9.0.x to 9.7.2-P2, 9.4-ESV to 9.4-ESV-R3, 9.6-ESV to 9.6-ESV-R2
Severity: Low
https://www.isc.org/software/bind/advisories/cve-2010-3614

BIND: allow-query processed incorrectly
Versions affected: 9.7.2-P2
Severity: High
https://www.isc.org/software/bind/advisories/cve-2010-3615

445 :名無しさん@お腹いっぱい。:2010/12/02(木) 16:37:31
http://ya.maya.st/d/201012a.html#s20101201_1
CNAME の間違った使い方

>>394-397

446 :名無しさん@お腹いっぱい。:2010/12/02(木) 16:55:57
http://blog.livedoor.jp/techblog/archives/65340720.html
> ライブドアドメインではこれまでdjbdnsを使用していましたが、
> 今年の11月1日にNSDというソフトウェアにリニューアルしまして、
> 新機能と同時にこのCNAME問題に対応しました。

やっと対応したって事かな。

447 :名無しさん@お腹いっぱい。:2010/12/03(金) 01:23:19
localhost.livedoor.jp has address 127.0.0.1
localhost.livedoor.com has address 127.0.0.1

この設定はよろしくないらしいけど削除するとまずいことでもあるのかな。

http://www.securityfocus.com/archive/1/486606


448 :名無しさん@お腹いっぱい。:2010/12/03(金) 10:35:56
/etc/hosts に localhost がなかったり、
あっても hosts を参照せずいきなり DNS に聞く実装でも、
resolv.conf に search livedoor.jp と書いてあれば
localhost を問い合わせても 127.0.0.1 がちゃんと返ってくる。

……というメリットはあるけど、たいしたメリットでもないので
消してもいいと思う。


449 :名無しさん@お腹いっぱい。:2010/12/03(金) 10:59:18
デメリットを聞いてるんだが

450 :名無しさん@お腹いっぱい。:2010/12/03(金) 11:20:17
だからそういう環境で localhost の名前解決ができなくなるんだってば。

FQDN じゃなかったら勝手にドメイン名を補完してしまうものもあるので、
localhost. のゾーンを作っておけば済むという話じゃないんだな。


451 :名無しさん@お腹いっぱい。:2010/12/03(金) 19:53:34
searchオプションの恩恵うける場面てそんなに多いのかな?
外の人にとっては意味ないし、中の人にしたってプログラムがsearch依存で名前解決するのも気持ち悪いだろうし。

452 :名無しさん@お腹いっぱい。:2010/12/03(金) 20:19:29
>だからそういう環境で localhost の名前解決ができなくなるんだってば。

つまりそれ以外のデメリットは無いということですね。

それならば削除する必要はないですね。

453 :名無しさん@お腹いっぱい。:2010/12/03(金) 21:18:51
>>452>>447のリンク先を日本語で解説してくれる人を釣ろうとしてるの?


454 :名無しさん@お腹いっぱい。:2010/12/03(金) 21:22:34
なるほど!

455 :名無しさん@お腹いっぱい。:2010/12/03(金) 21:51:53
ローカルPCで個人用ブックマークの検索サーバを立てた人がいるとする。

Referer: http://your.private.pc/search?q=hoge

からこの検索サーバのURLを知った攻撃者は、
こりゃ脆弱そうなURLだわいと何らかの方法で

http://localhost.livedoor.jp/search?q=<script>...</script>

を本人に踏まさせて、実際に脆弱でかつlivedoor利用者であれば
livedoor.jpのCookieの詐取に成功する。

CUPSのような広く知られたものがあれば後半だけでいい。

こんなとこ?

456 :名無しさん@お腹いっぱい。:2010/12/05(日) 13:02:44
あとはNXDOMAIN連発とか?

457 :名無しさん@お腹いっぱい。:2010/12/06(月) 00:59:34
こういうの一度書いちゃうとなかなか消せないんだよね。
副作用が怖くて。

458 :名無しさん@お腹いっぱい。:2010/12/06(月) 09:19:43
なくなって困るのは中の人くらいじゃないの?
中からの問い合わせからだけ名前解決するんじゃだめなん?

459 :名無しさん@お腹いっぱい。:2010/12/07(火) 02:47:47
AmazonのDNS これいいんじゃない?
http://aws.amazon.com/route53/
http://aws.typepad.com/aws_japan/2010/12/amazon-route-53-the-aws-domain-name-service.html


460 :名無しさん@お腹いっぱい。:2010/12/07(火) 03:47:54
Wikileaksをホスティングしていることでもおなじみの信頼と実績だな

461 :名無しさん@お腹いっぱい。:2010/12/07(火) 08:07:03
アタックされたから追放したんじゃなかったのか

462 :名無しさん@お腹いっぱい。:2010/12/10(金) 00:21:00
>>459
まだこんな馬鹿がいるのか

463 :名無しさん@お腹いっぱい。:2010/12/10(金) 21:27:40
>>459
-DDoSを喰らったときの課金のありよう
-名前参照が終わるまで多段*4の参照が発生する
等を考えると若干首を傾げる。
Amazonにしては詰めの甘さを感じずにいられない。

Amazonがわのメンテナンスの都合でネームサーバのIPアドレスを
任意につけかえられるように設計するとこうなるのはわかるけれど。


464 :名無しさん@お腹いっぱい。:2011/01/07(金) 02:19:48
2010年はBIND9の脆弱性が多くて嫌になった
でもUnboundとかnsdに移行する勇気がないヘタレ

465 :名無しさん@お腹いっぱい。:2011/01/07(金) 10:07:11
数としてはたしかに多かったけど、dnssec を有効にしてなければ
放置しても問題ないものがほとんどだった気が。
dnssec はまだ本格的に使われてないからコードが枯れてないんだよね。
とはいえ、nsd/unbound は問題を起こしてないからそれを言い訳にはできないけど。


466 :名無しさん@お腹いっぱい。:2011/01/07(金) 10:11:13
見つかってないだけかも。

467 :名無しさん@お腹いっぱい。:2011/01/07(金) 16:09:39
Unboundはキャッシュとして使う限りはBIND9と遜色ない
機能はあると思う。DNSSEC validatorとしては最新の仕様に
追従してるし、ローカルデータもフォワーディングゾーンも設定できる。
Unboundに無い機能ってviewくらい?

468 :名無しさん@お腹いっぱい。:2011/01/07(金) 21:21:11
>>467
Unboundはラウンドロビンを無視してTTLが切れるまで常に同じアドレスを返す
というちょっと切ない仕様があったけどアレはその後どうなったのかな


469 :名無しさん@お腹いっぱい。:2011/01/07(金) 22:03:15
最新の1.4.7でもラウンドロビンしないよ
権威サーバから教えてもらった順番のまま答える

> dig +short @localhost www.l.google.com
66.249.89.104
66.249.89.99
> dig +short @localhost www.l.google.com
66.249.89.104
66.249.89.99
> dig +short @localhost www.l.google.com
66.249.89.104
66.249.89.99
> dig +short @localhost www.l.google.com
66.249.89.104
66.249.89.99

470 :名無しさん@お腹いっぱい。:2011/01/07(金) 22:17:59
権威サーバから得たデータは変にいじらずにそのまま
クライアントに返すべきだ、DNSの仕様にもラウンドロビンなんて
定義されてない、というのがUnbound側としての立場だったはず。

とはいえ、ラウンドロビンは必要な機能なんだろうなぁ
Windows Vista は複数Aレコードを得ると
RFC 3484 Rule 9 にしたがって特定のIPを選択
するのでラウンドロビンが効かないんだけど、
Win7 はラウンドロビンが効くように変更されたりしてるし

471 :名無しさん@お腹いっぱい。:2011/01/07(金) 22:21:23
UNIXの getaddrinfo()もラウンドロビンが効くように変更してください!

472 :名無しさん@お腹いっぱい。:2011/01/14(金) 01:17:03
BSDやglibc派生のスマフォンは
DNSラウンドロビン的にどう動くんだろ?

473 :anonymous:2011/01/18(火) 23:57:00
いよいよjpドメインでもDNSSEC使えるようになりましたが、
おまえらDNSSEC使いますか?

474 :名無しさん@お腹いっぱい。:2011/01/19(水) 18:03:47
いやべつに

475 :名無しさん@お腹いっぱい。:2011/01/19(水) 19:35:29
そのうち対応しないととは思っているが検証が面倒くさい
今のところキャッシュDNS鯖の負荷が無駄にあがってるだけだな

476 :anonymous:2011/01/19(水) 19:56:58
DNSSECは効果の割に苦労が大きすぎるから普及は難しいんじゃないか
キャッシュはともかく、権威サーバの運用がとっても面倒だからなー

だいたいDNSSECなしのDNSだってちゃんと運用できてねーし
DNSSECがまともに運用できるとはおもえない


477 :名無しさん@お腹いっぱい。:2011/01/19(水) 20:15:30
なんか IA64(itanium) の大風呂敷を広げたけど受け入れられず、
中庸な AMD64 が受け入れられるような感じ。

だれか DNSSEC よりもうちょっと手軽な仕組みを考えないかな

今思いついたアイデア:

署名の連鎖を考えず、
1.ドメイン(例:example.jp)の管理者は、自分の権威サーバに各種レコードと一緒に、証明書を意味するレコード(Xとする)も登録する
2.ドメイン管理者は、ベリサインから証明書を取得したとする。
3.リゾルバは、example.jp ゾーンの問い合わせをしたときに、ベリサインにも証明書の鍵? みたいなの(Yとする)を取得する。
4.XとYをつじつまが合えば、ドメイン example.jp はクラックされていないと判断する。

SSL みたいにすれば、署名の連鎖とか考えなくてすむんだけどどうでしょう。

478 :anonymous:2011/01/19(水) 20:35:41
とりあえずはTXIDを128ビットとかに
増やすだけでよかったんじゃね
source port randomizationや0x20のやってることの本質は
それだし

479 :名無しさん@お腹いっぱい。:2011/01/19(水) 20:54:39
>>477
それをやると証明書屋さんばっかり儲かっちゃうのよね。
SSL って netscape の独自規格が元になってるので、
政治的な話とは無関係に仕様が決まっちゃったけど、
インターネットのガバナンスってそういう特定の誰かに
集中/依存する仕組みを嫌うんだよね。

そうはいってもすべてを分散管理できる仕組みなんて作れないので、
IANA とか ICANN とかの組織にそういうのまかせるようにしてあるんだけど、
それでもなお不満がある人も多いわけで。
これが営利の私企業だったらどうなっていたことか、と。
SSL 証明書ってインターネットにおいては営利企業が牛耳ってる数少ない例外なんですよ。


480 :名無しさん@お腹いっぱい。:2011/01/19(水) 21:16:02
>>476
DNSSEC は付け焼き刃の勉強ではすぐにボロが出て失敗するので、
よほど自信あるかよほどの物好きでなければはじめから手を出さない方がいい。
概要だけ理解して、必要だと思えば信頼できる業者にアウトソースする、
つまり手間はかけずに金をかけるのが正しい道だと思う。

もっとも、信頼できる業者がどれだけ存在するのかはなはだ疑問ではあるが。


481 :名無しさん@お腹いっぱい。:2011/01/19(水) 21:22:08
>>479
PKIの維持ってコストがかかるから儲からないとやってられんでしょう
DNSSECのコストをエンドユーザに転嫁しないモデルで、
本当にやっていけるのかねぇ

482 :名無しさん@お腹いっぱい。:2011/01/20(木) 12:24:39
下のはフィッシング用?のコピーサイトなんだけど
正引きしても本家のウォルマートのIP返す

これって技術的にどうやってんの?

ちなみにトップページだけコピーしてるみたいでaguseでチェックしても安全と判定される

http://walmart.f8f8.us/

483 :名無しさん@お腹いっぱい。:2011/01/22(土) 16:11:45
http://www.google.co.jp/search?q=site:arpa

arpaにAレコード作ると何か便利なことでもあるの?

484 :名無しさん@お腹いっぱい。:2011/01/22(土) 23:02:12
ただの設定ミスのような気がする

485 :名無しさん@お腹いっぱい。:2011/01/23(日) 17:27:29
walldnsみたいなことができる。

486 :名無しさん@お腹いっぱい。:2011/01/24(月) 07:58:25
ネームサーバがin-bailiwickにできるから、逆引きにかかる手間が減ったりする

487 :名無しさん@お腹いっぱい。:2011/01/24(月) 21:45:56
なるほど、わからん。

488 :名無しさん@お腹いっぱい。:2011/01/24(月) 23:52:17
http://www.e-ontap.com/internet/nagoya-u/img46.html
に書いてある、コンテンツサーバがキャッシュサーバを兼ねていると
DDos に弱い、ということについて質問です。

自分がDNSサーバやサイトを構築する場合、いちおうコンテンツサーバと
キャッシュサーバは分けて構築していますが、上記のように
兼ねているとDDosに弱い(→ 兼ねていなければ強い?)というのがわかりません。

私が example.jp というドメインを持っているとして、
コンテンツサーバとキャッシュサーバは分けているとする。
分けていても、コンテンツサーバに直接 DDosアタックを掛ければ、
コンテンツサーバは応答が遅くなったりできなくなると思うのですが。

上記の資料では、DNS への DDos 攻撃はキャッシュサーバへ行われることが多い
という前提がある?

489 :名無しさん@お腹いっぱい。:2011/01/25(火) 01:23:06
キャッシュサーバの足回りは動的IPで済む
コンテンツサーバはどうしても固定IPでないと運営が辛い

490 :名無しさん@お腹いっぱい。:2011/01/25(火) 08:32:08
djb教の教えが微妙に混ざっていると思う。経典にあたれば考えがわかると思うよ。

491 :488:2011/01/25(火) 10:04:09
>>489-490
レスどうもありがとうございます。
教典とは以下のことでしょうか?
http://djbdns.qmail.jp/djbdns/separation.html
ここに書いてあることは感覚的には納得がいきます。

外に晒しているDNSサーバがキャッシュサーバの場合、再起検索も受け付ける

再起検索は、再起検索でない検索より負荷が掛かる

検索を多数受け付けるとサーバの負荷が上がる

一方、コンテンツサーバは再起検索を受け付けないように設定する

DDoS(多数の再起検索)が投げられた

再起検索を拒否するように設定されたDNSサーバは、超多数のDNSクエリを
受け付けても、拒否するだけならなんとか耐えられる

こんな感じでしょうか。

492 :名無しさん@お腹いっぱい。:2011/01/25(火) 10:24:35
DDoS 攻撃を受ける、というよりも、
DDos 攻撃の踏み台に使われることがあるんでやめた方がいい。
# 詳細は dns amp でぐぐれ

allow-recursive で再帰検索の acl をかければ防げるけど、
権威サーバと共用してるようなところではどうせそんなことしてないだろう。


493 :488:2011/01/25(火) 10:43:30
>>492
dns amp でググってヒットした記事をいくつか読みました。
なるほど、自分で管理しているDNSサーバのレスポンスよりも、
誰でも使えてしまうキャッシュサーバをインターネット上に置いてしまうことが問題ですね。
(http での open proxy を、インターネット上に置くな、というのと同じか)。

どうもありがとうございました。

494 :名無しさん@お腹いっぱい。:2011/01/26(水) 00:18:44
そろそろBINDも再帰検索受付不可をデフォルトとして
ACL書いた先だけ可能にするという設定になっていいと思うんだよな
9.8あたりでそうしていただきたい

495 :名無しさん@お腹いっぱい。:2011/01/26(水) 01:16:06
>>494
9.4.あたりからそうなってますが。
allow-queryなどのオプションと連動するので中途半端に設定してると意味がないですが。

496 :名無しさん@お腹いっぱい。:2011/01/28(金) 00:10:26
BIND9 のクエリ制限の設定って
allow-query
allow-query-cache
allow-recursion
っていう3つの項目あるけど、この3つの相互作用は
とても分かりづらいよね
9.7.2-P2のallow-queryが効かないバグとか見てると開発者さえ
理解してるか怪しいんじゃないか

497 :名無しさん@お腹いっぱい。:2011/01/28(金) 00:37:41
セキュリティホールもいつになっても止まらないし、
もう BIND の時代は終わりだと思う

sendmail が Postfix になったように、BIND に取って代わるソフトウェアは出てこないのだろうか
コンテンツサーバ→NDS、キャッシュサーバ→unbound がいちおうあるけど。

MyDNS、maraDNS ってどうなの?

498 :名無しさん@お腹いっぱい。:2011/01/28(金) 01:28:35
>>497
そこで、BIND X・・・じゃなくてBIND 10ですよ。

499 :名無しさん@お腹いっぱい。:2011/01/28(金) 02:18:20
売店

500 :名無しさん@お腹いっぱい。:2011/01/30(日) 21:44:27
PowerDNSは?

501 :名無しさん@お腹いっぱい。:2011/01/30(日) 22:41:55
え?

502 :名無しさん@お腹いっぱい。:2011/01/31(月) 14:00:59
え?

503 :名無しさん@お腹いっぱい。:2011/02/02(水) 21:13:27
>>500
フルリゾルバの PowerDNS recursor は2年くらい前から使っているが問題なく動いている
hosts に書いた情報も一緒に混ぜてクライアントに返してくれる機能がなにげに便利

ゾーンサーバ側(PowerDNS Authoritative Server)は使ってないのでわからん

DNSSEC関係については、ゾーンサーバ側が試験中、フルリゾルバ側はまだ




504 :名無しさん@お腹いっぱい。:2011/02/04(金) 03:37:28
PowerDNSよさげだなぁ
いまさらながら評価してみるか

505 :名無しさん@お腹いっぱい。:2011/03/04(金) 13:06:12.13
運用方法について聞きたいんだけど、
例えば2台のDNS(dns1とdns2)と、2台のwwwサーバ(www1とwww2)を用意して、
dns1に問い合わせが来たときはwww1を返す
dns2に問い合わせが来たときはwww2を返す
ということは普通にやってもいいことですか。

506 :名無しさん@お腹いっぱい。:2011/03/04(金) 13:30:44.57
dns1はwww IN CNAME www1
dns2はwww IN CNAME www2
みたいに。

507 :名無しさん@お腹いっぱい。:2011/03/04(金) 14:01:55.88
>>505
普通はやらない。

508 :名無しさん@お腹いっぱい。:2011/03/04(金) 14:05:57.46
>>505
普通にAレコード2つ書くんじゃだめなの?

509 :名無しさん@お腹いっぱい。:2011/03/04(金) 14:20:42.81
>>505
負荷分散とリダンダント両立できないからやめとけ。

510 :名無しさん@お腹いっぱい。:2011/03/04(金) 14:21:04.06
だな
両方のDNS鯖で

www IN CNAME www1
www IN CNAME www2

って書いとけばラウンドロビンする

511 :名無しさん@お腹いっぱい。:2011/03/04(金) 14:59:11.03
CNAMEはさむ必要ないと思うけどな。
直接Aでいいじゃん。

512 :名無しさん@お腹いっぱい。:2011/03/04(金) 15:39:33.87
DNSって鯖の死活なんて分からないよね?
仮にwww1が死んでもそのままアドレスは返すってことかな。

513 :名無しさん@お腹いっぱい。:2011/03/04(金) 15:47:04.73
そうだよ。

514 :名無しさん@お腹いっぱい。:2011/03/04(金) 18:52:10.35
名前解決するだけ

515 :名無しさん@お腹いっぱい。:2011/03/04(金) 20:17:53.27
>>510
CNAMEの多重指定はRFC違反じゃ?
書くならAを2行書くべきだろう。

クライアントの地理情報によって返すアドレスを変えるという手法ならどこかの会社が特許取ってたな。
8.8.8.8とか使われるとアウトだが。

516 :名無しさん@お腹いっぱい。:2011/03/04(金) 20:23:11.04
え、あれ特許なの?
どこの会社?

517 :名無しさん@お腹いっぱい。:2011/03/04(金) 21:31:22.95
HTTP限定でいいならredirect使ってふりわけた方がいいと思う。

518 :名無しさん@お腹いっぱい。:2011/03/05(土) 02:57:53.56
>>517
詳しく

519 :名無しさん@お腹いっぱい。:2011/03/05(土) 08:23:05.12
DNSで負荷分散を解決するんじゃなくて、HTTPフロントエンドで解決するということだろう

520 :名無しさん@お腹いっぱい。:2011/03/05(土) 18:15:55.95
webサーバを二重化したいのにそれをwebサーバにやらせてもしょうがなくね。
リダイレクタが落ちたら終わりじゃん。

521 :名無しさん@お腹いっぱい。:2011/03/05(土) 18:56:09.72
ではリダイレクタも二重化するということで

522 :名無しさん@お腹いっぱい。:2011/03/05(土) 19:00:32.90
大元の人の話は全然二重化の話じゃないんだけど

523 :名無しさん@お腹いっぱい。:2011/03/05(土) 20:02:40.65
なら何がしたかったんだろう。

524 :名無しさん@お腹いっぱい。:2011/03/05(土) 21:09:43.50
開発環境向け、イントラ向け、または、フィッシング詐欺

525 :名無しさん@お腹いっぱい。:2011/03/06(日) 11:50:38.39
>>505
CNAMEじゃなくてAならやったことあるよ。
DNSラウンドロビンの負荷分散が効かないクライアント
向けに負荷分散したかったので(冗長性は別のしくみで確保)
CNAMEだとダメな理由は思いつかない

DNSラウンドロビン効かないクライアント向けに負荷分散して、
かつ冗長性を持たせたいなら、www1とwww2でDNSサーバ動かす
というテクニックもあるぞ

526 :名無しさん@お腹いっぱい。:2011/03/07(月) 10:37:01.48
>CNAMEだとダメな理由は思いつかない

CNAMEは1個だけ、ってRFCに明記されてるから。
そうするとうまく動かないとかそういうことじゃなく。


527 :名無しさん@お腹いっぱい。:2011/03/07(月) 11:08:15.00
DNSサーバそれぞれに1個だけ書くんでしょ。

528 :505:2011/03/07(月) 12:47:08.59
dns1とwww1、dns2とwww2をそれぞれセットにして、
2台の仮想サーバーに入れようと考えたのですが、
片側の仮想がダウンしたときでも、この方法ならサービスが継続できるかと思いまして。

529 :名無しさん@お腹いっぱい。:2011/03/07(月) 13:29:13.46
レコードがキャッシュされちゃってたら意味なくね?
それともダウンしたイベント契機とかでちゃんとシリアル上げるようにするの?

530 :名無しさん@お腹いっぱい。:2011/03/07(月) 13:33:31.63
TTLを短くしとけばいける気もするな。
シリアルは別に上げなくてもいい。

まぁ、普通のやり方ではないけど。

531 :名無しさん@お腹いっぱい。:2011/03/07(月) 20:11:09.20
TTL無視するクライアントあるからね。Internet ExplorerはDNSレコードを引いた結果を
TTLにかかわらず1800秒キャッシュするし(一度IE落とせばOK)、某携帯電話屋の
プロクシサーバは3600秒だった。某サーバソフトは起動時にDNS引いて
その結果を死ぬまで保持する。

それでもOKな用途なら、

> dns1とwww1、dns2とwww2をそれぞれセットにして、
> 2台の仮想サーバーに入れようと考えたのですが、
> 片側の仮想がダウンしたときでも、この方法ならサービスが継続できるかと思いまして。

同じようなようなことをやってるところは知ってる。
そこでは仮想サーバを分離せずに、ApacheとBIND を同時に動かす
サーバを2台用意して、
・どっちかのサーバのネットワークが落ちれば、そのサーバのBINDには
 到達できなくなるので、そのサーバのApacheのアクセスは無くなる。
・Webサーバプロセスの応答を自分自身で監視して、応答に異常があればBINDも停止させることで
 そのサーバのApacheへのアクセスを無くす。
・メンテで片方のサーバ止めたい時はBINDを止めるだけでいい。
ということをやってた。今でも動いてるけど、問題が起きたという話は聞いてないです。


532 :名無しさん@お腹いっぱい。:2011/03/08(火) 10:19:19.62
ちょっと教えて。
ゾーンファイルを変更した後に適用させるのは、
/etc/init.d/bind9 restart でいいかな。

533 :名無しさん@お腹いっぱい。:2011/03/08(火) 10:53:26.13
reload でいいんじゃないの。
その /etc/init.d/bind9 ってスクリプト読んでみ。

534 :名無しさん@お腹いっぱい。:2011/03/08(火) 11:00:05.70
ごめん、reloadあった。
どうもです。

535 :名無しさん@お腹いっぱい。:2011/03/08(火) 11:18:09.59
rndc reload example.com の方がよい。
ゾーンを指定しないと全ゾーンが読み直されるので、
大量のドメインを収容してる場合は非常に重くなる。
数ゾーン程度ならたいして変わらんけどさ。


536 :名無しさん@お腹いっぱい。:2011/03/08(火) 12:08:53.36
ありがとう。覚えとく。

537 :名無しさん@お腹いっぱい。:2011/03/08(火) 12:26:24.23
ああ、
viewで内外を分けたとき、外ゾーンの転送が使えないことがいま分かったよ...

538 :名無しさん@お腹いっぱい。:2011/03/09(水) 00:57:18.88
>>531
それいいな!
dns1とdns2に持たせるレコードのTTLを違うようにすれば
不等負荷分散もできそうだ

539 :名無しさん@お腹いっぱい。:2011/03/09(水) 16:44:19.87
メンテで片方のサーバ止めたい時はBINDを止め
た瞬間からlame delegationです

540 :名無しさん@お腹いっぱい。:2011/03/09(水) 16:52:57.11
>>539
わかってないな。NSレコードは両方書いておくんだよ。
ってかやってることはGSLBと変わらん。

541 :名無しさん@お腹いっぱい。:2011/03/09(水) 18:02:54.65
lameっちゃlameだけど、ゾーンに複数ある権威サーバのどれかが故障で
止まってる状態に過ぎないわな。
普通にあり。

542 :名無しさん@お腹いっぱい。:2011/03/09(水) 18:07:12.73
計画メンテならちゃんとTTLを調整してレコードを書き換えてやれば良いだけ
必要もないのに故意に権威サーバを障害状態にして世のキャッシュに被害を与える
どこがありなのか明快に説明してほしい

543 :名無しさん@お腹いっぱい。:2011/03/09(水) 18:48:07.92
複数ある権威サーバのうちどれかが故障して応答返せなかったり、
ネットワーク障害で到達できなかったり、パケロスで応答が帰らな
かったりは、普通にDNSで想定されてるし、しょっちゅう起こってる。
その時のキャッシュサーバ(フルリゾルバ)の動作も
RFC 1034の時代から明確に決められてる(別のNSを選択する)ので
lameを放置したりしない限り問題ないというのが俺の認識なんだけども。

> 計画メンテならちゃんとTTLを調整してレコードを書き換えてやれば良いだけ

そういう生真面目な態度は嫌いじゃないし、それが正しいことは同意する。
でも、自ゾーンの権威サーバのメンテのために、上位ゾーンの
レジストラにメンテ対象のNSレコード消してもらってメンテ終わったら
復活してもらうのか?(2台あったらそれを2回やるのか?)
NSレコードの変更に金がかかるレジストラもあるというのに。

544 :名無しさん@お腹いっぱい。:2011/03/11(金) 07:23:55.68
DNSSECできないね

545 :名無しさん@お腹いっぱい。:2011/03/11(金) 07:27:18.08
そうでもないか・・・

2台のサーバで同じZSKとKSK使えばOK?

546 :名無しさん@お腹いっぱい。:2011/03/11(金) 09:06:04.28
2台でZSK/KSKが違っても問題なし
どちらも有効な署名があって両方のDSレコードが
親ゾーンに登録されていればいい
どうせDNSSECなんか難しすぎて誰も運用できないが

547 :名無しさん@お腹いっぱい。:2011/03/15(火) 10:21:50.44
SOAレコードのアドレスってAレコードに書いてないといけないんだよね?
ttp://www.atmarkit.co.jp/flinux/rensai/bind02/bind02.html
のサンプルはそう書かれてないし、むしろ最後にはCNAMEに書いてるんだけど、
これは間違い?

548 :名無しさん@お腹いっぱい。:2011/03/15(火) 11:27:57.50
そもそもあれ使われることあんのかな。

549 :名無しさん@お腹いっぱい。:2011/03/15(火) 11:36:12.39
SOAよりNSのホスト名がCNAMEされてるのが気になるな。
RFC1912の7ページあたり。

550 :名無しさん@お腹いっぱい。:2011/03/15(火) 18:40:27.76
素人はCNAME使うなと言いたい

551 :名無しさん@お腹いっぱい。:2011/03/19(土) 15:26:20.92
bind9とheartbeatの組み合わせで片側を再起動したりすると
起動後に名前解決できなくなるってことある?
bind9をリスタートさせれば戻るんだけど。

552 :名無しさん@お腹いっぱい。:2011/03/19(土) 16:08:34.94
>>551
heartbeat使ってないからわからないけど
BINDが自分のIPアドレスを認識してないんじゃない?
定期的にインターフェイスチェックして見つけてくれると思うけど。

553 :名無しさん@お腹いっぱい。:2011/03/19(土) 16:27:01.63
>>552
netstat -lnで確認したらどうもそうらしい。
haresourcesにbind9を追加してheartbeatと連動するようにしたらできt。

554 :名無しさん@お腹いっぱい。:2011/03/19(土) 23:06:13.53
>>552
ユーザーをrootから一般ユーザへ降格させてると特権ポートがバインドできなくなって(以下略
restartではなくstop->startが必要になる。

555 :名無しさん@お腹いっぱい。:2011/03/22(火) 12:15:08.53
今まであまり意識したことなかったが、
BINDって 0.0.0.0 や :: に bind(2)できないのか……


556 :名無しさん@お腹いっぱい。:2011/04/03(日) 01:52:48.53
.comドメインもDNSSEC対応か
verisign.comさえ署名してないのに誰が使ってるのかね

557 :名無しさん@お腹いっぱい。:2011/04/06(水) 22:21:17.21
お名前で取得したドメインを、さくらのサーバーで使用するためにNSの設定を完了し、数分後にwhoisで確認するとNSはしっかりさくらになっており、サーバーのIPもさくらになっています。
aguseなどで確認したり、関東の友人数人に確認してもらうと、しっかり反映されてページが表示されるのですが、自分の住んでいる地域だけは、ISPを変えてもPCを変えても、お名前のドメインパーキングページが表示されます。pingで確認しても、IPはお名前のままです。
もちろん24時間ほどでしっかり見れるようになるのですが、なぜ自分の住んでいる地域だけが、反映が遅いのでしょうか…?
ちなみに、GMO系列以外で取得したドメインは、即反映されて自分の地域でも普通に閲覧できます。
何年もずっと疑問なのですが、説明してくれるようなサイト等はありませんか?

558 :名無しさん@お腹いっぱい。:2011/04/07(木) 00:28:25.23
浸透いうな、の類?

559 :名無しさん@お腹いっぱい。:2011/04/07(木) 00:43:07.12
単にネガティブキャッシュヒットしてただけだろ。
「ISPを変えても」が実際にはアクセス網のOEM提供で実態は一緒だったりもするし。


560 :名無しさん@お腹いっぱい。:2011/04/07(木) 10:55:12.13
キャッシュサーバーなんぞ、自分で立てるなりgoogleのを使うなりすればいーんでね?

561 :名無しさん@お腹いっぱい。:2011/04/07(木) 10:59:50.53
そもそも板違いじゃね。

562 :名無しさん@お腹いっぱい。:2011/04/07(木) 11:11:04.43


563 :名無しさん@お腹いっぱい。:2011/04/07(木) 11:13:21.89
会社のHP、外からはhttp://www.・・・・で見ることができるのに、
社内から直接ローカルIPを叩かないと見れません。
なぜですか。

564 :名無しさん@お腹いっぱい。:2011/04/07(木) 11:26:57.69
ネットワーク管理者に聞いてください。

565 :名無しさん@お腹いっぱい。:2011/04/07(木) 12:09:54.12
>>557 plus

っip
  くらは咲いて居て始めてみれる物ですが…

566 :名無しさん@お腹いっぱい。:2011/04/07(木) 18:33:25.81
turbolinuxをDNSに設定しろて…。
誰かおすすめサイト教えてくだちぃ

567 :名無しさん@お腹いっぱい。:2011/04/07(木) 18:42:57.73
そんなのどうでもいいじゃん

568 :名無しさん@お腹いっぱい。:2011/04/07(木) 19:00:11.72
>>566
やり方は環境によって違うので、
ネットワーク管理者に聞いてください。

569 :anonymous:2011/04/07(木) 20:02:04.86
turbolinuxってまだ生きてるのか

570 :名無しさん@お腹いっぱい。:2011/04/08(金) 10:27:48.03
死んでます

571 :anonymous:2011/04/10(日) 05:47:36.90
>>556
exanames.com
infoblox.com
jasadvisors.com
verisignlabs.com

jpドメインは iij.ad.jp と jprs.co.jp くらいしかなさそう?

572 :名無しさん@お腹いっぱい。:2011/04/10(日) 22:15:24.72
どのDNSを選べばいいんよ
iwayuru設定ファイルコピペと文字列置換だけで手軽に運用してえのよ

573 :名無しさん@お腹いっぱい。:2011/04/11(月) 08:10:13.21
それなら設定ファイルを引っ張ってくるところにあわせればー

574 :名無しさん@お腹いっぱい。:2011/04/11(月) 10:00:30.88
>>572
そういう人はサーバ運用しない方がいい。

575 :名無しさん@お腹いっぱい。:2011/04/11(月) 10:23:18.39
>>571
jp だと、sannet のレンサバを使ってるドメインがほとんどすべて DNSSEC 化してる。
ユーザーがやめてくれと申し出ないかぎりデフォでやるという、
神対応なんだかひどい仕打ちなんだかよくわからんことになってる。


576 :アクロンなら毛糸洗いに自信が持てます:2011/04/11(月) 17:07:32.91
地震に強い、DNSの設定方法を教えてください

577 :名無しさん@お腹いっぱい。:2011/04/11(月) 20:57:07.50
>>576
地域的分散

お金あるなら、IPAnycastオヌヌメ

578 :名無しさん@お腹いっぱい。:2011/04/15(金) 03:24:38.58
>>575
おー本当だ

579 :名無しさん@お腹いっぱい。:2011/04/16(土) 20:09:23.45
プロバイダー自らDNSポイズニングする日が来るとは思ってもいなかった・・・
8.8.8.8に逃げるか
でも遅いんだよな

580 :名無しさん@お腹いっぱい。:2011/04/16(土) 20:32:49.86
別にブロッキング回避する目的ではないが、俺はUnboundのWin32版を動かしてるよ
インストールするだけで127.0.0.1でDNSSEC Validator付き
DNSサービス起動するので便利。
http://www.unbound.net/download.html

このやり方が普及するとDNS権威サーバの負荷が上がっちゃうな

581 :名無しさん@お腹いっぱい。:2011/04/21(木) 23:49:15.12
ブロッキング始まったか
DNSポイゾニング方式ってどうやってるんだ?
BINDとかで簡単にできるのかな?

582 :名無しさん@お腹いっぱい。:2011/04/22(金) 00:13:01.19
プロバイダにブロッキングされるこんな世の中じゃ

583 :名無しさん@お腹いっぱい。:2011/04/22(金) 00:43:55.43
>>581
RPZ

584 :名無しさん@お腹いっぱい。:2011/04/22(金) 00:49:42.62
RPZってBIND9.8の機能だからプロバイダはまだ使ってないんじゃね
普通に named.confに zone "blocked.example.com" { ... }
を延々と書いてるはず

585 :名無しさん@お腹いっぱい。:2011/04/24(日) 16:36:54.93
DNSでフィルタリングなのか
Privoxyみたいなソフトを仲介させて全体か一部を逐一弾くめんどい形式なのかと思ってた

586 :名無しさん@お腹いっぱい。:2011/04/24(日) 17:17:24.65
実施している所ってgoogleなどの8.8.8.8は使えないのかな
外部へのudp53は止めてるのかねえ

587 :名無しさん@お腹いっぱい。:2011/04/24(日) 21:01:06.36
>>585
DNSが多いらしい

>>586
8.8.8.8では今のところフィルタリング無しみたいだ
googleってブロッキングリストの供給受けているのに
http://www.netsafety.or.jp/about/003.html

うちのISPが提供してるDNSサーバでは問題のドメインは
ブロックされてるが(Aを問い合わせるとニセのIPが返る)、
53/udpは素通しみたいなので、8.8.8.8やローカルのBINDを
使えばブロックされない
なんというザル。。。。

588 :名無しさん@お腹いっぱい。:2011/04/24(日) 21:22:20.08
100%はムリでも、8割9割の人をブロックできればいいんじゃね
参照DNSを8.8.8.8に設定変更できる人がどれだけいるのかと

……エロの力は絶大だからわからんな

589 :名無しさん@お腹いっぱい。:2011/04/25(月) 11:50:28.04
ISPのコールセンターにロリエロサイトを見れない問い合わせが相次いでたりすんのかな

590 :名無しさん@お腹いっぱい。:2011/04/25(月) 12:25:41.19
>>587
googleはweb検索表示にリストを参照するらしい
http://www.netsafety.or.jp/news/press/press-003.html

591 :名無しさん@お腹いっぱい。:2011/04/25(月) 13:39:36.31
検索結果じゃなくGoogle Public DNSの話でしょ?

592 :名無しさん@お腹いっぱい。:2011/04/25(月) 13:46:54.60
間違えて見てはいけないので、リストください。

593 :名無しさん@お腹いっぱい。:2011/04/25(月) 14:40:43.30
>>591
そうだね。
だからgoogleのDNSサーバーはブロッキングの影響を受けないと思われる

594 :名無しさん@お腹いっぱい。:2011/04/25(月) 14:49:28.59
8.8.8.8ってグローバルサービスだからなぁ
一国内でしか有効でないフィルタかけても
って事なんでしょう
それともviewみたいにソースIPによってフィルタ変える?

595 :名無しさん@お腹いっぱい。:2011/04/25(月) 16:54:59.96
通信の秘密を侵害しない方法としちゃ上策?

596 :名無しさん@お腹いっぱい。:2011/04/26(火) 09:19:21.01
第二十一条 2
検閲は、これをしてはならない。通信の秘密は、これを侵してはならない。

597 :名無しさん@お腹いっぱい。:2011/04/26(火) 10:27:36.72
>>596
憲法は、国家から国民に対しての保証であって、
国民が国民に対してやっちゃいけないことを規定するものじゃないんだ。


598 :名無しさん@お腹いっぱい。:2011/04/26(火) 10:36:12.72
(検閲の禁止)
第三条  電気通信事業者の取扱中に係る通信は、検閲してはならない。

599 :名無しさん@お腹いっぱい。:2011/04/26(火) 10:43:36.74
話それてますよー。

600 :名無しさん@お腹いっぱい。:2011/04/26(火) 14:41:52.76
逸らさせたんだよ
計画通り・・・ククク

601 :名無しさん@お腹いっぱい。:2011/04/30(土) 04:59:32.93
DNSブロッキングによる児童ポルノ対策ガイドライン
http://good-net.jp/usr/imgbox/pdf/20110427091336.pdf



602 :名無しさん@お腹いっぱい。:2011/05/06(金) 21:14:59.67
DNSSECについて教えてください。

たぶん何年か後にルートゾーンのトラストアンカー(DNSKEY)が更新されるタイミングがあると思いますが、そのときDNSキャッシュサーバ側の対応ってどうなるんでしょう?

1. ルートゾーンの署名に使われるDNSKEYが新しくなる瞬間にいっせーので世界中のキャッシュにセットするトラストアンカーを更新してキャッシュもクリアする
 ⇒まさかそんなはずはない

2. ルートゾーンの新しいDNSKEYは実際に署名に使われるまで十分長い期間をもって周知されるので、世界各地のキャッシュサーバには事前にそれをセットしておく(ルートゾーンのトラストアンカーが2つセットされている状態になる)
 ⇒たぶんこれ? 新旧のトラストアンカーを区別できるの?

3. RFC5011で自動更新なので素人は心配すんな
 ⇒だったらいいなぁ

603 :名無しさん@お腹いっぱい。:2011/05/07(土) 23:20:47.80
更新するまでDNSSECが廃れないといいですね

604 :名無しさん@お腹いっぱい。:2011/05/09(月) 10:35:29.61
> ⇒たぶんこれ? 新旧のトラストアンカーを区別できるの?

yes
複数ある鍵のいずれかで検証成功すれば OK、ということになってる。

>3. RFC5011で自動更新なので素人は心配すんな

パーミッションがあいてなくて更新すべきファイルに書き込めなかったという
未来が見えるよ……


605 :名無しさん@お腹いっぱい。:2011/05/10(火) 02:12:35.91
>>584
RPZ早速セキュリティホールかよ
http://jprs.jp/tech/security/bind980-vuln-rpz.html


606 :名無しさん@お腹いっぱい。:2011/05/15(日) 13:30:46.00
DNSポイゾニングでブロックと聞いて久々にISPのDNS使ってみたら
行きつけのサイトが見れなかった
ウウウウウウウウウウウンン

607 :名無しさん@お腹いっぱい。:2011/05/15(日) 16:41:14.71
>>606
話題のぷららですか。

608 :名無しさん@お腹いっぱい。:2011/05/15(日) 17:03:45.96
ぷららならばしょうがないがさてどこだろう

609 :名無しさん@お腹いっぱい。:2011/05/15(日) 18:19:53.16
ぷららってDNSポイゾニングじゃないんだな

610 :名無しさん@お腹いっぱい。:2011/05/15(日) 20:47:40.60
コンテンツフィルタですた

611 :名無しさん@お腹いっぱい。:2011/05/17(火) 19:16:59.44
DNS鯖陥落したの

PC側実害無しでけど、飛ばし先ヤバイよ!

このドメイン名は、ICEに襲われました - 国土安全保障調査(タイトル18 U.S.C2254.の当局の下で米国地方裁判所によって出されるseizre warratに基づく)


612 :611:2011/05/17(火) 19:27:02.78
児童ポルノのAdvertisement,distribution,transpotration,receipt,and所有は、最初に対するそのキャリー処罰が連邦prison,aで30年、犯罪者の時間を計る連邦犯罪を250,000ドルのfine,forfeitureと賠償に任命します。

Windowsだとカード番号入力画面出るのか
250ドル 250000ドルなら米韓政府グルだな
欧州串経由では、404

613 :名無しさん@お腹いっぱい。:2011/05/18(水) 01:00:31.62
日本語でおk(英語でもおk)

614 :名無しさん@お腹いっぱい。:2011/05/18(水) 02:51:38.66
中学生レベルの英語を機械翻訳にかけて
日本語になっていない文字の羅列を貼って喜んでいる奴は何をしたいんだ

615 :名無しさん@お腹いっぱい。:2011/05/18(水) 09:53:39.01
prison,a
プリゾン・ア
と読めばいいのかコレ

616 :名無しさん@お腹いっぱい。:2011/05/27(金) 15:39:41.53
またかよ……
http://www.isc.org/software/bind/advisories/cve-2011-1910


617 :名無しさん@お腹いっぱい。:2011/05/27(金) 15:43:28.23
こっちもか……
http://unbound.nlnetlabs.nl/downloads/CVE-2011-1922.txt


618 :名無しさん@お腹いっぱい。:2011/05/27(金) 15:49:15.37
穴多すぎだよなぁ。
根本的になんとかならんのかね。

619 :名無しさん@お腹いっぱい。:2011/05/27(金) 18:00:46.63
皆でnsd+unboundかPowerDNSとかに移行するしかないのか?

620 :名無しさん@お腹いっぱい。:2011/05/28(土) 04:46:42.58
( ´∀`)つ Microsoft DNS server

621 :名無しさん@お腹いっぱい。:2011/05/28(土) 16:59:40.56
ラウンドロビンしてくれるのってBINDだけだっけ

622 :名無しさん@お腹いっぱい。:2011/05/30(月) 07:50:51.95
今週はパッチ入りバージョンの検証で残業予定、めんどくせー

623 :名無しさん@お腹いっぱい。:2011/05/30(月) 12:34:53.75
おめ

624 :名無しさん@お腹いっぱい。:2011/05/31(火) 00:50:44.47
unboundの assertionで落ちるのは DoSというのかね
コンパイル時に--enable-checking や --enable-debug つけて
ないと当たらないし

625 :名無しさん@お腹いっぱい。:2011/05/31(火) 00:57:26.85
BINDの脆弱性はまたDNSSEC絡みか
DNSSECのために脆弱性増えてるなら
なんのためDNSSECかわからんぞ

626 :名無しさん@お腹いっぱい。:2011/05/31(火) 11:47:07.98
クライアント側実装も怪しいもんだな>DNSSEC
で、banスクリプトどこにあんの?

627 :名無しさん@お腹いっぱい。:2011/06/07(火) 13:11:35.95
BIND9の内向き解決にIPv6アドレスを登録するときって
リンクローカルアドレスでいい?

628 :名無しさん@お腹いっぱい。:2011/06/07(火) 15:22:19.72
DNS 的には登録することに問題はないと思うけど、
それを参照するアプリに問題が起きないかどうかは別の話。
少なくともリンクローカルじゃルータを越えられない。
内向きじゃルータとか気にしなくてもいいかもしれないけど、
そういうプライベート用途であればリンクローカルアドレスではなく
ユニークローカルアドレスを使った方がいいと思う。


629 :名無しさん@お腹いっぱい。:2011/06/07(火) 16:29:52.48
リンクローカルな名前解決はmDNS使ってしまいたい

630 :名無しさん@お腹いっぱい。:2011/06/08(水) 09:04:58.89
AAAA遮断したったwwwwwww

631 :名無しさん@お腹いっぱい。:2011/06/08(水) 14:58:24.50
アッー

632 :名無しさん@お腹いっぱい。:2011/06/16(木) 12:10:00.95
recursion って副作用があるね

633 :名無しさん@お腹いっぱい。:2011/06/16(木) 13:34:05.70
というと?

634 :名無しさん@お腹いっぱい。:2011/06/29(水) 22:25:09.38
janogで話がでてるが、
jpゾーンのnsがBIND 9.7.3-P3という版に
なってる
公開されてる最新版はP1
セキュリティホール来るか?

> dig @a.dns.jp version.bind chaos txt
"9.7.3-P2"


635 :634:2011/06/29(水) 22:28:34.86
>>634
ああまちがえた9.7.3-P2ね

636 :ななし:2011/07/02(土) 21:01:24.33
c.dns.jpで使っているultradnsってなに?

637 :名無しさん@お腹いっぱい。:2011/07/03(日) 00:11:06.46
>>636
c.dns.jpのIPアドレスをwhoisしてみ?
ソフトではなくサービス名じゃないか。
なに使ってるか知らないけど。

638 :名無しさん@お腹いっぱい。:2011/07/05(火) 22:33:14.39
>>634
CVE-2011-2464, CVE-2011-2465
9.8.0-P4, 9.7.3-P3, 9.6-ESV-R4-P3


639 :名無しさん@お腹いっぱい。:2011/07/05(火) 23:38:23.42
強烈だねぇ
allow-queryでも防げないとか
どんだけだよこれ

640 :名無しさん@お腹いっぱい。:2011/07/06(水) 12:56:33.03
定期脆弱性

641 :名無しさん@お腹いっぱい。:2011/07/06(水) 20:15:21.17
allow-***の見直しをしてほしい。
わかりにくいったらありゃしない。

642 :名無しさん@お腹いっぱい。:2011/07/06(水) 20:18:40.00
むしろ見直しをしたら訳がわからなくなったと思われ

643 :名無しさん@お腹いっぱい。:2011/07/06(水) 20:54:44.90
さすが9.4だ、何ともないぜ

644 :名無しさん@お腹いっぱい。:2011/07/06(水) 21:00:02.24
>>643
こういうことらしい
ttps://lists.isc.org/pipermail/bind-users/2011-July/084364.html

645 :名無しさん@お腹いっぱい。:2011/07/06(水) 22:55:33.70
BINDここまで品質悪いのは何でだぜ?
BIND10になれば良くなるんだろうか

646 :名無しさん@お腹いっぱい。:2011/07/06(水) 23:44:52.33
月刊『重複をお許しください』

647 :名無しさん@お腹いっぱい。:2011/07/07(木) 07:36:11.78
なんでtar玉が7M近くも有る、そこまで複雑なことやってるか?
修正箇所を含めてコメントがさっぱり無いので検証が面倒い
しかし代替品も中途半端なものばかり

648 :名無しさん@お腹いっぱい。:2011/07/07(木) 10:15:38.26
bind捨てれば幸せ
かも

649 :名無しさん@お腹いっぱい。:2011/07/07(木) 10:19:06.05
tar 玉の中身を見ればわかるけど、ソース以外のものがほとんどだよ。
ドキュメントだけで10MBとか、テストツールだけで5MBとか。


650 :名無しさん@お腹いっぱい。:2011/07/07(木) 14:03:42.61
以下のやりとりの中で、「9.4以下はコード上に脆弱性はあるけど、 攻撃方法が見つかっていないし、安全そうだから、発表しない んだよ。」っという結論に達していいのだろうか。

ttps://lists.isc.org/pipermail/bind-users/2011-July/084368.html

651 :名無しさん@お腹いっぱい。:2011/07/07(木) 16:26:21.08
潜在的に穴はあるけど、外からはその穴をつつけないから危険ではない。
……というところまではいいけど、発表しないんじゃなくて、
その穴を直した修正版をそのうちリリースする、とあるね。
たぶんそれが 9.4 の最終版になるのかな。


652 :名無しさん@お腹いっぱい。:2011/07/07(木) 22:20:42.19
で、実証コードは?

653 :名無しさん@お腹いっぱい。:2011/07/07(木) 22:34:38.76
実証できていないから安全ですw
安全だから対応しなくていいんですw

654 :名無しさん@お腹いっぱい。:2011/07/07(木) 23:09:45.19
実際問題として修正されたのは9.4には無い部分のコードだからな
というわけで本当に>>643

655 :名無しさん@お腹いっぱい。:2011/07/08(金) 11:41:30.14
>>651
この場合のwillは、「予定」ではなく、「願望」だと思われ。
従って、修正版は出ない。


656 :名無しさん@お腹いっぱい。:2011/07/08(金) 15:53:43.75
>>655
9.4-ESV-R5rc1 出ました


657 :名無しさん@お腹いっぱい。:2011/07/08(金) 16:53:05.84
>>656
これまた、失礼いたしました。
rhel の9.2は平気なの?

658 :名無しさん@お腹いっぱい。:2011/07/08(金) 17:10:44.31
>>657
http://www.isc.org/software/bind/security/matrix
redhatがパッチをバックポートしてるだろうから最新のRPMを使ってるかぎりは
たぶん大丈夫だろうけど、少なくとも素の 9.2 はとても使えたもんじゃない。


659 :名無しさん@お腹いっぱい。:2011/07/08(金) 21:03:47.52
>>655
キリッ!

660 :名無しさん@お腹いっぱい。:2011/07/09(土) 09:32:02.50
>>656
いやいや、cve-2011-2464,2425関係ないアップデートじゃないか?changelogに何も書いてないし

661 :名無しさん@お腹いっぱい。:2011/07/09(土) 09:32:59.64
>>654
が正しいのかな?

662 :名無しさん@お腹いっぱい。:2011/07/09(土) 09:55:53.36
>>655 は出たらアップデートしなくちゃいけなくて面倒だから
出ないでほしいなぁという655と俺の願望


663 :名無しさん@お腹いっぱい。:2011/07/09(土) 09:56:59.72
>>661 今回の穴だけに限って言えばね

664 :名無しさん@お腹いっぱい。:2011/07/09(土) 17:32:29.29
>>660
節穴ですか?

ttp://ftp.isc.org/isc/bind9/9.4-ESV-R5rc1/RELEASE-NOTES-BIND-9.4-ESV.html

Bug Fixes
9.4-ESV-R5rc1
? Improved the mechanism for flagging database entries as negative cache records;
the former method, RR type 0, could be ambiguous. [RT #24777]

665 :名無しさん@お腹いっぱい。:2011/07/09(土) 17:36:24.11
BUGではあるがSECURITYでないのがみそということね。

666 :名無しさん@お腹いっぱい。:2011/07/09(土) 18:58:49.07
>>665
正解

667 :名無しさん@お腹いっぱい。:2011/07/11(月) 09:19:02.46
>>663
いや、validator.cに同等の修正が入ってる

668 :名無しさん@お腹いっぱい。:2011/07/11(月) 21:26:30.75
>>644にすべて書いてあるのに何ごちゃごちゃ言ってんだよ。

669 :sage:2011/07/12(火) 21:25:18.97
DNS Invalid Compress DoS とか

670 :名無しさん@お腹いっぱい。:2011/07/12(火) 22:54:06.65
高尚な話題の所、しょうもないこと聞いていい?

host.a.example.com, host.b.example.com の両方によくアクセスするので、
検索ドメインの設定を example.com にしておいて、
host.a や host.b の名前でアクセスするのは、
スタブリゾルバやOS・アプリの実装に依存した方法?

671 :名無しさん@お腹いっぱい。:2011/07/16(土) 06:35:27.68
ホスト名が一段深いのはどうなのかってこと?


672 :名無しさん@お腹いっぱい。:2011/07/16(土) 12:41:15.10
>>670
その環境で楽したいだけなんでしょ?
環境依存かどうか気にしてもしょうがないんじゃない?

673 :名無しさん@お腹いっぱい。:2011/08/01(月) 21:37:17.56
質問があるのですがbomd9.4.3から
最新のbind9.8.0-p4に更新したら
名前解決が遅くなりました。
解決方法はありますか?

674 :名無しさん@お腹いっぱい。:2011/08/01(月) 21:38:55.02
間違えました。
bind9.4.3から9.8.0-p4でした

675 :名無しさん@お腹いっぱい。:2011/08/01(月) 22:14:09.31
named -4
で起動

676 :名無しさん@お腹いっぱい。:2011/08/19(金) 07:05:31.69
bomd 9.4.3 はいいね

677 :名無しさん@お腹いっぱい。:2011/08/19(金) 08:13:12.20
何それ

678 :名無しさん@お腹いっぱい。:2011/08/19(金) 08:30:02.96
中だけ(右手だけ?)ずれている感じか

679 :名無しさん@お腹いっぱい。:2011/08/19(金) 10:57:35.48
なんかバクハツしそうだね

680 :名無しさん@お腹いっぱい。:2011/08/23(火) 12:07:48.65
しかもdaemonっぽい

681 :名無しさん@お腹いっぱい。:2011/08/31(水) 18:27:32.12
NSレコードがよく分からないので教えてください
ドメイン業者のレンタルDNSレコードを使わずに自分でDNS鯖を立てたいのですが、
mydomain.comというドメインを取得し、ns1.mydomain.comとns2.mydomain.comというDNS鯖を立てるとき
mydomain.comのNSレコードにns1.mydomain.comとns2.mydomain.comを指定しますよね
その場合ns1.mydomain.comとns2.mydomain.comはAレコードを持っていなければいけないようですが、
そのns1のAレコードはどこで設定するのでしょう?
ns1はmydomain.comの下位にあるのでそれを管理するのはmydomain.comのNSレコードで設定したns1mydomain.com…
となって名前解決できなくならないのはなぜですか?

682 :名無しさん@お腹いっぱい。:2011/08/31(水) 18:36:54.53
>>681
mydomain.comなら今現在 NSレコードも Aレコードも引けるね。
つまり、自己解決されたんですね、おめでとうございます。

683 :名無しさん@お腹いっぱい。:2011/08/31(水) 18:39:52.24
いや、例えで出しただけです
実在するドメインだったんですかすみません

684 :名無しさん@お腹いっぱい。:2011/08/31(水) 19:33:38.40
このスレには昔から「例示のドメインには example.com とか使え」教のキチガイが棲みついてて
嫌がらせだけが目的の何の役にも立たない >>682みたいなレスしてくるから気をつけるんだな

>>681 それを解決するのがglue レコード。
http://ja.wikipedia.org/wiki/Glue_Record
良い説明が見つからんなぁ

685 :名無しさん@お腹いっぱい。:2011/08/31(水) 20:13:19.22
>>684
それ系のメーリングリストも一緒に購読しておくと
名無しでもそれをやってるのが誰なのか見当が付いてくるw

まぁ他人のドメインを使っちゃうのはまずいとは思うけどね。
Hoge Lumber Companyさんのドメインとかw

686 :名無しさん@お腹いっぱい。:2011/08/31(水) 20:19:43.64
Glueレコードですか、なるほど
その設定をレジストラのサイトで探せばいいわけですね、わかりました
ありがとうございます

687 :名無しさん@お腹いっぱい。:2011/08/31(水) 20:24:04.38
>>684
rootサーバが使ってると思われるゾーンファイルは
各トップレベルドメインのNSがずらーっと書いてあって
さらにその下にそのNSが指してる名前のAやAAAAも
ずらーっと書いてあるね。

688 :名無しさん@お腹いっぱい。:2011/08/31(水) 21:08:12.43
運用上はどうでもいい疑問かもしれませんが、
NSレコードの設定ってTLDを管理してるネームサーバに直接記録されるんですか?
それともレジストラのネームサーバに記録されるんですか?

689 :名無しさん@お腹いっぱい。:2011/08/31(水) 23:07:19.92
>>688
「TLDを管理しているネームサーバ」と
「レジストラのネームサーバ」を具体的に考えれば分かる。
たぶん。


690 :名無しさん@お腹いっぱい。:2011/08/31(水) 23:42:34.03
実在するドメインを例示に使わないのは当然のマナー。
example教は俺も嫌いだが、主張は全く正しい。


691 :名無しさん@お腹いっぱい。:2011/09/01(木) 00:06:41.26
爺か?爺なのか!?

692 :名無しさん@お腹いっぱい。:2011/09/01(木) 00:22:57.66
マナー(笑)

693 :名無しさん@お腹いっぱい。:2011/09/01(木) 00:24:01.05
若さしか取り柄のないDQNが開き直りですか

694 :名無しさん@お腹いっぱい。:2011/09/01(木) 00:48:19.25
example教が「DNS & BIND」とか見れば発狂するよなー
movie.eduとか何だよwww
第4版まではこの体たらくだが
第5版では直ってるのかな?

695 :名無しさん@お腹いっぱい。:2011/09/01(木) 03:35:43.46
example教の糞なところは、example.なんとかを使えとでしゃばるくせに
質問にはノータッチなところだろ。
質問に答えられないほどの無能なのに何やってんの?みたいなw

696 :名無しさん@お腹いっぱい。:2011/09/01(木) 09:34:09.39
第5版でも movie.eduだよ >>694
突っ込むなら先にこっちだよね

697 :名無しさん@お腹いっぱい。:2011/09/01(木) 19:27:45.59
俺はおっさんなのでacme.comが好きだ

698 :名無しさん@お腹いっぱい。:2011/09/01(木) 23:51:54.41
>>697
初めて見たときはドキドキしたのを思い出した
そんな俺もおっさん

699 :名無しさん@お腹いっぱい。:2011/09/02(金) 03:41:59.64
Plan9のエディタかと思ってどきどきしちゃった

700 :名無しさん@お腹いっぱい。:2011/09/02(金) 07:38:11.63
打ち合わせでマニュアルの例示見ながら皆でacme連呼してたな〜

701 :名無しさん@お腹いっぱい。:2011/09/02(金) 09:46:41.52
電話番号の例示にも 0×0-1234-5678 っていうのがよく使われるが、
実在するぞ。さぞ迷惑だろうな。

702 :名無しさん@お腹いっぱい。:2011/09/02(金) 09:54:01.85
懸賞の当選者名の例示にも セシウムさん っていうのがよく使われるが、
実在するぞ。さぞ迷惑だろうな。

703 :名無しさん@お腹いっぱい。:2011/09/02(金) 10:16:36.43
>>701
それは実在しないだろ。

704 :名無しさん@お腹いっぱい。:2011/09/02(金) 12:04:35.28
>>703
正規表現でないから分からないと申したか


705 :ひろゆき:2011/09/12(月) 08:21:56.06
続きはこちらで

くだらない質問はここに書き込め!なんでもアリ24
http://pc.2ch.net/test/read.cgi/unix/1053748966/

BIND その2
http://pc.2ch.net/test/read.cgi/unix/1042989999/

djb(3)
http://pc.2ch.net/test/read.cgi/unix/1047117464/



706 :名無しさん@お腹いっぱい。:2011/09/21(水) 19:07:13.05
8.8.8.8でiPhoneが速くなった!と言ってる人がそれなりにいるということは
余程グダグダなDNSキャッシュサーバが多いってことなのかのう

707 :名無しさん@お腹いっぱい。:2011/09/21(水) 22:34:19.67
禿携帯のインフラがクソなのは鉄板じゃないか

708 :名無しさん@お腹いっぱい。:2011/09/22(木) 01:24:08.18
>>707
3G回線のDNS変更じゃないぞ

709 :名無しさん@お腹いっぱい。:2011/09/22(木) 07:40:12.28
8.8.8.8とか結構改善されているかも

710 :名無しさん@お腹いっぱい。:2011/09/22(木) 12:22:51.45
>>708
あほん興味ないから知らんかった
検索してみたら気味悪いくらい拡散してるな

禿のばらまいたアクセスポイントがキャッシュサーバになってて
キャッシュにヒットしないから遅いって話じゃないの?

711 :名無しさん@お腹いっぱい。:2011/09/22(木) 20:03:36.76
8.8.8.8であるCDNサーバ引くとRTT倍増キタコレw
相変わらず使えねーじゃん

712 :名無しさん@お腹いっぱい。:2011/09/23(金) 01:40:20.25
>>706
十分にユーザ数があれば、メジャーなサイトは大体キャッシュ済み
になるので8.8.8.8がやってるプリフェッチの優位性も薄れるし、まともに
運用されているISPのDNSキャッシュのほうが総合的に良い結果になるはず
なんだけど、やっぱりまともでないキャッシュが多いんだろうなぁ

713 :名無しさん@お腹いっぱい。:2011/09/23(金) 10:01:59.85
児ポトラップがかなりのオーバーヘッドになってそうw
あとIPv6関連か。

最近一発目はアドレスが存在しないエラーが出るサイトが時々ある。

714 :名無しさん@お腹いっぱい。:2011/10/10(月) 19:05:31.08
unboundのprefechって、キャッシュにヒットしたレコードの
TTLが残り少なくなってたら裏で問い合わせをしてTTLを更新するってものなんだな
"popular items"じゃわからんつーの > マニュアル

さすがに放っておいても勝手に問い合わせして
キャッシュを維持するようにしたら怒られるか。

715 :名無しさん@お腹いっぱい。:2011/10/11(火) 09:49:28.93
>>714
google public dnsなんかも同じようなことやってるはず。

今は確認してないが、サービス開始当時はそんな挙動をしてたよ。



716 :名無しさん@お腹いっぱい。:2011/10/11(火) 16:36:12.33
DNSのプリフェッチは、キャッシュサーバがやるにしろクライアントが
やるにしろデメリットが大きい割にメリット少ないのでやめてほしいところ。
Unboundのプリフェッチはまだお行儀がいいほうだが、
FirefoxやChromeがやってるプリフェッチはISPのDNSキャッシュサーバの
負荷を無駄に上げるだけで、結果的に悪くなる方向に誘導しているに等しい。
ベンチマークで勝つためには必要かもしれないが。

717 :名無しさん@お腹いっぱい。:2011/10/12(水) 09:58:20.03
>>716
ブラウザのプリフェッチとキャッシュサーバの
プリフェッチは少し意味合いが違うんじゃ?

キャッシュのは、ちゃんとTTLが切れてから普通
に1回聞きに来るだけだし、googleのだと使用頻度
に応じて、キャッシュを維持する候補から外れる
みたいだし。

ブラウザのはたしかにキャッシュに負担が掛かる
ので、はた迷惑だけどね。

718 :名無しさん@お腹いっぱい。:2011/10/12(水) 17:41:00.76
UnboundはTTLが10%を切ったキャッシュ済みレコードにクエリが
あったときにそのレコードをプリフェッチする。すべての
DNSキャッシュサーバがUnboundのプリフェッチをするようになると
人気があるドメインのDNS権威サーバの負荷が10%上がる。

Unboundのプリフェッチはデフォルトでオフだし、unboundあまり
普及していないから問題にはならないけど、同じことをBIND9でデフォルトで
オンで実装されると困る人が出てくるかも。
ブラウザのプリフェッチほどひどくないけど。

719 :名無しさん@お腹いっぱい。:2011/10/13(木) 10:23:16.97
>>718
たしかに負荷はあがるけど、自分が管理してる
ドメインへのクエリのレスポンス速度が他人の
キャッシュでも上がると考えれば、うれしい人
もいるかも?

キャッシュが落ちてる時の初回応答ってかなり
時間掛かったりするから、その辺が改善される
ならば、自分的にはうれしい。



720 :名無しさん@お腹いっぱい。:2011/10/13(木) 13:03:54.36
プリフェッチの恩恵あるのは、そのレコードのTTLのexpire直後に同じクエリを
出すことになる最初のユーザのみ。2人目以降は、
人気があるドメインやキャッシュサーバならキャッシュ済み、
そうでなければやっぱりexpireしてるかのどちらか。

Unboundのプリフェッチの実装は悪くは無いと思うけど、そのTTL切れ
直後の1ユーザのためだけに、キャッシュ・権威双方で10%の負荷を
上げてまでやるほどのメリットがあるかは微妙だと思う。
もう少し厳密に評価はしたほうがいいけど。

721 :名無しさん@お腹いっぱい。:2011/10/13(木) 19:00:00.60
負荷の高いキャッシュだと、初回応答の遅れが
他への影響が大きくなるパターンとかがあった
希ガス。

BINDだと、スレッドの大半がそのサイトの応答
待ちになって他のクエリが…とか、dnscacheだと
シングルスレッドの待ち行列が詰まるとかそんな
話を聞いたような?

いずれにせよ、聞いた話なので、確かに厳密な
検証は必要ですね。

つーか、そろそろUnboundを真面目に検証する
時間が欲しい。いい加減業務でも使ってみたい。

722 :名無しさん@お腹いっぱい。:2011/10/13(木) 19:56:48.10
づぴぴwwづぐうぃwちゆうぃwぴうぃw


723 :名無しさん@お腹いっぱい。:2011/10/14(金) 03:29:52.55
昔のことはあまり知らないけど、数万qpsのクエリを処理するキャッシュサーバ
運用してる立場から言わせてもらえば、パケット再送やlame delegationで再帰
問い合わせに時間がかかるケースは頻発するので、それくらいで待ち行列が
溢れて黙りこんでしまうキャッシュサーバは今時有り得ないですね。

Unboundは速いしセキュリティホール少なくていいんだけど、
BINDでは引けるがUnboundで引けないドメインが何個か見つかっているのが心配。
だいたい権威サーバ側の問題なんだけど、BINDは権威サーバの問題に
寛容であの手この手で頑張って引いてくれる。Unboundはかなり
厳格で引けなかったりする。いくら権威サーバ側の問題でも、
お客さんにとっては引けないよりも引けるほうがいいからね。

たとえば Unbound users MLでも出てるけど、BINDとUnboundの
DNSSEC規格解釈の差が原因で、DNSSEC ONのUnboundでは faa.gov が
引けない (BINDでは引ける) 問題は絶賛進行中。

724 :名無しさん@お腹いっぱい。:2011/10/14(金) 10:29:29.88
dnscacheは同時クエリー上限がUDP 200、TCP 20になってる。
この程度は大規模なキャッシュサーバだとわりと簡単に溢れる。
この値はハードコーディングされてて設定ではいじれない。


725 :tss:2011/10/14(金) 10:53:52.70
寛容というかいいかげんだからおかしなドメインが溢れかえるし、毒入れなんかもおきやすくなる。
BINDが寛容にみえるのは、過去仕様をころころかえている自分を許すため。
過去には、バグで毒入れできるのをDNSの仕様が悪いなんて嘘をついてもいるし。
これについてはまだ真相は表では語られていない。

726 :名無しさん@お腹いっぱい。:2011/10/14(金) 14:35:26.00
>>724
dnscacheっていうかdjbの思想として、
1台のDNSキャッシュに多数のクライアントぶら下げるんじゃなくて
各自ローカルのキャッシュ動かせ、というのがあった気がする
大規模キャッシュという使い方はあまり想定していないように見える

>>725
その真相を語ってくれよ先生

727 :名無しさん@お腹いっぱい。:2011/10/14(金) 18:47:12.00
マルチスレッド動作のBINDだと、キャッシュExpire後の
初回問い合わせが応答遅いと、他のスレッドで同じクエリ
を出してて応答待ち状態なのに、クエリを出しちゃうとか
はあったかも。

あと、Windowsなんかだと、優先DNSの応答が遅いとすぐに
代替DNS側にもクエリが行くので、代替に負荷が溜まりや
すかった気がする。特にネガティブキャッシュになるレコ
ードだと顕著だったかと…

まあ、ささいな話なんだふが。

>>724
昔どっかのMLでソースを改変してる人を見たような気が
したけど、何かの理由であまり効果がなくてうんぬん
とか話してた気がする。

728 :tss:2011/10/16(日) 00:16:26.83
そのうち語る予定。

729 :tss:2011/10/19(水) 17:29:55.06
>>726
昨日、DNSOPS-JP ML へ真相の一旦を流しました。
http://www.e-ontap.com/dns/bindmatrix.html

730 :tss:2011/10/20(木) 00:09:45.00
一端 orz

731 :名無しさん@お腹いっぱい。:2011/10/20(木) 18:29:27.61
トリップつけてblogのどこかに書いておきなよ先生
ここID出ないんだから


732 :名無しさん@お腹いっぱい。:2011/10/20(木) 19:04:32.57
こういところで自サイトの宣伝する奴はカスだな

733 :名無しさん@お腹いっぱい。:2011/10/20(木) 20:50:12.60
書かれてることはウソではないんだろうが、
3年後にドヤ顔で言われてもなぁ
「DNSプロトコルの脆弱性てはない」
というところは議論の余地はありそうだが
議論しても何も生産的なことはなさそうなんで何も言わない

734 :名無しさん@お腹いっぱい。:2011/10/22(土) 21:48:20.54
ほげー

735 :名無しさん@お腹いっぱい。:2011/10/23(日) 19:38:53.40
崩壊→浸透→移行の次は
「Kaminsky attackはウソだった!」ですか
売名も大変ですね 私大教員も楽じゃない

736 :tss:2011/10/24(月) 08:17:57.55
ウォッチしていてくれてありがとう ;-)

737 :名無しさん@お腹いっぱい。:2011/10/26(水) 00:26:02.00
BIND 9.7.3-P3なんだけど、forwarders経由の情報を
ネガティブキャッシュしないっぽいんだけど設定がおかしいのかな?
NXDOMAINもNXRRSET(Aしかないドメイン大してAAAAを引いた場合)
もキャッシュしないみたいなんですが。

// named.conf はこれだけです↓
options {
forwarders { 10.0.0.1;}; // プロバイダのキャッシュサーバ
forward only;
};

738 :名無しさん@お腹いっぱい。:2011/10/26(水) 00:28:21.10
ネガティブキャッシュしないというのは、
NXDOMAIN/NXRRSETになるパターンだと必ずプロバイダのキャッシュサーバ
に聞きに行ってるということです。ポジティブキャッシュは効いてるみたい。

739 :名無しさん@お腹いっぱい。:2011/10/26(水) 19:31:34.97
ほんとだ。何か理由があるのかな。

740 :名無しさん@お腹いっぱい。:2011/10/26(水) 20:15:55.47
ちょうど上でKaminsky attackの話が出てきたので思ったんだけど...

ポジティブキャッシュするけどネガティブキャッシュしないってことは
Aしかないドメインに、ニセのAAAAレコードを追加する攻撃が成功する
確率が上がるんじゃね

741 :tss:2011/10/26(水) 22:02:45.90
良いところに気がつきましたね ;-)

742 :名無しさん@お腹いっぱい。:2011/10/27(木) 00:04:49.70
あんたいつも上から目線だな

743 :名無しさん@お腹いっぱい。:2011/10/30(日) 01:14:35.72
タイムスタンプみればわかるだろ
寂しいんだよ

744 :名無しさん@お腹いっぱい。:2011/10/30(日) 17:16:01.51
「浸透いうな」が言葉狩り扱いされて残念でしたね先生
その上から目線の態度じゃ仕方ないけどね

745 :名無しさん@お腹いっぱい。:2011/10/30(日) 18:36:26.37
なんで最近「浸透言うな」ネタがはやってるん?
タイムラグが起きる事を端的に表した良い言葉だと思うんだけど
TTL調整は当たり前だろうに

746 :名無しさん@お腹いっぱい。:2011/10/30(日) 19:36:38.26
言葉狩り、とレッテル貼るだけ、ってのも言葉狩り
同じ穴の貉なんだけどなw

747 :名無しさん@お腹いっぱい。:2011/10/30(日) 19:50:24.92
>>745
今騒がれてる「浸透」問題はTTLはほとんど関係ない 言葉の問題でもない
DNS権威サーバの構成や設定や変更手順がまずくて、権威サーバでDNSレコードを変更しても、
TTLが経過しても、世間のキャッシュサーバのデータが新レコードに
なかなか更新されない現象に関する問題

ただ何だか知らんがtss先生が上から目線で「浸透いうな」とtweetしまくって
くれたせいで世間には言葉の問題と捉えられてしまった
(あの文書長くて読む気しないし)

さらにどういう意図か知らないがオレンジ氏が先日の講演で
「浸透という言葉は技術的におかしい」という話だけに終始して言葉の
問題であることを強調してしまった。オレンジ氏ってJPRS広報担当だそうだが

どいつもこいつもオhルな……

748 :名無しさん@お腹いっぱい。:2011/10/30(日) 20:41:03.02
「浸透」という言葉を当てるなということ?
Virtualが仮想ではないということのように。

749 :名無しさん@お腹いっぱい。:2011/10/30(日) 21:16:27.04
>>748
DNSの仕組みがわかっていれば「浸透」と表現することはない。

750 :名無しさん@お腹いっぱい。:2011/10/30(日) 21:47:21.11
クライアントが問うまでレコードは一切流れないもんね。

751 :名無しさん@お腹いっぱい。:2011/10/30(日) 22:02:19.49
わかってる人がどう言ってるのか教えてください
ボクもわかってるフリをしたいです

752 :名無しさん@お腹いっぱい。:2011/10/30(日) 22:23:59.74
地球に天体が衝突しそう!

NASA「地球はよく小惑星が落ちてくるんで仕方ないですわー」(本当は軌道を変える方法があるのに)
tss「小惑星いうな」
Orange「あれを小惑星と呼ぶのは技術的におかしい。小惑星の定義とは……」


こうですかわかりません><

753 :名無しさん@お腹いっぱい。:2011/10/31(月) 01:32:50.05
それクスッともこないんだけど

754 :名無しさん@お腹いっぱい。:2011/11/03(木) 23:12:21.80
教授達も、PacketiX VPNでネットワーク作るなり
DNSの経験を積ませればいいのに・・・
すでに日本にはマシな技術者がいないという事か・・・

755 :名無しさん@お腹いっぱい。:2011/11/04(金) 00:16:02.07
なぜSoftEther

756 :名無しさん@お腹いっぱい。:2011/11/04(金) 00:26:07.59
同じリスト&キャッシュポイズニング的な意味で
「qmail.jp」「e-ontap.com」は要注意ですね

757 :名無しさん@お腹いっぱい。:2011/11/04(金) 01:14:37.80
大学准教が多数のDNSサーバを攻撃中!(ソースはニュー速)
ってtwitterにデマ流せばいいのか

758 :名無しさん@お腹いっぱい。:2011/11/04(金) 01:36:33.07
次のテンプレで閲覧注意が丁度よいかと
さすがに攻撃はせんでしょ


759 :名無しさん@お腹いっぱい。:2011/11/04(金) 01:38:11.93
くだらねーことしてる暇があったらRFC1912をupdateする活動してくれよ先生

760 :名無しさん@お腹いっぱい。:2011/11/04(金) 09:54:56.03
>>759
RFC1912って何かマズいの?

761 :名無しさん@お腹いっぱい。:2011/11/04(金) 10:36:46.56
>>758
危険なDNSサーバとやらで見に行った後
何されるかわからんけどなw

762 :名無しさん@お腹いっぱい。:2011/11/04(金) 22:00:47.52
>>760
RFC1912の内容がさすがに古いんじゃねってこと
Informational RFCのupdateってあるのかどうかしらんけど、
オープンリゾルバやソースポート固定や「浸透」の問題を明示的に
書いたRFCも無いと思うので、そういうのを盛り込んで更新するのがいいと思う
日本国内だけの問題じゃないしね

763 :名無しさん@お腹いっぱい。:2011/11/04(金) 22:07:41.49
open resolverはRFC5358があるか

764 :名無しさん@お腹いっぱい。:2011/11/07(月) 15:42:13.05
DNSが「浸透」するものならinfiltrationとかpenetrationとか言われてるんだろうけど、
実際にはpropagationと言われてるからそれは伝播だろうということだな?

765 :名無しさん@お腹いっぱい。:2011/11/07(月) 19:25:15.63
tssさんの調査かと思った
named[1822]: client 74.115.28.50#10053: query (cache) 'dankaminsky.com/A/IN' denied

766 :tss:2011/11/08(火) 09:05:39.00
propagation いうな

767 :726:2011/11/12(土) 21:17:03.17
>>729
盛り上がって?ますな

jinmeiさんの言うとおり、Kaminskyの発表自体には誤りはあったけど、
原理は依然有効で、BINDのバグが無くてもニセ委任情報の毒入れ
(の確率を上げること)は可能だしその議論も既出なんだよね。それでよくね?
もう屁理屈モードに入ってきてるけど、あんまり人に絡むもんじゃないよ先生

それにKaminsky attackは間違いだったということをあまり強調しすぎると、
port randomizationみたいな対策しなくていいよという話にもなり
かねんと思う。先生も良くご存じのように、どうせちゃんと説明しても
理解する人は少数なんだし。

ちなみに、DNSSECディスりたくて仕方ないようだけど、誰がプロモしようが
今のままのDNSSECは運用が難しすぎてディスるまでもなく
普及しないから無視していいと思います。まぁ、スペック表に○を増やしたい
人もいるのは見逃してやれよ。DNSなんて差別化できなくて久しくて、
リストラの危機に常にさらされてるわけだから。

768 :名無しさん@お腹いっぱい。:2011/11/12(土) 22:31:16.29
あの攻撃的な論調にもかかわらず当事者と言っていい人からコメントもらえたのに何が不満なんだか
かまってちゃんだな



769 :名無しさん@お腹いっぱい。:2011/11/12(土) 23:37:04.96
上から目線で思わせぶりにうそぶいたところで
痛いお馬鹿さんにしか見えないって気付いてほしいw

770 :名無しさん@お腹いっぱい。:2011/11/13(日) 00:47:19.44
いつも核心を書かないよね。
話長引くだけなのに。

771 :名無しさん@お腹いっぱい。:2011/11/13(日) 01:30:15.96
ていうか、早く「論文」とやらを書けよw

772 :名無しさん@お腹いっぱい。:2011/11/13(日) 19:40:55.20
仕方ないよ、VISA.co.jpを救ったという実績だけで
天狗になってんだもん。
次の実績は、キャッシュポイズニングって事。

ちなみに、
http://www.aguse.jp/
を使うと、whoisだとかマルウエアだとかチェックしてくれるよ


773 :名無しさん@お腹いっぱい。:2011/11/14(月) 11:13:18.09
DNSSECやDNSCurveが守るのはDNS仕様の穴による
キャッシュポイズニングだけじゃないんだけど、
disってる人はそこのところわかってるのかしら。

DNSSECやDNSCurveは、DNSの穴だけでなく、その穴に頼らず
通信経路上でパケット書き換えするような攻撃に対しても防御する。
telnetやHTTPというプロトコル自体に穴があるわけじゃないけど、
経路上での盗聴を防ぐためにsshやHTTPSを使うのと同じ発想。
port randomizationはあくまでDNSの穴をふさぐためだけのもので、
経路上でなされる攻撃に対してはまったく効果がない。

DNSSECをdisるのは別に好きにすればいいと思うけど、
kaminsky attackはそれほど脅威じゃない、port randomizationだけやってれば
十分だからDNSSECはいらない、って方向から攻めるつもりなら
見当違いだからやめた方がいいよ。同時にDNSCurveもdisることになるし。

経路乗っ取りなんてありえないからdnssecもsshもsslもいらない、
というつもりなら止めないけど。


774 :tss:2011/11/14(月) 12:46:13.04
誰だかわかりますよ ;-)
DNSSEC の問題は DNSSEC自体にあるのではなくて、その推進によってそれ以外の対策が疎かにされていることにあります。
port固定もまだまだ多いし、オープンリゾルバもなかなか減らない。
そのあたりの読解よろしく。

775 :tss:2011/11/14(月) 12:52:13.84
そうそう。Kaminskyの説明は間違いですが毒入れは簡単です。誤解なきよう。

776 :名無しさん@お腹いっぱい。:2011/11/14(月) 14:16:24.24
DNSSECが無かったからといってそれ以外の対策が今よりも
進んでたかというとそうじゃないだろ。むしろDNSSECを
採用してるオペレータのほうが比較的進んでるでしょ(あくまで「比較的」だが)。
これに関してはdisる対象はDNSSECじゃないと思う。

777 :名無しさん@お腹いっぱい。:2011/11/14(月) 15:47:42.60
>>774
で、相変わらずまともな周知活動やるつもりないんですか?

778 :名無しさん@お腹いっぱい。:2011/11/14(月) 17:23:44.46
もしも、てぃんぽにIPがあったら
毒入れこわいです;;

779 :名無しさん@お腹いっぱい。:2011/11/14(月) 19:44:13.69
お前らなんだかんだでtss先生にやさしいじゃねぇか

780 :名無しさん@お腹いっぱい。:2011/11/14(月) 21:36:12.30
べ、べつにあんたのために書いてるわけじゃないんだからね

781 :名無しさん@お腹いっぱい。:2011/11/15(火) 16:32:52.71
アレな人はコントロールできる範囲でコントロールしておかないと余計に面倒くさいからだろ。

782 :名無しさん@お腹いっぱい。:2011/11/15(火) 20:49:46.13
コントロールできると思ってるのかい?

783 :名無しさん@お腹いっぱい。:2011/11/15(火) 22:17:00.79
嘘大げさ紛らわしいデマ発言は片っ端から否定していけばよかろう



784 :名無しさん@お腹いっぱい。:2011/11/16(水) 01:06:51.89
>>782
コントロールできる範囲でならコントロールできるだろう。

785 :名無しさん@お腹いっぱい。:2011/11/16(水) 13:14:44.18
同じ上から目線 ってのは
qmail.jpも同じなんだけどねw


786 :名無しさん@お腹いっぱい。:2011/11/16(水) 20:17:33.09
おまえらアップしとけよ

787 :名無しさん@お腹いっぱい。:2011/11/16(水) 20:18:57.10
これこれ
https://www.isc.org/software/bind/advisories/cve-2011-tbd

788 :名無しさん@お腹いっぱい。:2011/11/16(水) 21:08:07.93
メール使えば外からでも撃ち落されるかもってことでFA?
https://lists.isc.org/pipermail/bind-users/2011-November/thread.html

789 :名無しさん@お腹いっぱい。:2011/11/16(水) 21:47:27.26
パッチまだかな

790 :名無しさん@お腹いっぱい。:2011/11/17(木) 11:33:13.04
赤帽
https://bugzilla.redhat.com/show_bug.cgi?id=754398

791 :名無しさん@お腹いっぱい。:2011/11/17(木) 12:45:27.24
パッチは出たけど、とりあえず落ちないようにしただけで穴はふさがれていない。
もしかしたら、素直に落ちてくれた方がまだマシだったという可能性もありうるので要注意。


792 :名無しさん@お腹いっぱい。:2011/11/17(木) 13:23:58.36
原因わかってないんだよね
パッチって言えるのかあれ

793 :名無しさん@お腹いっぱい。:2011/11/17(木) 13:26:07.54
パッチとは言えるだろ。

794 :名無しさん@お腹いっぱい。:2011/11/17(木) 13:44:23.70
CHANGESのとおりだろ?
--- 9.8.1-P1 released ---
3218. [security]
Cache lookup could return RRSIG data associated
with nonexistent records, leading to an assertion
failure. [RT #26590]



795 :名無しさん@お腹いっぱい。:2011/11/18(金) 05:55:31.05
パチパチ
https://rhn.redhat.com/errata/RHSA-2011-1458.html

796 :名無しさん@お腹いっぱい。:2011/11/18(金) 07:04:42.30
商用機に当てる前の検証やってるんだけど
終わった頃に新パッチが出そうで虚しい

797 :名無しさん@お腹いっぱい。:2011/11/18(金) 09:53:59.23
次の仕事加が出来てよかったじゃん
N関連で

798 :名無しさん@お腹いっぱい。:2011/11/18(金) 11:20:58.12
うちのbind-9.2.4ちゃんは元気だよ?


799 :名無しさん@お腹いっぱい。:2011/11/20(日) 01:08:08.05
>>798
よかったな、カツ丼食うか?

800 :名無しさん@お腹いっぱい。:2011/11/20(日) 17:57:05.72
BIND9はバグが多くてダメだな
うちのBIND8.4ちゃんは4年アップしないで済んでるぜ

801 :名無しさん@お腹いっぱい。:2011/11/20(日) 18:04:14.75
8のバグは周知されないだけ。

802 :名無しさん@お腹いっぱい。:2011/11/20(日) 18:13:33.19
マジレスされてもな…
でもBIND8や初期のBIND9のままって所けっこうあるよね
脆弱性発表されないから大丈夫と誤解してる奴もいるんじゃないか

803 :名無しさん@お腹いっぱい。:2011/11/20(日) 18:30:43.58
客先で古いSolarisでBIND4動いてるよ
保守範囲じゃないから知らないふりしてる

804 :名無しさん@お腹いっぱい。:2011/11/21(月) 07:41:32.42
bindで
zone "in-addr.arpa" {
type slave;
file "in-addr.arpa.slave";
masters {
192.5.5.241; // F.ROOT-SERVERS.NET.
};
notify no;
};
で動かしていたのですが

named[???]: zone in-addr.arpa/IN: expired
になっています

やめた理由等が書いてあるページ等
これに関する情報ありますでしょうか?




805 :名無しさん@お腹いっぱい。:2011/11/21(月) 08:25:43.88
そんな設定どこでおぼえたんだ。

806 :名無しさん@お腹いっぱい。:2011/11/21(月) 10:15:30.58
理由を知ってどうしたいのか知りたい。

807 :名無しさん@お腹いっぱい。:2011/11/21(月) 14:14:30.74
>>806
そりゃ晒し上げにゃ、元ネタを聞くのが一番w

808 :名無しさん@お腹いっぱい。:2011/11/21(月) 15:15:34.22
>>804
そんな設定をしたくなった動機の方が気になるわ


809 :名無しさん@お腹いっぱい。:2011/11/21(月) 17:00:48.15
root name server がaxfr受け付けない根拠は RFC 2870と思われる。

>>804 の謎設定の由来はなんとなく分からんでもないが、
今じゃ何の利益もなく害ばかりなのでやめとけ
一応こんな情報はあるけどね
http://dns.icann.org/services/axfr/

810 :名無しさん@お腹いっぱい。:2011/11/21(月) 17:02:10.96
まぁ受け付ける必要ないよね。

811 :名無しさん@お腹いっぱい。:2011/11/21(月) 17:07:10.31
どっかのサンプル設定ファイルに埋まってんのかな。

812 :名無しさん@お腹いっぱい。:2011/11/21(月) 17:48:21.31
FreeBSDの設定サンプルで発見
http://svnweb.freebsd.org/base/head/etc/namedb/named.conf?revision=170914&view=markup

最新だとさすがにコメントアウトされてるが。。。。。

813 :名無しさん@お腹いっぱい。:2011/11/21(月) 18:03:25.07
804です

>>809
ありがとうございます。

設定はFreeBSD 8のサンプルにありました

試験的に1台おこなっていたのですが、いつのまにかエラーを吐いていたので
気になりました。


814 :名無しさん@お腹いっぱい。:2011/11/21(月) 22:14:33.38
「気になりました。」w

815 :tss:2011/11/22(火) 22:50:21.43
root server axfr できますよ〜

816 :名無しさん@お腹いっぱい。:2011/11/23(水) 00:15:11.42
root serverでも . の AXFRはできるのはあるね

ルートサーバが in-addr.arpa ゾーンを持たなくなったのが
>>804 ができなくなった理由じゃないの?

817 :名無しさん@お腹いっぱい。:2011/12/05(月) 12:03:59.95
浸透でも伝播でもなく単に正規の手順を踏んでないことによるデッドロックなだけなのね。

818 :名無しさん@お腹いっぱい。:2011/12/05(月) 12:07:37.84
スレーブなんかやめて ttp://www.internic.net/zones/ あたりにある物使って
. のマスターになっちゃえよw

819 :名無しさん@お腹いっぱい。:2011/12/06(火) 21:36:33.13
JPRSは minimal-responses yes というworkaroundを省略するのは何でだぜ?
https://deepthought.isc.org/article/AA-00549

820 :名無しさん@お腹いっぱい。:2011/12/06(火) 22:09:46.44
>>818
究極の浸透問題状態だろそれwww

821 :名無しさん@お腹いっぱい。:2011/12/07(水) 10:25:52.42
>>819
権威サーバと混在してる場合は軽減できるけど完全な解決策にはならないからでは。
キャッシュDNSでもlocalhostやAS112ゾーンは持つのがふつーだから、
純粋にキャッシュ専用で動いてるところなんてまずないと思う。


822 :名無しさん@お腹いっぱい。:2011/12/07(水) 18:22:16.28
>>819
更新されたね。

202 KB
■ このスレッドは過去ログ倉庫に格納されています

★スマホ版★ 掲示板に戻る 全部 前100 次100 最新50

read.cgi ver 05.04.00 2017/10/04 Walang Kapalit ★
FOX ★ DSO(Dynamic Shared Object)