【設定面倒】BIND 総合スレッド【DNS】
無かったから建てた。 正直webminすごく助かる ★マインドコントロールの手法★ ・沢山の人が偏った意見を一貫して支持する 偏った意見でも、集団の中でその意見が信じられていれば、自分の考え方は間違っているのか、等と思わせる手法 ・不利な質問をさせなくしたり、不利な質問には答えない、スルーする 誰にも質問や反論をさせないことにより、誰もが皆、疑いなど無いんだと信じ込ませる手法 偏った思想や考え方に染まっていたり、常識が通じない人間は、頭が悪いフリをしているカルト工作員の可能性が高い ,,,,, 質問です。 BIND9を使ってます。 netstat などで待ち受け状況を見ると IPv6では *.53 IPv4では 127.0.0.1.53 <自IP>.53 などと、IPv4では持っているIPアドレス毎にbindしているように見えます。 これを *.53の様に「何処からでも待ち受け」にするには、 どのような設定を行えばよいでしょうか。 関係ありそうなものといえば、現在 listen-on { any; }; listen-on-v6 { any; }; としているくらいです。 tcpじゃね? バージョンもなんもかいとらんし判らンゴ >>301 OSなどの種類が分らないと netstatはBINDのコマンドでも無いからね 既にその設定なら何処からでも受け付けていると思うけど それに、 IPv6では *:53 IPv4では 127.0.0.1:53 <自IP>:53 こうでは無いかな? 仮に繋がらないと言うなら FW(linux系ならiptablesとか)が遮断しているのでは無いでしょうか? それともネットワークカードが複数あり全てで待ちうけしたいのかな? BINDは逆に何もしなければ全てのNICで待ち受けしたと思うけど >>303 NICが複数ある状態で使っているのです。 現状を簡単に説明すると、 今使っている環境、仮にインタフェースが3つあってそれぞれIPアドレスを <a>、<b>、<e>とすると <a>.53にbindは成功するけど、<e>.53はbindに失敗するといった状況です。 これ自体は問題ではなくて、権限の話なのでどうでもいいのですが BINDではbindに失敗すると(ややこしいな・・・)エラーログを出し続けます。 これがうっとおしいので、どうにかしたいのです。 わざわざすべてのNIC(<a>、<b>、<e>)に対してbindするのではなく、 0.0.0.0に対してbindすれば解決するんですが、どうにかならないものかと。 ( IPv6では 0に対してbindしてますよね ) >>305 ありゃ。駄目なんですか。 別のアプローチ考えます。。。 情報有り難うございました。 今度IPアドレスが変わるんですが 事前作業としてはDNSサーバーのzoneファイルのTTLを 15分とかにしておけばいいでしょうか? ゾーン転送のリフレッシュタイムを1時間にしました。 質問させて下さい。 DDNS、サブドメイン無しの環境で ホスト名「SV01」固定IP「192.168.1.100」のAレコードを登録している正引きゾーンに対し、 同一のホスト名のDHCPクライアント「SV01」「172.16.1.101」が現れた時に DHCPサーバからのdns updateによる上記レコードの上書きをさせないようにするには どのような手法がありますか? >>311 SV01をサブドメインにして、そのドメインはDDNSでの更新を許可しない。 >>313 update-policyを調べてみたけど、要件は満たしていそうに見える。 ダメな理由は? >>316 >>317 deny sv01.example.jp self sv01.example.jp. A; ではダメなんか? ここは質問スレじゃないから書く奴のご機嫌次第だぞ 1から10まで書かないと理解できないというのなら実装されてないと思って諦めなさい >>341 特定のAレコードを更新禁止にしたいのならupdate-policyで出来そうなんだけど、違うのか? update-policyはoptionsで定義は可能でしょうか? それともzoneでしか書けないのでしょうか? >>350 http://www.zytrax.com/books/dns/ch7/xfer.html#update-policy update-policy only applies to, and may only appear in, zone clauses. zoneの中だけですね。 あえてBIND9でRBLを構築しているのですが、 正引きにおいてうまく返事が返ってこない症状が出ました。 route: 91.121.0.0/16 descr: OVH ISP descr: Paris, France origin: AS16276 このアドレスに対して127.0.0.2を返そうとゾーンファイルを作成したのですが、 あるレンジでは、何も返ってこなくなります。 *.121.91.exsample.net IN A 127.0.0.2 この設定において、正引きしてみたところ、以下のような結果が返ってきました。 > dig 0.0.121.91.exsample.net @BINDのアドレス +short 127.0.0.2 > dig 0.1.121.91.exsample.net @BINDのアドレス +short > dig 0.2.121.91.exsample.net @BINDのアドレス +short : : > dig 0.7.121.91.exsample.net @BINDのアドレス +short > dig 0.8.121.91.exsample.net @BINDのアドレス +short 127.0.0.2 > dig 0.224.121.91.exsample.net @BINDのアドレス +short 127.0.0.2 > dig 0.255.121.91.exsample.net @BINDのアドレス +short 127.0.0.2 > dig 123.1.121.91.exsample.net @BINDのアドレス +short > 91.121.1.0-91.121.7.255の間が127.0.0.2と返ってこないのは 何かしらの設定がおかしいのでしょうか? ご意見いただけるとありがたいです。 > named -v BIND 9.8.2rc1-RedHat-9.8.2-0.23.rc1.el6_5.1 バージョンはこちらになります(CentOS6.5) bind9で複数ゾーンの運用中なんだけど、サブドメインの委任をすることになった。 で、nsupdateでグルーレコードはどうやって登録すればいいのかな というか、そもそもグルーレコードは必要なのか 自分のドメインがabc.jpとして、サブドメインがsub.abc.jp、subのネームサーバがns1.ddd.jpとns2.ddd.jpなら、クライアントはグルーレコードが無くてもns1とns2のipを解決できるんじゃないだろか どうだろ? >>355 グルーレコードが必要なのは、それがないと辿れないとき。 クライアントはabc.jpとは関係なく ddd.jp のネームサーバーを知ることができる。 ちなみに abc.jp も ddd.jp も実際にあるっぽい。 >>359 それは例示用に使っていい予約ドメインですよ。 >>359 example.jp、予約されてはいるけど、例で使っていいのは、com,net,orgだけじゃないの? JPRSがexample.jpとかexample0.jp〜example9.jpとかは例示に使っていいよと表明してる。 RFCには載ってないけど。 Q. 例示に使用可能なドメイン名はありませんか? ttp://jprs.jp/faq/use/ 現在allow-update で指定したホストのみupdate受信を許可している状態で、特定のAレコード更新を拒否するのにupdate-policyを追加したらエラーが出てサービスが上がりません。 allow-updateをコメントにするとサービスは上がるのでupdate-policyの記載には問題ないように見えます。 update-policyとallow-updateは同時に使用出来ないのでしょうか? その場合、allow-updateのように許可ホストはupdate-policyで定義するのでしょうか? 実現したいのは 1.特定のホストからのupdate受信を許可 2.特定のAレコードの更新を拒否 です。どなたかご存知の方いらっしゃいましたらご教授願います。 http://www.bind9.net/arm910.pdf 6.2.28.4 Dynamic Update Policies (略) Rules are specified in the update-policy zone option, and are only meaningful for master zones. When the update-policy statement is present, it is a configuration error for the allow-update statement to be present. The update-policy statement only examines the signer of a message; the source address is not relevant. ルールはupdate-policyゾーンオプションで指定され、マスターゾーンでのみ意味を持つ。 update-policy文が存在する場合、allow-update文が存在するとコンフィギュレーションエラーになる。 update-policy文はメッセージ(アップデート要求)の署名者だけをテストし、ソースアドレス(IPアドレス)は無視する。 > update-policyとallow-updateは同時に使用出来ないのでしょうか? 出来ません。使えるのはどちらか一方だけです。 > 1.特定のホストからのupdate受信を許可 IPアドレスでの指定はできないので、そのホストで署名するようにしましょう。 > 2.特定のAレコードの更新を拒否 deny *.example.com. name nochange.example.com. A; こんなのでは出来るかもしれません。試してないです。悪しからず。 ☆ 日本の核ブ装は絶対に必須ですわ。☆ http://www.soumu.go.jp/senkyo/kokumin_touhyou/index.html ☆ 日本国民の皆様方、2016年7月の『第24回 参議院選挙』で、改憲の参議院議員が 3分の2以上を超えると日本国憲法の改正です。皆様方、必ず投票に自ら足を運んでください。 私たちの日本国憲法を絶対に改正しましょう。☆ マ イ ン ド コ ン ト ロ ー ル の手法 ・沢山の人が、偏った意見を一貫して支持する 偏った意見でも、集団の中でその意見が信じられていれば、自分の考え方は間違っているのか、等と思わせる手法 ・不利な質問をさせなくしたり、不利な質問には答えない、スルーする 誰にも質問や反論をさせないことにより、誰もが皆、疑いなど無いんだと信じ込ませる手法 偏った思想や考え方に染まっていたり、常識が通じない人間は、頭が悪いフリをしているカルト工作員の可能性が高い 靖 国 参 拝、皇 族、国 旗 国 歌、神 社 神 道を嫌う カ ル ト 10人に一人は カ ル ト か 外 国 人 「ガ ス ラ イ テ ィ ン グ」 で 検 索 を ! DNS設定に不備があるってJPRSからプロバイダ経由で 注意喚起の通知が来た。 allow-transfer設定してなかったら全て転送可になるんだね。 現在DNSサーバにDDoS攻撃受けてる。udp53に大量のパケット来てるからとりあえず セカンダリのみ許可してあとは破棄してる。 なにか有効な対策はないものか。 >>372 Queryパケット? それともAMP攻撃による応答パケット? 元々bindでdns鯖立ててるんだけど、新しくWindowsServer2012でADサーバ立てた。 で、Win側でAD立てる際にDNSも自動設定したんだけど、そのうち作成されたADに必要なゾーン情報(srvレコードなど)を、既存のbind側で管理させたい。 結構ありそうな状況だと思うんだけど、ネットにあまり情報がないんだよなぁ…。 bindのDNSをADのDNSに移行するっつー逆の情報は少しあるんだけど。 結局、ADの検証したいだけで、Win2012は仮想だから常時起動させてる訳でないのね、だからラズパイで常時起動させてるbindを主のDNS鯖にしたい。 もうちょい自力で色々調べるつもりだけど、降参したら後日詳細書き込みます。 >>375 出来なくは無いがお勧めしない AD(Active Directory)とDNSはセットだし、AD組んでて AD落とせばADの機能使えないし 名前解決だけをDNSに持たせたいなら普通の方法で使えるし MSのDNS独自設定を使うのもあったような気がする 単純な方法はスレーブとすれば良い もしくは設定時に別DNSを使うとかで構築するなど コマンドからDNSの内容を再生成するのもあったと思う どちらにせよ、DNSに自動更新機能無いと無理だと思う >>376 >単純な方法はスレーブとすれば良い WindowsServer側を、って事? てか実は、何とか自己解決できました。 ラズパイのbindで、ADとなるWindowsServerからの動的更新を許可。 ADのDNSで各ゾーンをセカンダリに設定し、プライマリをラズパイのbindに設定。 その後、WindowsServerのコマンドプロンプトで ipconfig/registerdns コマンドを打ったら、上手く既存のレコードとsrvレコードを統合できました。 てっきりsrvレコードは自動では更新されないと思ってたけど、プライマリのDNS側で動的更新を許可してやれば、別のDNSでも更新されるのね…。 srvレコード情報は、ADサーバが定期的に最新情報を発信してくれてる、って感じなんかなぁ。よくわからんが。 私は元創価の会員でした。 すぐ隣に防衛省の背広組の官舎があるのですが、 自分の家の窓にUSB接続のwebカメラを貼り付けて、そこの動画を撮影し続け、 学会本部に送っていました。 別に大したものは写っていません。ごみ出しとか奥さんが子供を遊ばせている所とか。 官舎が老朽化して使われなくなってから、 今まで法人税(うちは自営業です)をほぼ払わなくても済んでいたのが、 もう守ってやれないのでこれからは満額申告するように言われました。 納得がいかないと言うと、君は自業自得で餓鬼地獄へ落ちる、 朝夕南無妙法蓮華経と三千回ずつ唱えて心をきれいにしなさいと言われ 馬鹿らしくなって脱会しました。 それ以来、どこへ行くにもぞろ目ナンバーの車につけまわされたり大変な日々です。 全部自分の出来心から始まった事で、どこへ訴えると言うわけにもいかないのですが、 なんとかあの人たちと縁を切って新しい始まりを迎える方法はないんだろうか。 「OracleがDNSサーバー管理代行サービスなどを手がける米Dynを買収(中略) 今年10月にはDynが大規模な攻撃を受け」 OracleがDynを買収 | スラド IT https://it.srad.jp/story/16/11/24/0641237/ 2016年11月24日 17時17分 Hyper-V鯖を試食中なんだけどゲストをLinuxで動的メモリONにすると最大値を 大き目に設定しても起動時のメモリ設定以上は使えないみたいな動きに 見えるんだけどそんなもん? ヘルプ見ると起動時のメモリはギリギリ起動する位に絞るべしみたいな事が書かれて いるしLinuxの対応の問題なのかなぁと。 試したのはCentOS6.3とDebian7+Kernel3.8.13のバルーン >>380 DNSなどのOS・サービスの問題ではなく Hyper-V側の制御の問題だと思う OS・サービスから見た場合は、動的・静的は気にしないはずだからね そこが仮想化などの良い部分だし Linux系なら高付加掛けてみると良い メモリある限りスワップ基本使わないから スワップが増えないと思う メモリが足りてなければスワップが増加するはず BINDとは余り関係無いと思う すごくおもしろいPCさえあれば幸せ小金持ちになれるノウハウ 一応書いておきます グーグルで検索するといいかも『金持ちになりたい 鎌野介メソッド』 QQZU9 Windows10に最新bindだけど、confが別れワケわからなくて、フォワーダーしか動いてない ちなウブンツ そうだよな。 コンテンツ鯖ならnsdでプライマリ作って、 セカンダリはホスティングに丸投げさ… 私たち日本人の、日本国憲法を改正しましょう。 総ム省の、『憲法改正國民投票法』、でググって みてください。拡散も含め、お願い致します。 bindってそろそろオワコンにならないのかな… 小規模ならnsd、大規模ならPowerDNSあたりで良い気がする。 キャッシュなら適当なの結構あるし。 ┌─‐「][] _,ィ ´ ̄`ヽ、  ̄ ̄} | _ /:.ゝ-─‐<> r─' ノ 「Y {´ ̄`ン':.:.:.:.:.:.:.:.:.:.:.:.:}{  ̄ Lハj_, ィ'´⌒⌒ヽ、:.:.:.ィ、ハ [[] 「} _/∠二ニニニ¬、_ハ:.:.:.ヽヽ', rー'_ノ //´ 了~~~⌒~`ヽ.弋゙Tl:.:.:.:_j」 l { { { j} }士ぅ'´:.:_〉| い、__ >、___ __, ィ人 ヽく_:./:.〉ゝ ィ ⌒ >'/ い 〉~~〉T~~T< ヽハ 〈_:.く ( _ イ `7 ハ⊥__j_i___〉 ,}イ 〈_/ ( _) ハ__厶>ー‐一_7 /´ ゝ ___,ノ /ーY):::ノ ` ̄´厶.、/_ {::::::::/ /⌒ー'::::::}  ̄´ {:::::::::;: ィ もはやbindである必要性がない。 10万個レベルのゾーン作って起動すると、 最後のドメインに答えられるようになるまでに30分以上掛かるわ。 その間はパケットフィルタでもしとかないとゾーンはありませんって嘘つくしな。 キャッシュは1.1.1.1や8.8.8.8でいいし、 もしくはそこをforwarderとするヤツをLAN内に置けばいいな。 流石にdjbdnsのままはまずいとは思ってるんだけど何に乗り換えたものかわからなくて困ってる >>393 dnscacheならUnboundやPowerDNS Recursorあたりに乗り換えた方がいいと思うが tinydns/axfrdnsはそのままでも問題ないよ 自分はNSDに乗り換えたけど unbound試用中。 いろいろ覚えることが多い。 unboundって設定ファイル無しでも動くんだな ルートサーバのIPアドレスとかバイナリに含まれてるから、 単に使うだけなら無設定でいける 今時まともなパッケージシステム使ってたらrootもパッケージで入るよ rhel7、chrootで構築して普通に動作できている /var/named/chroot/etcなどにあるファイルも正常。 なのに、 df -haを見ると、なにやらマウントはできてそうなのだが、 /dev/sda3 1111 222 3333 3% /var/named/chroot〜 みたいになる。 なぜにdev sda3??? read.cgi ver 07.5.1 2024/04/28 Walang Kapalit ★ | Donguri System Team 5ちゃんねる