คำถามติดแท็ก bind

BIND เป็นซอฟต์แวร์โอเพนซอร์ซฟรีที่ใช้โปรโตคอลระบบชื่อโดเมน (DNS) ชื่อ BIND ย่อมาจาก "Berkeley Internet Name Domain" เนื่องจากซอฟต์แวร์ดังกล่าวมีต้นกำเนิดในช่วงต้นทศวรรษ 1980 ที่ University of California at Berkeley ปัจจุบัน BIND ได้รับการบำรุงรักษาและพัฒนาโดย Internet Systems Consortium ซึ่งเป็นองค์กรสาธารณประโยชน์ที่ไม่แสวงหาผลกำไรที่มีภารกิจในการสนับสนุนอินเทอร์เน็ตที่เสรีและเปิดกว้าง

2
ความคลาดเคลื่อนของประสิทธิภาพของแพ็กเก็ตคิวด้วย BIND nameserver
พื้นหลัง: ฉันได้รับสภาพแวดล้อมแคชเนมเซิร์ฟเวอร์ที่มีปริมาณมาก (Redhat Enterprise Linux 5.8, IBM System x3550) ที่มีการตั้งค่าบัฟเฟอร์วงแหวนที่ไม่สอดคล้องกัน: 1020 สำหรับ eth0 และ 255 สำหรับ eth1 eth0 เชื่อมต่อกับสวิทช์ 1 ของดาต้าเซ็นเตอร์ในพื้นที่ของตน, eth1 เชื่อมต่อกับสวิทช์ 2 ของเดียวกัน ทุกเซิร์ฟเวอร์ในคลัสเตอร์จะสลับกันระหว่างว่า eth0 หรือ eth1 เป็นอินเตอร์เฟสที่ใช้งานอยู่และทุกคลัสเตอร์อยู่ในภูมิภาคอื่น เห็นได้ชัดว่าบัฟเฟอร์แหวนจะต้องทำให้สอดคล้องกัน นี่คือสิ่งที่ได้รับ trickier: ผมค้นพบปัญหาดังกล่าวเมื่อค้นคว้าทำไมจำนวนของเซิร์ฟเวอร์ที่มีการเข้าสู่ระบบบ่อยข้อผิดพลาด "ส่งการตอบสนอง: ล้างข้อผิดพลาด" ซึ่งความรู้ ISC ที่แสดงให้เห็นเป็นที่เกี่ยวข้องกับความแออัดขาออก เซิร์ฟเวอร์ที่มีการตั้งค่าบัฟเฟอร์วงแหวนที่สูงขึ้น (1,020) จะวางแพ็กเก็ตน้อยลงบน ifconfig (อย่างที่คาดไว้) แต่มักจะบันทึกข้อผิดพลาดด้านบนด้วยความถี่ที่ดีเยี่ยม ~ 20k ครั้งต่อวันในกลุ่มโหลดสูงสุดของฉัน เราจะเรียกสิ่งนี้ว่า '' …

1
สะท้อนการโจมตีที่ขยายบนเซิร์ฟเวอร์ DNS
คำศัพท์Amplified reflected attackใหม่สำหรับฉันและฉันมีคำถามสองสามข้อเกี่ยวกับมัน ฉันได้ยินมาว่าส่วนใหญ่เกิดขึ้นกับเซิร์ฟเวอร์ DNS - จริงหรือไม่ คุณป้องกันได้อย่างไร คุณจะรู้ได้อย่างไรว่าเซิร์ฟเวอร์ของคุณสามารถใช้ในการโจมตีดังกล่าว - มันเป็นปัญหาการกำหนดค่าหรือไม่?

2
bind9 - ผู้ส่งไม่ทำงาน
ฉันกำลังประสบปัญหากับการผูก หากฉันต้องการแก้ไขชื่อโดเมนใด ๆ ที่อยู่ในไฟล์โซน มันใช้งานได้ดี อย่างไรก็ตามเมื่อฉันพยายามแก้ไขสิ่งที่ไม่ได้อยู่ในไฟล์โซน ฉันรู้ว่าเซิร์ฟเวอร์ DNS จริงที่ถูกส่งต่อกำลังทำงานได้ดี แต่อย่างใด bind9 ไม่สามารถใช้งานได้ เนื้อหาของ /etc/bind/named.conf.options คือ: options { directory "/var/cache/bind"; forwarders { 131.181.127.32; 131.181.59.48; }; dnssec-validation auto; auth-nxdomain no; # conform to RFC1035 listen-on-v6 { any; }; }; ฉันได้ลองใช้ที่อยู่ IP เดียวเท่านั้นและก็ยังไม่ทำงาน ยังเนื้อหาของ /etc/bind/named.conf คือ: include "/etc/bind/named.conf.options"; include "/etc/bind/named.conf.local"; include "/etc/bind/named.conf.default-zones"; ดังนั้นจึงไม่มีปัญหากับไฟล์ตัวเลือกรวม …

7
เซิร์ฟเวอร์สองชื่อจำเป็นหรือไม่
ฉันต้องการใช้การเชื่อมต่ออินเทอร์เน็ตเพื่อโฮสต์เว็บไซต์ส่วนตัวสองแห่ง (สองโดเมนที่ต่างกัน) ฉันต้องการโฮสต์เมลสำหรับโดเมนเหล่านี้ ต้องใช้การโฮสต์เซิร์ฟเวอร์ชื่อของฉันเอง ในส่วนการกำหนดค่าเนมเซิร์ฟเวอร์บนเว็บไซต์ของผู้รับจดทะเบียนของฉันต้องใช้เซิร์ฟเวอร์ชื่อสองรายการ น่าจะเป็นเพื่อความน่าเชื่อถือ? ก่อนหน้านี้ฉันเคยใช้ zoneedit.com และพวกเขาให้ฉันสองเซิร์ฟเวอร์ชื่อ แต่ฉันต้องการโฮสต์ด้วยตัวเองบันทึกเหรียญตัวเองและเรียนรู้วิธีกำหนดค่าการผูกสำหรับประสบการณ์ ฉันมีการเชื่อมต่ออินเทอร์เน็ตเพียงหนึ่งครั้งและมีความสามารถในการโฮสต์เนมเซิร์ฟเวอร์เดียวเท่านั้น คุณควรจะทำอย่างไรกับเซิร์ฟเวอร์ชื่อที่สอง?

1
เซิร์ฟเวอร์หนึ่งสามารถทำ DNS สำหรับโดเมนและโดเมนย่อยได้หรือไม่
ฉันมีสถานการณ์ที่ผมต้องเปลี่ยนเซิร์ฟเวอร์สำหรับทั้งabcและBC ฉันไม่ต้องการอุทิศเครื่องสองเครื่องให้กับสิ่งนี้ ฉันได้อ่านเกี่ยวกับการบ้านหลายครั้ง แต่ตัวอย่างทั้งหมดดูเหมือนจะเป็น* .bcแทนที่จะเป็นโดเมนและโดเมนย่อยของเดียวกัน สถานการณ์นี้เป็นไปได้ด้วยเครื่องเดียวหรือไม่?
11 bind 

4
กำหนดค่าเซิร์ฟเวอร์ DNS เพื่อส่งคืน IP เดียวกันสำหรับโดเมนทั้งหมด
ฉันต้องการกำหนดค่าเนมเซิร์ฟเวอร์ที่จะส่งคืนที่อยู่ IP เดียวกัน ("A" บันทึก) สำหรับชื่อโฮสต์ใด ๆ ตัวอย่างเช่น: example.com subdomain.example.com someotherdomain.com anyotherdomain.co.uk ทุกคนควรส่งคืนที่อยู่ IP เดียวกัน มีวิธีทำเช่นนี้กับ BIND หรือไม่? หรือมีทางเลือกอื่นสำหรับ BIND ที่สามารถทำได้

2
Non-dot-wildcard (* -foo.example.com) สำหรับการผูกหรือไม่
ดูเหมือนว่าไม่มีวิธีที่จะบอกได้bindว่า*-foo.example.comควรแก้ไขเช่น 10.1.2.3ในขณะที่มีมติให้*-bar.example.com 10.2.3.4มีวิธีแก้ปัญหาหรือไม่? บางชื่อได้เช่น แก้ปัญหาด้วยโปรแกรมภายนอก? หรือฉันควรเปลี่ยนbindเป็นเช่น PowerDNS ? ฉันพยายามหลีกเลี่ยงการซื้อใบรับรองไวลด์การ์ด SSL อีกใบ (ด้วยสัญลักษณ์แทนเช่น*.example.comไม่สามารถอนุญาตจุดใน*ส่วน) การระบุชื่อ*-fooหรือ*-barชื่อทั้งหมดในไฟล์โซนไม่ใช่ตัวเลือกเนื่องจากฉันต้องสามารถสร้างที่อยู่ทั้งสองประเภทได้ทันที


3
ปฏิเสธการถ่ายโอนโซนผูก
UPDATE: เวอร์ชันผูก: [root@10.224.45.130] $ named -v BIND 9.3.6-P1-RedHat-9.3.6-16.P1.el5 ระบบปฏิบัติการ: CentOS release 5.6 (Final) หลังจากทำงาน[root@10.224.45.131] $ dig @10.224.45.130 example.com. axfr: ทาส: ; <<>> DiG 9.3.6-P1-RedHat-9.3.6-16.P1.el5 <<>> @10.224.45.130 example.com. axfr ; (1 server found) ;; global options: printcmd ; Transfer failed. ปริญญาโท: 28-Aug-2011 12:29:01.384 client 10.224.45.131#60553: query: example.com IN AXFR - 28-Aug-2011 …

1
ใน BIND ให้ส่งต่อแบบสอบถาม DNS สำหรับโดเมนเฉพาะไปยังเซิร์ฟเวอร์เฉพาะ
Windows Server 2003 มีคุณสมบัตินี้ซึ่งคุณสามารถส่งต่อข้อความค้นหาสำหรับโดเมน "example.com" ไปยังเนมเซิร์ฟเวอร์เฉพาะ (ไม่ใช่เซิร์ฟเวอร์ DNS เริ่มต้น) ฉันจะตั้งค่านี้ใน BIND ได้อย่างไร ตัวอย่างเช่นฉันต้องการตั้งค่าการส่งต่อสำหรับ TLD ท้องถิ่นไปยังเซิร์ฟเวอร์ชื่อเฉพาะ การเชื่อมโยงเวอร์ชั่น 9.6 การกำหนดค่าการทำงาน ดังที่ Khaled ระบุไว้เราสามารถใช้คำสั่ง forwarders ในส่วนคำสั่งโซน มันทำงานกับการกำหนดค่าต่อไปนี้: zone "local." IN { type forward; forward only; forwarders { 10.10.1.9; }; };

5
มีวิธีใดบ้างในการลดการใช้พื้นที่หน่วยความจำ bind9
ฉันใช้ DNS ที่มีสิทธิ์ของตัวเองใน bind9 เพื่อให้เหมือน 5 ในโดเมนของฉันที่มีปริมาณการใช้งานน้อย ฉันกำลังเรียกใช้พวกเขาในเซิร์ฟเวอร์ VPS แยก 2 แห่ง (ดังนั้นหน่วยความจำ Mb ทุกค่าใช้จ่ายฉัน $ x2) มีวิธีใดที่จะลดปริมาณการใช้หน่วยความจำลงจาก ~ 45-50Mb หรือไม่ (ฉันจะมีความสุขกับ 10-30Mb) ฉันรู้ว่ามีตัวเลือกเซิร์ฟเวอร์ DNS ที่เบากว่า แต่สิ่งนี้จะต้องแทนที่ซอฟต์แวร์การจัดการเซิร์ฟเวอร์ดังนั้นฉันจึงอยากติดกับการผูกไว้ ข้อเสนอแนะ? ฉันได้ยินมาว่า bind8 ดีกว่าในการใช้หน่วยความจำ ฉันจะตกนรกเพื่อใช้มันหรือไม่?
10 memory  vps  bind 

6
ฉันควรใช้ / etc / bind / โซน / หรือ / var / cache / bind / หรือไม่
แต่ละบทช่วยสอนมีความเห็นแตกต่างกันในเรื่องนี้ สำหรับโซน ISC BIND ของฉันฉันควรใช้/etc/bind/zones/หรือ/var/cache/bind/ไม่ ในการติดตั้งครั้งล่าสุดฉันใช้/var/cache/bind/แต่เพียงเพราะฉันได้รับคำแนะนำให้ทำเช่นนั้น; อย่างไรก็ตามฉันเพิ่งเห็นไฟล์ pid ในนั้นสำหรับการติดตั้ง Debian ใหม่นี้ดังนั้นฉันคิดว่าการใช้ "working directory" เพื่อจัดเก็บไฟล์โซนอาจไม่ใช่ความคิดที่ดีที่สุด ดูเหมือนว่าผู้ดูแลระบบจำนวนมากใช้สิ่งนี้ดังนั้นพวกเขาจึงไม่ต้องพิมพ์เส้นทางแบบเต็มเมื่อประกาศโซนใหม่ ตัวอย่างเช่น: file "/etc/bind/zones/db.foobar.com"; แทน: file "db.foobar.com"; เห็นได้ชัดว่าพิมพ์ง่ายกว่า แต่เป็นการฝึกฝนที่ดีหรือไม่ดี? บางคนอาจแนะนำให้ตั้งค่าไดเรกทอรีทำงานเป็น/etc/bind/zones: options { // directory "/var/cache/bind"; directory "/etc/bind/zones"; } ... แต่มีบางอย่างบอกฉันว่านี่ไม่ใช่วิธีปฏิบัติที่ดีเนื่องจากไฟล์ pid จะถูกสร้างขึ้นที่นั่นฉันถือว่า (ยกเว้นในกรณี/var/cache/bindบังเอิญเท่านั้น) ฉันลองดูmanpageแต่ดูเหมือนว่าไม่ได้บอกว่าตัวเลือกไดเร็กตอรี่นั้นมีไว้สำหรับอะไรความคิดใดที่มันถูกออกแบบมา
10 bind  named-conf 

5
วิธีการย้ายเซิร์ฟเวอร์ BIND DNS ไปยังฮาร์ดแวร์ใหม่
ฉันมีงานที่จะย้ายเซิร์ฟเวอร์2x BIND DNSไปยังฮาร์ดแวร์ใหม่ เห็นได้ชัดว่าพวกเขากำลังใช้เซิร์ฟเวอร์ 3U ยุคก่อนประวัติศาสตร์ที่ใช้งานเซิร์ฟเวอร์ Ubuntu 8.04 ฉันจะติดตั้งเซิร์ฟเวอร์ 2x 1U พร้อมเซิร์ฟเวอร์ Ubuntu 9.04 ฉันจะถ่ายโอนการตั้งค่า DNS แคช DNS ได้อย่างไร ฉันต้องโอนไฟล์โฟลเดอร์ / ไฟล์ใด ฉันจะประสบความสำเร็จได้ไหมถ้าฉันใช้Webmin> การกำหนดค่าสำรอง> เซิร์ฟเวอร์ BIND DNSหรือฉันควรหลีกเลี่ยงการใช้ Webmin?
9 linux  ubuntu  bind 

2
ผูก DNS ซ้ำช้า
เราเพิ่งตั้งค่าเซิร์ฟเวอร์ DNS แบบเรียกซ้ำโดยใช้ Bind 9.10 ที่เสถียรล่าสุด เราพบว่าการค้นหา DNS แบบเรียกซ้ำค่อนข้างช้า ทุกที่ตั้งแต่ 1 - 3 วินาที เมื่อการค้นหาอยู่ในแคช DNS จะแก้ไขในเรื่องของมิลลิวินาทีตามที่คาดไว้ เรากำลังใช้คำแนะนำ ROOT สำหรับการค้นหาแบบเรียกซ้ำและสิ่งนี้ดูเหมือนจะเป็นที่มาของความเชื่องช้า หากเรากำหนดค่าตัวส่งต่อความละเอียด DNS จะลดลงเป็นเวลาเรียกคืนที่เหมาะสมระหว่าง 100 - 300ms สำหรับบริการที่เรากำลังตั้งค่าฉันไม่ต้องการพึ่งผู้ส่งต่อฉันต้องการใช้คำแนะนำราก นี่คือการกำหนดค่าหลักจากไฟล์named.confของเรา พอยน์เตอร์ใด ๆ ที่ช่วยปรับปรุงประสิทธิภาพจะดีมาก options{ allow-recursion { any; }; allow-query-cache { any; }; allow-query { any; }; listen-on port 53 { any; }; …

2
บังคับให้ส่งต่อ DNS ไปยังโหมด TCP
ฉันได้ตั้งค่า DNS-server บน SLES10 (ปัจจุบันผูก 9.6) บนเซิร์ฟเวอร์หลาย homed เซิร์ฟเวอร์นี้สามารถสอบถามจากเครือข่ายภายในทั้งหมดและส่งคำตอบสำหรับเครือข่ายภายในทั้งหมด เรามี DNS "master" สองโซนแยกกัน แต่ละโซนเหล่านี้มีการให้บริการโดย Windows-DNS-servers ที่เชื่อถือได้จำนวนหนึ่ง ตอนนี้ linux-server ของฉันเป็นเซิร์ฟเวอร์ DNS รองสำหรับหนึ่งในโซนเหล่านี้ (โซนภายในส่วนตัว) และทำหน้าที่เป็นตัวส่งต่อสำหรับโซนอื่น (โซนภายในสาธารณะ) จนกระทั่งเมื่อเร็ว ๆ นี้การตั้งค่านี้ทำงานได้โดยไม่มีปัญหา ตอนนี้ฉันได้รับ - เมื่อสอบถามโซนภายในสาธารณะ (เช่นโดยhostคำสั่งบนไคลเอนต์ linux) ข้อความแสดงข้อผิดพลาด ;; ถูกตัดทอนพยายามใหม่ในโหมด TCP wireshark-dump เปิดเผยสาเหตุของสิ่งนี้: เคียวรีแรกออกไปในโหมด UDP คำตอบไม่เหมาะกับ UDP (เนื่องจากรายการ longish ของ NS ที่มีสิทธิ์แบบยาว) จากนั้นจะลองใหม่ในโหมด TCP ส่งคำตอบที่ถูกต้อง …

โดยการใช้ไซต์ของเรา หมายความว่าคุณได้อ่านและทำความเข้าใจนโยบายคุกกี้และนโยบายความเป็นส่วนตัวของเราแล้ว
Licensed under cc by-sa 3.0 with attribution required.