AskOverflow.Dev

AskOverflow.Dev Logo AskOverflow.Dev Logo

AskOverflow.Dev Navigation

  • 主页
  • 系统&网络
  • Ubuntu
  • Unix
  • DBA
  • Computer
  • Coding
  • LangChain

Mobile menu

Close
  • 主页
  • 系统&网络
    • 最新
    • 热门
    • 标签
  • Ubuntu
    • 最新
    • 热门
    • 标签
  • Unix
    • 最新
    • 标签
  • DBA
    • 最新
    • 标签
  • Computer
    • 最新
    • 标签
  • Coding
    • 最新
    • 标签
主页 / computer / 问题

问题[bind](computer)

Martin Hope
user149408
Asked: 2022-08-22 03:38:38 +0800 CST

OPNsense 上的 BIND,如果 master 不可用,则从区域不加载

  • 5

我在 OPNsense 上运行 BIND 作为内部 DNS 区域的从属服务器。

我注意到,如果该区域的主服务器出现故障,从服务器将在第一次失败的更新尝试后停止响应该区域的请求(以 SRVFAIL 响应)。

其背后的设计原因可能是为了避免在无法到达主服务器时从从服务器发出陈旧的数据。(毕竟主服务器可能还好,只是从服务器的网络连接失败了。)但是,如果主服务器宕机并且无法及时恢复,这对于弹性来说是个坏消息。

是否有设置告诉 BIND 始终为从属区域提供最后已知的信息,无论主服务器无法访问多长时间,即使有返回陈旧数据的风险?

如果是这样,是否可以从 OPNsense Web GUI 以某种方式访问​​(即在引擎盖下没有不受支持的戳)?

dns bind
  • 1 个回答
  • 68 Views
Martin Hope
JothamB
Asked: 2022-06-20 01:09:04 +0800 CST

bind9 不安全证明无法解决

  • 6

我有 2 个 ubuntu 服务器和 bind9 都安装在它们上面。

这是第一个的配置:

options {
    directory "/var/cache/bind";
    forwarders {
        1.1.1.1;
    };
    dnssec-validation auto;
};

zone "example.com" {
    type master;
    file "/etc/bind/zones/db.example.com";
};

$TTL    604800
@   IN  SOA dns-srv. root.dns-srv. (
                  2     ; Serial
             604800     ; Refresh
              86400     ; Retry
            2419200     ; Expire
             604800 )   ; Negative Cache TTL
;
@   IN  NS  dns-srv.
@   IN  A   172.16.194.4
www IN  A   172.16.194.4

这些是第二个的配置:

options {
        directory "/var/cache/bind";
        forwarders {
                172.16.194.3;
        };
        dnssec-validation auto;
};

所以第一个 dns 服务器将请求转发到 1.1.1.1,第二个 dns 服务器将请求转发到第一个 dns 服务器 172.16.194.3。

我从第一台服务器上的公共 dns 查询名称没有问题,将查询转发到第二台服务器也没有问题。有用。每个使用第二个 dns 服务器的主机都可以查询和获得回复。问题出在第一个 dns 服务器上定义的区域“example.com”上。当第二个 dns 服务器向第一个 dns 服务器查询“example.com”时,我收到错误:insecurity proof failed resolving 'example.com/A/IN': 172.16.194.3#53

为什么我会收到此错误,我该怎么做才能使第二个 dns 服务器解析在第一个 dns 服务器上定义的区域?

在两台服务器上,操作系统都是 ubuntu 服务器 20.4,绑定版本是 9.16

dns bind
  • 1 个回答
  • 338 Views
Martin Hope
Alex
Asked: 2022-05-28 01:18:26 +0800 CST

nsupdate 不使用输入文件

  • 6

在我的 debian 测试服务器上,当我运行 nsupdate 命令并手动输入详细信息时,一切正常。例如:

nsupdate -k /etc/bind/update.key
> update add PC1.direct.labo 3600 A 192.168.100.1
> send
> quit 

之后,我在我的区域文件中找到了记录。 像那样

当我尝试使用输入文件时出现问题,我们称之为“order.dns”:

update add PC2.direct.labo 3600 A 192.168.100.2
show
send
quit 

并执行它:

nsupdate order.dns -k /etc/bind/update.key

然后我得到update failed: REFUSED

看图片

我究竟做错了什么?

dns bind
  • 1 个回答
  • 170 Views
Martin Hope
Wanying Gong
Asked: 2021-11-12 00:10:20 +0800 CST

如何更改bind9中的缓存?

  • 5

现在我在缓存中有一个 RR,但我想更改它。像这样,我xx.yy IN A 1.1.1.1在缓存中,现在我想将其更改为xx.yy IN A 2.2.2.2. 有没有内置工具bind9?(不重启更好)

dns bind
  • 1 个回答
  • 38 Views
Martin Hope
user149408
Asked: 2021-06-13 07:00:29 +0800 CST

使用 BIND 提供私有和公共 DNS 解析?

  • 5

采取以下设置:

  • 我在 NAT 路由器后面运行一个专用网络
  • 专用网络上的系统可以连接到 Internet 上的任何资源,因此需要对任何 Internet 资源进行 DNS 名称解析
  • 我拥有一个在 Internet 上拥有资源的域(例如example.com)和一个由提供商管理的名称服务器。
  • 提供商管理公共资源,并可能更新 DNS 记录以反映更改。也就是说,MXforexample.com明天可能会指向不同的服务器,或者 for 的 IP 地址www.example.com可能会在一夜之间发生变化,而我不会收到通知。
  • 我想在我的内部网络上使用相同的域来获取资源;内部资源位于子域(例如fileserver.internal.example.com)上。但是,我不想将这些 DNS 记录暴露给 Internet。

最后一项意味着我需要在内部运行我自己的 DNS 服务器,并让它回答我的区域的查询。但是,我需要确保对任何公共资源的查询都由提供商的 DNS 服务器回答。

到目前为止,我一直在使用 pfSense 中的 DNS 转发器功能,这正是我所需要的。我可以为内部系统添加记录(甚至让 DHCP 服务器为它授予的任何租约自动插入它们),如果 DNS 服务器收到对其中任何一个的请求,这些记录将被返回。任何其他请求将被转发到相应的外部名称服务器。

现在我正在尝试使用 Linux 服务器完成相同的操作,可能使用 BIND。我正在设想如下设置:

  • 将 BIND 配置为在递归/缓存模式下运行,就像 ISP DNS 一样。
  • 将其设置为internal.example.com.
  • 为区域中的内部系统配置 RR internal.example.com。

鉴于外界没有人知道该internal.example.com区域,这是否会按预期工作?BIND 是否优先考虑它具有权威性的任何区域(而不是尝试通过首先查询根区域来定位它),还是可以将其配置为这样做?

dns bind
  • 1 个回答
  • 801 Views
Martin Hope
djdomi
Asked: 2021-01-27 03:04:45 +0800 CST

为命名创建 Fail2ban 规则

  • 5

当我试图为 Fail2ban 创建一个规则时,在我看来它已经消失了很长一段时间,因为过去我真的很紧张,我也愿意将它提交给世界:-)

做了什么?

  1. 已经在 fail2ban/filter/named-antispam.conf 下创建了一个文件

  2. 用内容创建它
    #cat filter.d/named-antispam.conf
    [Definition]
    prefregex = ([a-zA-Z][a-zA-Z][a-zA-Z])\s([0-9]|[0-9][0-9])\s([0-9][0-9]):([0-9][0-9]:[0-9][0-9])
    failregex = ^rate limit drop all response to <HOST>$

和 jail.conf

#Disabled for Writing this Articel
[named-antispam]
enabled = false
filter = named-antispam
logpath  = /var/log/named/rate.log
bantime      = 2628000
maxretry     = 30
findtime     = 60
  1. 检查如果我启用它并设置它调试,fail2ban 会发生什么?

2021-01-26 11:25:19,461 fail2ban.filterpyinotify[14180]: DEBUG   Event queue size: 16
2021-01-26 11:25:19,462 fail2ban.filterpyinotify[14180]: DEBUG   <_RawEvent cookie=0 mask=0x2 name='' wd=2 >

如果我禁用该规则,我可以在没有该错误的情况下设置调试 - 所以在我看来我有某种我无法弄清楚的错误,这就是我在这里问的原因。在结尾处-是的,我的日志中有很多条目,但是fail2ban不在乎

regex bind
  • 1 个回答
  • 299 Views
Martin Hope
McAddress
Asked: 2020-10-02 06:46:46 +0800 CST

BIND 不权威回答

  • 6

我想使用 BIND 作为公司域的公共名称服务器。我正在使用全新安装的 ubuntu 服务器 20.04.1 和 BIND 9.16.1。问题是 BIND 从不权威地回答。我可以使用 dig 看到这一点。为了找到问题,我尝试了一个最小的区域“example.com”,但没有成功。区域文件是 db.example.com:

example.com.        86400    IN    SOA    ns1.example.com.    hostmaster.example.com. (
                                      1     ; Serial
                                      900   ; Refresh
                                      300   ; Retry
                                      86400 ; Expire
                                      600 )  ; Negative Cache TTL
example.com.        86400    IN    NS    ns1.example.com.
example.com.        86400    IN    MX    10 mail.example.com.
ns1.example.com.    86400    IN    A     123.123.123.123
mail.example.com.   86400    IN    A     125.125.125.125

当然,上面的 IP 地址并不是真正的 IP 地址,但是 ns1.example.com 的 IP 地址是 BIND 运行的系统的公共 IP 地址。named-checkzone 对此很满意。在 named.conf.local 中仅添加以下行:

zone "example.com" {
    type master;
    file "/var/lib/bind/db.example.com";
};

命名.conf.options:

options {
    directory "/var/cache/bind";
    dnssec-validation auto;
    auth-nxdomain no;
    listen-on { any; };
    listen-on-v6 { any; };
    recursion no;
};

将 dig 与 ANY 一起使用,我可以看到区域文件中的所有记录,但 BIND 总是回答AUTHORITY: 0。A 记录也不会出现在答案部分,而是出现在附加部分中。不幸的是,我不允许发布 dig 的原始输出,因为它看起来像垃圾邮件。该区域配置为主,NS 记录指向运行 BIND 的服务器的 IP 地址。另一个想法是 BIND 可能会尝试从 root 查询“example.com”并且知道它不是真正的权威名称服务器。所以我也尝试了同样不应该存在于任何地方的域“example.invalid”。结果与“example.com”相同。我以前从来没有遇到过这个问题。我还能尝试什么来解决这个问题?

dns bind
  • 1 个回答
  • 578 Views
Martin Hope
John Ernest
Asked: 2020-08-21 00:10:42 +0800 CST

配置华硕路由器以在 LAN 上使用自定义 Bind9 和 DHCPd

  • 5

假设我有一个 Raspberry Pi 设置为网络上的客户端,我希望它使用 192.168.2.2 而路由器使用 192.168.2.1,使用 Pi 的 dhcpd 和绑定 DNS 的必要路由器配置是什么?

在这种情况下,我想关闭路由器的 DHCP 服务器并运行 Pi 的 dhcpd 和 dns 服务器。

它是通过简单地将除 DNS 服务器之外的所有内容设置为空白,还是将网关和 DNS 都设置为 Pi 地址 192.168.2.2,并使用静态 IP 地址 192.168.2.2 运行 Pi?

华硕路由器局域网配置

bind dhcp-server
  • 2 个回答
  • 361 Views
Martin Hope
madacoda
Asked: 2020-05-07 13:24:55 +0800 CST

如何强制 TCP 数据包测试 DNS?

  • 6

DNS 正常使用 UDP 数据包。但是,当响应大于某个大小时,它会切换到 TCP。

例如,如果我们可以在使用 DIG 或 NSLOOKUP 运行 DNS 查询命令时指定 TCP/UDP,那将非常有用。

有没有办法用 DIG 做到这一点?

dns bind
  • 2 个回答
  • 7799 Views
Martin Hope
oucil
Asked: 2020-04-09 10:09:17 +0800 CST

是否可以轮询 DNS 请求?

  • 6

我不确定我是否恰当地表达了这一点,但我想要完成的是通过以循环格式向 DNS 服务器列表发出 DNS 查询,而不是继续,对机器在线足迹进行如此轻微的匿名化一遍又一遍地使用相同的服务,因为它的响应速度最快。

我已经dnsmasq在我的 CentOS 系统上进行了设置,并且查询正在按预期通过它进行路由。 /etc/dnsmasq.conf如下...

domain-needed
bogus-priv
no-resolv
log-queries
user=dns
group=dns

listen-address=127.0.0.1

server=1.1.1.1
server=1.0.0.1
server=208.67.222.222
server=208.67.220.220
server=8.8.8.8
server=8.8.4.4

所以目前,我可以在我的日志中看到,根据 DNS 查询请求,dnsmasq 正在一次向所有 6个服务发出查询......

dnsmasq[5801]: query[A] example.com from 127.0.0.1
dnsmasq[5801]: forwarded example.com to 8.8.4.4
dnsmasq[5801]: forwarded example.com to 8.8.8.8 
dnsmasq[5801]: forwarded example.com to 208.67.220.220 
dnsmasq[5801]: forwarded example.com to 208.67.222.222
dnsmasq[5801]: forwarded example.com to 1.0.0.1 
dnsmasq[5801]: forwarded example.com to 1.1.1.1 

...并返回第一个响应。

我想要的是它只向第一台服务器发出查询,并返回/缓存响应,除非出现错误。如果有错误,它应该移动到列表中的下一个服务器,直到它得到正确的响应。然后对新请求的下一个查询应该转到列表中的下一个服务器......就像循环一样。

那可能吗?

dns bind
  • 1 个回答
  • 1827 Views

Sidebar

Stats

  • 问题 205573
  • 回答 270741
  • 最佳答案 135370
  • 用户 68524
  • 热门
  • 回答
  • Marko Smith

    如何减少“vmmem”进程的消耗?

    • 11 个回答
  • Marko Smith

    从 Microsoft Stream 下载视频

    • 4 个回答
  • Marko Smith

    Google Chrome DevTools 无法解析 SourceMap:chrome-extension

    • 6 个回答
  • Marko Smith

    Windows 照片查看器因为内存不足而无法运行?

    • 5 个回答
  • Marko Smith

    支持结束后如何激活 WindowsXP?

    • 6 个回答
  • Marko Smith

    远程桌面间歇性冻结

    • 7 个回答
  • Marko Smith

    子网掩码 /32 是什么意思?

    • 6 个回答
  • Marko Smith

    鼠标指针在 Windows 中按下的箭头键上移动?

    • 1 个回答
  • Marko Smith

    VirtualBox 无法以 VERR_NEM_VM_CREATE_FAILED 启动

    • 8 个回答
  • Marko Smith

    应用程序不会出现在 MacBook 的摄像头和麦克风隐私设置中

    • 5 个回答
  • Martin Hope
    Vickel Firefox 不再允许粘贴到 WhatsApp 网页中? 2023-08-18 05:04:35 +0800 CST
  • Martin Hope
    Saaru Lindestøkke 为什么使用 Python 的 tar 库时 tar.xz 文件比 macOS tar 小 15 倍? 2021-03-14 09:37:48 +0800 CST
  • Martin Hope
    CiaranWelsh 如何减少“vmmem”进程的消耗? 2020-06-10 02:06:58 +0800 CST
  • Martin Hope
    Jim Windows 10 搜索未加载,显示空白窗口 2020-02-06 03:28:26 +0800 CST
  • Martin Hope
    andre_ss6 远程桌面间歇性冻结 2019-09-11 12:56:40 +0800 CST
  • Martin Hope
    Riley Carney 为什么在 URL 后面加一个点会删除登录信息? 2019-08-06 10:59:24 +0800 CST
  • Martin Hope
    zdimension 鼠标指针在 Windows 中按下的箭头键上移动? 2019-08-04 06:39:57 +0800 CST
  • Martin Hope
    jonsca 我所有的 Firefox 附加组件突然被禁用了,我该如何重新启用它们? 2019-05-04 17:58:52 +0800 CST
  • Martin Hope
    MCK 是否可以使用文本创建二维码? 2019-04-02 06:32:14 +0800 CST
  • Martin Hope
    SoniEx2 更改 git init 默认分支名称 2019-04-01 06:16:56 +0800 CST

热门标签

windows-10 linux windows microsoft-excel networking ubuntu worksheet-function bash command-line hard-drive

Explore

  • 主页
  • 问题
    • 最新
    • 热门
  • 标签
  • 帮助

Footer

AskOverflow.Dev

关于我们

  • 关于我们
  • 联系我们

Legal Stuff

  • Privacy Policy

Language

  • Pt
  • Server
  • Unix

© 2023 AskOverflow.DEV All Rights Reserve