问题[internet](server)

我的问题与这个问题相同，但接受的答案和评论并没有帮助我解决我的问题。我将把我拥有的整个设置放在这里。

BIND9 版本 - BIND 9.11.5-P4-5.1+deb10u6-Debian (Extended Support Version),

操作系统 -Debian Buster (10.11)

named.conf：

// This is the primary configuration file for the BIND DNS server named.
//
// Please read /usr/share/doc/bind9/README.Debian.gz for information on the
// structure of BIND configuration files in Debian, *BEFORE* you customize
// this configuration file.
//
// If you are just adding zones, please do that in /etc/bind/named.conf.local

include "/etc/bind/named.conf.options";
include "/etc/bind/named.conf.local";
include "/etc/bind/named.conf.default-zones";

named.conf.options：

options {
        directory "/var/cache/bind";

        // If there is a firewall between you and nameservers you want
        // to talk to, you may need to fix the firewall to allow multiple
        // ports to talk.  See http://www.kb.cert.org/vuls/id/800113

        // If your ISP provided one or more IP addresses for stable
        // nameservers, you probably want to use them as forwarders.
        // Uncomment the following block, and insert the addresses replacing
        // the all-0's placeholder.

        //forwarders {
        //    0.0.0.0;
        // };

        //========================================================================
        // If BIND logs error messages about the root key being expired,
        // you will need to update your keys.  See https://www.isc.org/bind-keys
        //========================================================================
        dnssec-validation auto;

        listen-on-v6 { any; };

        //hide version number from clients for security reasons.
        version "not currently available";
        
};

named.conf.local：

//
// Do any local configuration here
//

// Consider adding the 1918 zones here, if they are not used in your
// organization
//include "/etc/bind/zones.rfc1918";

named.conf.default-zones：

// prime the server with knowledge of the root servers
zone "." {
        type hint;
        //Default
        //file "/usr/share/dns/root.hints";
        file "/etc/bind/db.fake.root";
};

// be authoritative for the localhost forward and reverse zones, and for
// broadcast zones as per RFC 1912

zone "localhost" {
        type master;
        file "/etc/bind/db.local";
};

zone "127.in-addr.arpa" {
        type master;
        file "/etc/bind/db.127";
};

zone "0.in-addr.arpa" {
        type master;
        file "/etc/bind/db.0";
};

zone "255.in-addr.arpa" {
        type master;
        file "/etc/bind/db.255";
};

db.fake.root：

; BIND reverse data file for empty rfc1918 zone
;
; DO NOT EDIT THIS FILE - it is used for multiple zones.
; Instead, copy it, edit named.conf, and use that copy.
;
$TTL    86400
@       IN      SOA     ns. root.unimar.io. (
                              1         ; Serial
                         604800         ; Refresh
                          86400         ; Retry
                        2419200         ; Expire
                          86400 )       ; Negative Cache TTL
;
@       IN      NS      ns
ns      IN      A       127.0.0.1
$ORIGIN unimar.io.
uniapp  IN      A       10.120.0.12

当我重新启动它运行的服务时，但在日志中收到此警告消息：

Nov 25 11:03:11 unimarDNS named[1145]: zone 255.in-addr.arpa/IN: loaded serial 1
Nov 25 11:03:11 unimarDNS named[1145]: zone 127.in-addr.arpa/IN: loaded serial 1
Nov 25 11:03:11 unimarDNS named[1145]: zone localhost/IN: loaded serial 2
Nov 25 11:03:11 unimarDNS named[1145]: all zones loaded
Nov 25 11:03:11 unimarDNS systemd[1]: Started BIND Domain Name Server.
Nov 25 11:03:11 unimarDNS named[1145]: running
Nov 25 11:03:11 unimarDNS named[1145]: lame server resolving '.' (in '.'?): 127.0.0.1#53
Nov 25 11:03:11 unimarDNS named[1145]: lame server resolving '.' (in '.'?): 127.0.0.1#53
Nov 25 11:03:11 unimarDNS named[1145]: managed-keys-zone: Unable to fetch DNSKEY set '.': failure
Nov 25 11:03:11 unimarDNS named[1145]: resolver priming query complete

当我尝试dig主机时，我得到了这个：

root@unimarDNS:/etc/bind# dig uniapp.unimar.io

; <<>> DiG 9.11.5-P4-5.1+deb10u6-Debian <<>> uniapp.unimar.io
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: SERVFAIL, id: 39791
;; flags: qr rd ra; QUERY: 1, ANSWER: 0, AUTHORITY: 0, ADDITIONAL: 1

;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 4096
; COOKIE: 8da51eb1b4443aeda9f03e38619f5190efb0dc3cd3c88f68 (good)
;; QUESTION SECTION:
;uniapp.unimar.io.              IN      A

;; Query time: 1 msec
;; SERVER: 10.120.0.13#53(10.120.0.13)
;; WHEN: Thu Nov 25 11:04:16 EET 2021
;; MSG SIZE  rcvd: 73

在日志中我得到了这个：

Nov 25 11:04:16 unimarDNS named[1145]: lame server resolving '0.debian.pool.ntp.org' (in '.'?): 127.0.0.1#53
Nov 25 11:04:16 unimarDNS named[1145]: lame server resolving '0.debian.pool.ntp.org' (in '.'?): 127.0.0.1#53
Nov 25 11:04:16 unimarDNS named[1145]: lame server resolving '1.debian.pool.ntp.org' (in '.'?): 127.0.0.1#53
Nov 25 11:04:16 unimarDNS named[1145]: lame server resolving '1.debian.pool.ntp.org' (in '.'?): 127.0.0.1#53
Nov 25 11:04:16 unimarDNS named[1145]: lame server resolving '2.debian.pool.ntp.org' (in '.'?): 127.0.0.1#53
Nov 25 11:04:16 unimarDNS named[1145]: lame server resolving '2.debian.pool.ntp.org' (in '.'?): 127.0.0.1#53
Nov 25 11:04:16 unimarDNS named[1145]: lame server resolving '3.debian.pool.ntp.org' (in '.'?): 127.0.0.1#53
Nov 25 11:04:16 unimarDNS named[1145]: lame server resolving '3.debian.pool.ntp.org' (in '.'?): 127.0.0.1#53

请问谁能告诉我我做错了什么？

编辑

我确实喜欢下面评论中建议的@Nikita Kipriyanov。

该问题中的解决方案不起作用，因为 BIND 期望对根区域进行签名。我不明白为什么要尝试重新定义根服务器，而不仅仅是为所需区域制作授权服务器？这是非常不必要的并发症。如果系统与 Internet 断开连接，则 Internet 查找无论如何都会失败。

我们有位于 Amazon EC2 安全组后面的外部服务，用户连接到 VPN（由第三方提供和维护），以便他们获得一个随时间一致并被安全组规则接受的 IP。

多个用户可以在他们自己的网络上连接并同时使用 vpn/网站，没有任何问题（我们的大多数同事目前都在家工作）。

但是，我们刚刚建立了一个新的办公网络，并且观察到多个用户无法同时访问 EC2 规则后面的站点，我们实际观察到的是访问的触发器/触发器，其中一个用户将暂时可以访问，而页面将停止为次要用户加载，然后当次要用户再次与站点交互时，控件将翻转。我们希望能够并行访问网站。

1. 在 VPN 上访问不符合 EC2 规则的网站似乎不是问题。
2. 我们尝试了不同的网络提供商（同一部电话的热点似乎会导致相同的问题，但电话与提供给办公室的网络不同）。
3. 静态 IP 不是我们在此办公室可用的选项（我们的网络提供商不支持静态 IP ( https://ee.co.uk/ )）。
4. 我们的 IP 地址是 IPv6。

对此非常迷失，任何有关如何进一步调查诊断的建议将不胜感激。

最近，我查看了 RFC6890（此处的链接）以了解有关当前 IP 寻址方案的更多信息，并注意到一个相当大的 IP 地址范围被列为“保留供将来使用”。

有问题的 IP 地址范围是 240.0.0.0/4。

由于 IPv4 目前的可用地址已用完（因此过渡到 IPv6），为什么 IETF 不向公众开放 240.0.0.0/4 范围以便将其用作公共 IP 地址空间？我知道它不会解决IPv4 的限制，而且我知道有一天我们最终会用完，但是向公众开放它会提供额外的 268,435,455 个 IP 地址，在我看来这是一个相当可观的数量，目前是只是坐在那里无所事事。

是否有任何特殊原因使其不用于公共分配？

我的第二个问题是为什么环回 IP 地址范围（127.0.0.0/8）这么大？截至目前（我非常怀疑它会不会改变），环回 IP 地址范围是 127.0.0.0/8，即 16,777,216 个 IP 地址。我们可能需要 16,777,216 个环回地址来做什么？如果您对此有答案，可以告诉我吗？

谢谢你。

嗨，我对我的一个公共 IP 的跟踪路由有奇怪的行为在一行中，我有多个主机名，其时序如下例所示，在第 5 行

traceroute to dns.abc.com (111.222.333.444), 30 hops max, 60 byte packets
1  router.example.com (192.168.0.1)  1.137 ms  0.712 ms  0.641 ms
2  * * *
3  * * *
4  212.2.102.1 (212.2.102.1)  39.234 ms  38.799 ms  38.762 ms
5  wawbal-i1-BE11.plusnet.pl (212.2.102.189)  45.306 ms pozche-i2-BE15.plusnet.pl (212.2.102.214)  38.787 ms  38.667 ms
6  wawbal-i2-BE12.plusnet.pl (212.2.102.210)  45.495 ms  35.135 ms  34.872 ms
7  xe-2-0-0-48.r5.isp-rs.thinx.atman.pl (212.91.0.13)  34.402 ms  39.241 ms  40.592 ms
......

有没有人见过这样的东西？这是什么意思？

非常感谢您的回答。米

我的组织拥有我们不再强烈使用的 Internet 域。Web 请求通常只是简单地重定向到我们的主要公司网站，除非可能如下所述，任何人都没有正当理由向这些域中的地址发送邮件。

我想要关于如何处理这些域的电子邮件的建议。我找到了RFC 7505，它描述了使用“Null MX”在 DNS MX 记录中指示域不接受邮件。这如何与 RFC 2142 (1997) 协调一致，RFC 2142 (1997) 标准化了诸如abuse@domain 之类的联系地址，以及诸如hostmaster@domain 之类的其他老式地址？什么是“好公民”的最佳实践？有没有互联网名人发表过推荐？

我在大学住宅区的 IT 部门工作（网络运营与我们的分开）。我想知道当有人在我们的设备注册门户上注册一个 MAC 地址[以在校园内获得有线互联网访问] 时，BluCat 地址管理器是如何能够检测它是有线还是无线 MAC 地址并分配一个 IP 地址相应地从校园特定范围。我知道有些公司要求您从必须通过有线连接的计算机进行远程工作，并且他们有一个与他们提供给您的软件捆绑在一起的程序可以区分，但我不知道如何事情将被实施。你知道这是怎么做到的吗？假设如果一个程序可以弄清楚，MAC地址的内容是有问题的，是否正确，或设备的其他标识符，可以查看以确定这一点？我想制作一个可以复制它的 shell 程序。在每种情况下，这将适用于与我在同一网络上的远程计算机，如果这样可以简化事情的话。

我的客户抱怨网速低。当使用 Speedtest.net 测量时，速度是可以接受的。定期测量的下载量是标称速度的 10% 到 30%。我无法解释。

一些背景。有问题的连接位于阳光明媚的加勒比海岛屿之一，那里的快速互联网并不是最大的资产。最近互联网速度变得不错，高达 200 Mbps。但是到（比如说）阿姆斯特丹的 ping 往返时间大约是 180 毫秒。

客户拥有 100 Mbps 光纤连接。在 Windows 机器 (speedtest.net) 上对 ISP CO 进行速度测试时，我们获得 95 Mbps。当对阿姆斯特丹使用相同的速度测试时，我们达到了 60-70 Mbs。完全可以接受。

前段时间我安装了一个 RasPi，它会定期从我在阿姆斯特丹的一台服务器中获取文件。在直接连接到 AMS-IX 的数据中心中。使用此命令：

wget -O /dev/null --report-speed=bits http://aserv.example.net/~myuser/links/M77232917.txt

.txt 文件是 23MByte 的数字。（实际上它是最大的梅森素数，23e6 位）

当我在有问题的网络上下载该文件时，wget 会报告：

dev/null 100%[====================================================================>]  22.81M  11.6Mb/s   in 17s    

2019-02-08 14:27:55 (11.2 Mb/s) - ‘/dev/null’ saved [23923322/23923322]

同时 speedtest.net 报告 60-70 Mbps。

我知道 Raspi 有其局限性。但是这个速度变化很大。一次 RasPi 报告此 11 Mbps，下一次报告 22 Mbps。但有时低至 1.5 Mbps。

当我使用功能非常强大的笔记本电脑进行此测试时，最高速度略高（高达 30 Mbps），但也显示出同样的低速。因此，它表明 RasPi 在高端的限制，但不是 10 Mbps 的低端。

我从德国慕尼黑的数据中心的服务器发出完全相同的命令。速度 96 Mbps。

然后来自荷兰的消费者 100 Mbps 光纤连接：65 Mbps。

然后，在我家标称 10 Mbps ADSL。Speedtest 显示 10Mbps。Wget 提供 8.5 Mbps。这在我的书中是平等的。

这排除了对充当文件下载主机的服务器的任何限制。

我不希望任何人能指出客户端连接缓慢的原因。但是谁能解释 speedtest.net 和 wget 之间的差异？

速度测试是否忽略了某些东西，还是仅测量峰值？还是 wget 受到长 ping 时间的严重影响？

我觉得wget测试给出的是真实有效的速度，而speedtest主要是为了展示标榜的速度。

为什么网站从其主域名之外提供下载或静态内容？

显然，如果您使用 akamai 或某些 3rd 方 CDN 来交付您的静态内容，但为什么要将您的下载/图像放在其他看起来像是拼写错误的域中呢？

除了用户混淆（microsoftupdates.hub.com 合法吗？）之外，它还会导致诸如戴尔忘记更新www.dellbackupandrecoverycloudstorage.com其硬编码站点以进行操作系统映像恢复的问题，该站点已过期并被恶意软件取代。

在早期，让所有静态图像都来自完全独立的路径可能更容易 - 但我相信 mcirosoft.com 的负载平衡器现在可以处理这个问题

我有一个使用 VirtualBox 设置的虚拟网络。我有两台 Windows Server 2012 R2 主机，名为DC01和EX01。DC01是域控制器、DNS服务器和路由器；EX01 是一个 DNS 客户端，并加入了域 Jonas.Aalst。

以下是服务器的概述：

DC01

• 网络功能：AD域控制器、DNS服务器和路由器
• 接口：NAT（通过 DHCP 解析）和内部网络（静态分配 IP 192.168.17.1，掩码 255.255.255.0）
• 一个 DNS 区域，一个主 DNS 正向查找区域，其中包含DC01* 和 **EX01的记录。

EX01

• 网络功能：Exchange服务器（尚未安装）和DNS客户端
• 接口：内部网络，IP 192.168.17.2，掩码 255.255.255.0，默认网关 192.168.17.1 和首选 DNS 服务器 192.168.17.1

在家里，DC01 和 EX01 都可以访问互联网（DC01 通过 NAT、DHCP；EX01 通过路由器 DC01）。但是在我的学校网络中，只有 DC01 可以上网。EX01 可以 ping DC01 并且可以解析本地主机名，但服务器无法解析 Internet 网站（如 www.google.com）。

有谁知道可能的解决方案？

非常感谢您提前。

我有以下网络，DHCP + Internet 由路由器“TP-Link N600”提供，我想在我们的服务器而不是路由器上添加 DHCP 规则，那么如何为 AP 和笔记本电脑提供 Internet。

是否使用网关？