在我的一个网络服务器上,环回路由位于第二位,通常在显示路由时它在其他服务器上位于第三位:
>ip route show
一台 centos 7 服务器上显示的结果:
default via 85.x.x.254 dev enp32s0
85.x.x.192/26 dev enp32s0 proto kernel scope link src 85.x.x.201
169.254.0.0/16 dev enp32s0 scope link metric 1002
另一个 centos 7 服务器的结果:
default via 217.x.x.1 dev em1
169.254.0.0/16 dev em1 scope link metric 1002
217.x.x.0/24 dev em1 proto kernel scope link src 217.x.x.216
它有什么不同吗?它有什么后果吗?谁能解释它为什么会发生?
我想知道我的 2 个域名服务器是否需要 PTR 记录。您可能知道 PTR 记录或反向 DNS 对于邮件服务器主机名很重要,因为它可以提高您的外发电子邮件被主要电子邮件提供商接受的机会。
我还想知道是否存在针对名称服务器检查 PTR 记录(又名 rDns)的情况。
我检查了大型在线公司的名称服务器的 PTR 记录,发现他们的所有名称服务器都有 PTR 记录。(我想到了来自 Cloudflare、Cisco、Microsoft 等的名称服务器......)。请注意,我谈论的是名称服务器而不是邮件服务器。
当我转到 Debian 7 上的本地端口范围时,我可以看到我的临时端口范围是:
cat /proc/sys/net/ipv4/ip_local_port_range
32768 61000
我/etc/sysctl.conf的是空的。
通常这意味着来自该名称服务器解析器的所有请求都应使用该范围内的端口。但是,使用tcpdump时,当我查看使用 创建的 DNS 请求和答案时dig,我可以看到该请求可以使用低至 1500 的发送端口。
例如,在下面的例子中tcpdump(范围。tcpdump udp and port 53 and host server.domaindig
11:57:33.704090 IP baremetal.15591 > M.ROOT-SERVERS.NET.domain: 41939% [1au] A? r.arin.net. (39)
11:57:33.704400 IP baremetal.41573 > M.ROOT-SERVERS.NET.domain: 40945% [1au] A? t.arin.net. (39)
11:57:33.704541 IP baremetal.22658 > M.ROOT-SERVERS.NET.domain: 44090% [1au] AAAA? t.arin.net. (39)
11:57:33.705295 IP baremetal.13277 > M.ROOT-SERVERS.NET.domain: 42356% [1au] A? v.arin.net. (39)
11:57:33.705499 IP baremetal.48755 > M.ROOT-SERVERS.NET.domain: 32253% [1au] A? w.arin.net. (39)
11:57:33.705639 IP baremetal.55309 > M.ROOT-SERVERS.NET.domain: 64660% [1au] AAAA? w.arin.net. (39)
11:57:33.705812 IP baremetal.56652 > M.ROOT-SERVERS.NET.domain: 43023% [1au] A? y.arin.net. (39)
11:57:33.706012 IP baremetal.26383 > M.ROOT-SERVERS.NET.domain: 42377% [1au] AAAA? y.arin.net. (39)
11:57:33.706172 IP baremetal.12895 > M.ROOT-SERVERS.NET.domain: 13206% [1au] AAAA? z.arin.net. (39)
我想知道什么会改变我的 Debian 7 和 8 上的临时端口的端口范围。唯一值得一提的事情。我在其中一个上使用过,其中ifenslave一个用于ifenslave绑定两个以太网端口。
解析器是服务器本身,并且
#cat /etc/resolv.conf
nameserver ::1
但它完全一样,nameserver 127.0.0.1因为 ipv4 & ipv6 共享/proc/sys/net/ipv4/ip_local_port_range(参考)& 我也试过了。
为了避免与 IPv6 混淆,我决定只使用 IPv4。我只添加nameserver 127.0.0.1到/etc/resolv.conf.
以下结果仅适用nameserver 127.0.0.1于 in /etc/resolv.conf。
然后,我发出rndc flush从解析器刷新 DNS 缓存并dig google.com
我打开了第二个终端窗口并输入tcpdump udp and port 53:
很多记录,但我注意到,无论请求(A,PTR ...)和接收主机,DNS 请求都可以从低于 32768 的端口发出
>strace -f dig www.google.com 2>&1 | egrep 'sendmsg|recvmsg|connect|bind'
open("/usr/lib/libbind9.so.80", O_RDONLY) = 3
[pid 10651] bind(20, {sa_family=AF_INET, sin_port=htons(0), sin_addr=inet_addr("0.0.0.0")}, 16) = 0
[pid 10651] recvmsg(20, 0x7f5dd95cab60, 0) = -1 EAGAIN (Resource temporarily unavailable)
[pid 10651] sendmsg(20, {msg_name(16)={sa_family=AF_INET, sin_port=htons(53), sin_addr=inet_addr("127.0.0.1")}, msg_iov(1)=[{"\251\261\1\0\0\1\0\0\0\0\0\0\3www\6google\3com\0\0\1\0\1", 32}], msg_controllen=0, msg_flags=0}, 0 <unfinished ...>
[pid 10651] <... sendmsg resumed> ) = 32
[pid 10651] recvmsg(20, {msg_name(16)={sa_family=AF_INET, sin_port=htons(53), sin_addr=inet_addr("127.0.0.1")}, msg_iov(1)=[{"\251\261\201\200\0\1\0\1\0\4\0\4\3www\6google\3com\0\0\1\0\1"..., 65535}], msg_controllen=32, {cmsg_len=32, cmsg_level=SOL_SOCKET, cmsg_type=0x1d /* SCM_??? */, ...}, msg_flags=0}, 0) = 184
这个问题与我的防火墙有关。由于可以从(我自己的猜测)1024 到 65000 发出临时端口,这意味着我不能像过去那样阻止来自高于 1024 端口的输入流量。如果我这样做,我会减慢或阻止 DNS 解析。
更新:谢谢,我知道如果我想将服务器用作 DNS 解析器,这意味着我必须考虑 UDP 端口范围 1024:65535 是临时端口范围。