パスワードを忘れた? アカウント作成
2274 story

BIND ネームサーバの更新に関するお願い 19

ストーリー by koyhoge
いつもより余計に検索しております 部門より

shigezo 曰く、 "JPNICのこのインフォメーションによるとBind Version8.3.0で特定の条件化で設定をミスった場合にDNS の過大な query を行う (DNS storm) という問題が確認されました。そうです。「該当する BIND 8.3.0 の named の設定内容に問題がない場合でも、設定内容に誤りのある他組織の存在によって、該当の問題が発生することが確認されています。」との事ですので、該当する方はversion 8.3.1へ急げ。"

インターネットの生命線ともいえるDNS。そのシンプルな仕組みと、絶妙なバランスの上で動作していることは意外と知られていない。インターネットの安定運用の意味でも、該当管理者の方は更新を急ごう。

この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。
  • by tietew (6130) on 2002年02月14日 9時30分 (#62592) ホームページ
    移行するのだ。シンプルで軽くて思ったより扱いやすかった。
    また,DNSの仕組みをきちんと理解できるいいソフトだと思う。

    ただ,DJBシンパはどうかと思うが…
    # 私は――qmailも使ってるけど――シンパではありません。
    • by brake-handle (5065) on 2002年02月14日 9時51分 (#62597)

      自宅でdjbdnsを考えてましたが、viewの概念がないためにあきらめました。viewがないとprivate addressをrecordに入れ、かつzoneを外へtransferする(世界中からreachableなもののみ)ことがまずできません。

      世界中からreachableなものをいきなり外のzoneに書くことも考えましたが、結局は自宅からいじることが多い(まだ動かしていないが、updateを使い出すともうそれしかできない)ので見送りました。

      親コメント
      • by tietew (6130) on 2002年02月14日 10時24分 (#62604) ホームページ

        そういう時,djbdns 的には IP Alias するなどして,tinydns を外向けと内向けに2個立てます。

        実際にうち(ADSL)で採っている方法は:

        • 192.168.0.XXX(eth0) dnscache
        • 192.168.0.YYY(eth0:0) tinydns for LAN
        • 61.AAA.BBB.CC(utp) tinydns for Internet
        • 61.AAA.BBB.CC(tcp) axfrdns for ゾーン転送

        dnscacheはlocalhostで立てることが推奨されていますが,Windowsから参照したかったのでLAN向けに立っています。

        また,セカンダリは cron + afxr-get + shell script で。

        親コメント
        • by brake-handle (5065) on 2002年02月14日 10時37分 (#62607)

          IP addressとinterface nameはそんなに簡単に結び付かないのでは? 自宅では(*BSDばっかりなので)gifに見かけ上world-reachableなaddressを与えていますが、overheadを避けるためにospfでgif側のcostを上げる工夫をしています(したがってgifに流れているのはospfだけ)。このため、どのinterfaceからどんなdestinationを持ったpacketが来るかわかりません(これはあくまで最適なroutingに応じて決めるべきであり、applicationが勝手な仮定をおくべきではない)。

          そうなると、結局はsource addressで確認がとれないと使いものにならないわけです。

          親コメント
          • by tietew (6130) on 2002年02月14日 10時48分 (#62610) ホームページ
            # 最初に訂正。utp→udp

            うーん?
            というか eth0(LAN) と ppp0(ADSL=eth1) で分けているだけなので,問題ないと思うのですが?(当然NICは2枚)
            というか,61.~ を持つ ppp0 に,destination が 192.~ なパケットが来ることはないですし,192.~ を使う LAN マシンが 61.~ に宛ててもそこは IP masquerade が良きに計らってくれますし。
            だからbindするアドレスだけで見分けられませんかね?

            それともまだ何か勘違いとかしてますでしょうか。
            親コメント
            • by brake-handle (5065) on 2002年02月14日 11時32分 (#62624)

              そうか、tietewさんの場合はdjbdnsを走らせている計算機を迂回してeth0側のlinkとeth1側のlinkを結ぶ経路が全く存在しないからそれでいけるわけですね。

              私の場合は、bindを走らせている計算機が複数のinterfaceを持っているだけでなく、そのどれを通っても自宅、ないしは世界中からたどり着くことができます。この場合、通るべきinterfaceはsourceやdestinationには依りません。Routing tableに反映されたpolicyによってのみ決まります。

              Routing policyはEthernet優先なので、前述の通りgif側のospf costを高くしています。このため、bindが走っている計算機へのtraffic(ospf以外)は(sourceやdestinationはお構いなしに)すべてEthernetを通ります。かくして、interfaceにsocketを張り付けるだけでは不十分なわけです。

              親コメント
              • by sugi (148) on 2002年02月16日 3時39分 (#63426) 日記

                まだ見てる事を願いつつ。

                クエリを投げてきたクライアントアドレスによって 応答を変えることは出来ます。

                例えば

                %in:192.168
                %ex
                +jupiter.heaven.af.mil:192.168.1.2:::in
                +jupiter.heaven.af.mil:1.2.3.4:::ex

                こんな感じで書いておくと、192.168.0.0/16 から検索があった 時だけ、プライベート IP を返すことが出来ます。

                詳しくは tinydns-dataの説明 [qmail.org]のデータ形式のところを見てみてください。
                --
                Tatsuki Sugiura
                親コメント
              • by brake-handle (5065) on 2002年02月16日 7時30分 (#63446)

                record単位では応答を変えられるのはわかりましたが、実は外のname serverへzoneをtrasferしている手前、zone単位で応答を変えられる方が(私の問題の場合は)すっきりするんですよね。特にNSやMXなどはzone単位でまとめてみることができないとinconsistentなzone(あるviewについてMXの右辺に対応するA/AAAA/A6が存在しないなど)を作ってしまう恐れすらあります。

                そうなると、record単位で応答を変えなければならないのはかえって設定ミスの原因になりそうで。

                親コメント
              • by sugi (148) on 2002年02月16日 18時01分 (#63566) 日記

                ごめんなさい。情報少なすぎたか。

                record 単位ではなくて、tinydns のデータファイルの 行単位になります。NS や MX の定義は一緒に A も生成 する事が出来、そういう風に使っていればミスは減ります。

                bind 風のデータファイルだと確かにミスを起こしそうですが、 この書き方は tinydns の書式にはマッチしています。

                # 個人的にはこの A と PTR を一行で定義できることと、
                # 自動シリアルは非常に役に立っています。
                # 絶対に(自分も含めて)誰かが PTR 定義し忘れるとか、シリアル
                # あげ忘れるとかをしてしまうので。

                あとは、bind の様に zone 単位でファイルを作るわけではなく、 (最終的にcatでくっつければよいだけだから)好きなように分割出来るので、その分け方でもミスは減らせると思います。

                --
                Tatsuki Sugiura
                親コメント
    • by dai75 (557) on 2002年02月14日 10時15分 (#62600) 日記
      dbjdns いいですよね。qmail も。
      ひとつのことしかやらないソフトの集合体なので、DNS/Mail の仕組み理解してれば扱いやすいです。
      --
      -- wanna be the biggest dreamer
      親コメント
    • by umq (4421) on 2002年02月14日 10時32分 (#62606) 日記
      使ってますが
      /package
      以下にインストールされるようになってから
      バージョンアップをどうするか悩んでます。
      親コメント
    • by kusanagi (3927) on 2002年02月14日 12時07分 (#62641)
      最初とまどいましたが(笑)
      かなり安定して動くので好きです。
      セキュリティ系のupdateも少ないし。
      #管理の手間が大分簡略化される

      superserviceでinitd/xinitdgが撲滅されちゃいました。

      でも資料が圧倒的に少ないね。
      --
      kusanagi shin
      親コメント
    • by densuke (113) on 2002年02月14日 12時35分 (#62647) 日記
      Dynamic DNSサポートが欲しいところです。
      これがあれば家の中のDHCPとDNSをまとめられるし。

      既にあったらごめんなさい...
      --
      -- やさいはけんこうにいちば〜ん!
      親コメント
      • by motchie (4317) on 2002年02月14日 13時36分 (#62666) ホームページ
        ぼくは試したことがありませんが、rddns [nemui.org]というものがあるようです。

        このコメントを投稿している時点では、サイトにはアクセスできませんでした。
        親コメント
        • by sugi (148) on 2002年02月16日 3時58分 (#63434) 日記

          そのスクリプト書いた当人です。サーバの方は 最近ハードウェアトラブルで落ちまくりでごめんなさい……

          それはともかく、djbdns は Makefile とちょっとしたスクリプトを書くと、本当に色々なことが出来ます。

          例えばその rddns というのは pop で接続してきたユーザのIP を 動的に割り当てるスクリプトです。他にも自分の家では DHCPD のリースファイルから名前を拾って登録するようにしています。axfr-get を起動すれば、bind のスレーブにもなれますし( Makefileの例 [nemui.org])、アイデアが あれば他にも色々な機能が実現出来るでしょう。

          個人的には、こういう、提供された機能を使うだけじゃなくて、自分で好きなようにいじくり回せるあたりが気に入っています。

          --
          Tatsuki Sugiura
          親コメント
      • by Anonymous Coward
        DNSはぜんぜん詳しくないし、dhcpというのが
        dynamic dnsから外してるかもしれませんが
        dhcp-dns [thismetalsky.org]
        というものを、freshmeatから発見しました。

        思いっきり外してたらすいません。

  • by Anonymous Coward on 2002年02月14日 11時14分 (#62618)
    BINDversion9番代を使わない理由ってなんなんでしょう。数十個のzone抱えているBIND8系を最近BIND9系に替えたけど手間らしい手間は無かったけど。
    • by brake-handle (5065) on 2002年02月14日 12時01分 (#62637)

      特定のversionですが、9.1.3から9.2.0に変えた時に、udp socket bufferにpacketがたまりっぱなしになってしまう現象に出くわしました。bind(2)しているaddressがまずそうな気がするのですが、追求する余裕がなく9.1.3に戻しました。

      9.2.0を使おうとしたのはRFC1886-based queryからRFC2874-based queryへの変換なんですが、freenet6 [freenet6.net]のdns逆引きがまだRFC1886-basedだったのであまり気にはなっていません(一応手元では両者に対応できるようにzoneを作ってある)。

      親コメント
    • パフォーマンスが悪いのがネックかと。
      目に見えて遅いです bind9...
typodupeerror

あと、僕は馬鹿なことをするのは嫌いですよ (わざとやるとき以外は)。-- Larry Wall

読み込み中...