BIND全般

■掲示板に戻る■ 全部 1- 101- 201- 301- 401- 501- 601- 701- 801- 901- 1001- 最新50

レス数が1000を超えています。残念ながら全部は表示しません。

BIND全般

1 ：　：2001/07/12(木) 23:12: 魔術師の溜まり場です
88 ：名無しさん＠お腹いっぱい。 ：01/11/10 18:17: CNAMEはCクラス以下の逆引きを行うための必須アイテムです。

ftp://ftp.iij.ad.jp/pub/rfc/rfc2317.txt
89 ：名無しさん＠お腹いっぱい。 ：01/11/10 18:59: Canonical Nameがどれだかわからなくて気持ち悪いな..
っつーのは気持ちの問題?
90 ：名無しさん＠お腹いっぱい。 ：01/11/10 23:38: >>88
CNAME 使わなくても NS レコードで委譲できんじゃなかったっけ?
djbdns のドキュメントにあったような。

>>89
気持ちの問題。
91 ：名無しさん＠お腹いっぱい。 ：01/11/10 23:59: CNAMEの便乗質問なんですけど

正引きさせるとき CNAME
xxxxx IN CNAME www.xxxxxx.xxx.
yyyyy IN CNAME www.xxxxxx.xxx.
と指定する場合と
xxxx IN A 192.168.117.4
yyyy IN A 192.168.117.4
と指定する場合どっちが信頼性とかレスポンスとかいいのでしょうか。
サーバのIPアドレスを変更したとき CNAMEだと www.xxxxxxx.xxxx.
のIPアドレスを変更すればいいだけですむので通常(?)はこっちで
しょうが、www.xxxxx.xxxx.が引けないとこのホストにCNAMEしてるホスト
は全滅だし www.xxxx.xxxx.を再度引かないといけないので問い合わせて
が増えるのではないかと。
92 ：名無しさん＠お腹いっぱい。 ：01/11/11 00:04: >>91

私は後者を多用してる。
理由は特にないけどCNAMEだとMXにつかえないとかあるから。

信頼性とかレスポンスは分からん。申しわけ
93 ：名無しさん＠お腹いっぱい。 ：01/11/11 12:35: >>91
委譲関係とか、ネームサーバのネットワーク環境など一概には言えないが、
CNAMEを使うと確実にDNSクエリーが多くなる。
ネームサーバやリゾルバにもよるが、初回アクセスのレスポンスを重視する
なら直接Aレコードを書いた方が良いだろうね。

・・・相変わらずBINDそのものとは関係ないな。
94 ：名無しさん＠お腹いっぱい。 ：01/11/11 19:37: >>93
なるほど。やはりそうですか。
95 ：名無しさん＠お腹いっぱい。 ：01/11/13 11:49: ていうか、実はCNAMEっていらない？
96 ：名無しさん＠お腹いっぱい。 ：01/11/13 12:05: >>95
>>88で書いてあるように、クラスC以下での逆引きに必要。
とはいえ、>>90で
>CNAME 使わなくても NS レコードで委譲できんじゃなかったっけ?
>djbdns のドキュメントにあったような。
こう書いてるな。これってもしかしてIPアドレス一つごとにzoneを
わけるのだろうか。
97 ：90 ：01/11/13 12:27: >>96
そう。
要は /32 で権限を委譲しまくる。

……ってのがどっかに書いてあったと思うんだけど、見つからんな……。
理屈では可能でしょ?
98 ：名無しさん＠お腹いっぱい。 ：01/11/13 12:49: >>97
可能だけど、zoneが増えすぎてﾏｽﾞｰなのかな。
いろんな方法がある中で、RFC 2317がBest Current Practiceだったんでしょう。
99 ：名無しさん＠Ｅｍａｃｓ ：01/11/13 14:03: なんだか CNAME いらんとか言ってる人がいるようだけど、
それでは自分の管理外のサイトにあるホストを CNAME で指したい時に
困るんじゃないだろうか? とか言ってみる。
100 ：名無しさん＠お腹いっぱい。 ：01/11/13 14:05: >>99
A が使えないのってどんな状況?
101 ：名無しさん＠お腹いっぱい。 ：01/11/13 14:51: A使えないことはないけど、IPアドレスが変わった時はCNAMEの
ほうが有利だね。

djbdns における classless delegation はこちら。>>97で正解。
http://djbdns.jp.qmail.org/djbdns/notes/delegation.html
102 ：90 ：01/11/13 15:13: ども。
djbdns だと、ゾーンがいくつあろうが
ぜんぶ root/data{,.cdb} に入るからラクだね。
103 ：99 ：01/11/13 15:24: >>100
101 さんが書いてるように IP アドレスが変わるような時とか。それ以外だと AAAA とか。(ﾜﾗ

もちろん A しかなかったら A でやるけど、もともと違うもんだから
CNAME の方が便利なケースもあるってことで。

classless の話だけど NS はりまくるのも CNAME でやるのもどっちもどっちなのに
そんなのを BIND 批判のネタにする DJB は大人げないってことでよろしい? (ﾜﾗ
# スレ違いなので sage
104 ：名無しさん＠お腹いっぱい。 ：01/11/13 20:51: bind や djbdns 以外の DNS はどんなのがありますか？
105 ：名無しさん＠お腹いっぱい。 ：01/11/14 01:20: DNSの部分的な機能を実装したやつなら沢山あると思うが、
一通りの機能を機能を備えたやつならこんなのがあるらしい:

Dents
http://sourceforge.net/projects/dents/

MaraDNS
http://www.maradns.org/
106 ：名無しさん＠お腹いっぱい。 ：01/11/14 03:03: >>103
BINDの実装に束縛されたad hocな方法を嫌い、使用者にそんな手段を選ばせて
しまうBINDを非難することは間違ってはいないと思うぞ。本来だったらCIDRが
提唱された時点でBINDも何らかの対応を取るべきだったのではないか？

大体、CNAMEを介する方がメンドウなのは確かだしな。某プロバイダと逆引きの
設定でトラブった時、先方技術者に方法を教えることになってゲンナリしたよ。(w
107 ：名無しさん＠お腹いっぱい。 ：01/11/14 09:30: >>105
Dents って今メンテナンスされてないんじゃなかったっけ？
MaraDNS って名前が（･∀･）ｲｲ! 今度これ使ってみるよ！
108 ：99 ：01/11/14 09:37: >>106
そうかな? 束縛されてるのは BIND の実装じゃなくて DNS の設計だろ。
それを BIND の設定ファイルがどうとかいう矮小な問題として批判してるのが
変だという話だ。まあ、DJB だからしょうがないかって思うけどね。

本来の話をするんだったら CIDR が提唱されている時点で逆引きのメカニズムは
破綻している。BIND は延命策として ad hoc な解決法の一つを示しただけ。
それが RFC になったのは他にマトモな代案が出てこなかったからとちがうん?
何で BIND が非難されるん? 確かに BIND は DNS のデザインに責任があると
思うけど、DJB は非難の矛先を微妙に間違えていると思う。でもきっとわざとだ。藁
109 ：釈、命 ：01/11/14 09:41: 自宅のLinux上でBINDの勉強をしています。

test.dom IN SOA test7.test.dom. root.test7.test.dom. (
1
3600
300
360000
86400
)

test.dom IN NS test7.test.dom.
test.dom IN NS test2.test.dom.

localhost IN A 127.0.0.1

test7 IN A 192.168.1.5
test2 IN A 192.168.1.1

上は、正引きゾーンマスタファイルです。この状態でnslookupを使用すると、test2のIPアドレスを出力することができます。

$ORIGIN test.dom

@ IN SOA test7.test.dom. root.test7.test.dom. (
1
3600
300
360000
86400
)

IN NS test7.test.dom.
IN NS test2.test.dom.

localhost IN A 127.0.0.1

test7 IN A 192.168.1.5
test2 IN A 192.168.1.1

上は、$ORIGINを使用して書き直したものです。この状態でnslookupを使用すると、test2のIPアドレスを出力することができません。どこか、文法が間違っているのでしょうか。
110 ：名無しさん＠お腹いっぱい。 ：01/11/14 09:46: >>109
>> IN NS test7.test.dom.
>> IN NS test2.test.dom.
ここの行頭に空白か @ を入れる、かな?
111 ：名無しさん＠お腹いっぱい。 ：01/11/14 13:44: ところで、
> test.dom IN SOA test7.test.dom. root.test7.test.dom. (
> 1
> 3600
> 300
> 360000
> 86400
> )
これや
> test.dom IN NS test7.test.dom.
> test.dom IN NS test2.test.dom.
これは、test.dom.$ORIGINを定義してるような気がするのは俺だけか?
112 ：名無しさん＠お腹いっぱい。 ：01/11/14 14:53: http://pc.2ch.net/test/read.cgi/sec/1000359447/395
にも書いたんだけど、DION の dns server から変な
UDP port に大量の access が。

scandetd によると、
dns4.dion.ne.jp 210.172.64.112
I've counted 53 connections.
First connection was made to 3619 port at Tue Nov 13 15:05:43 2001
Last connection was made to 3619 port at Tue Nov 13 15:09:01 2001

I've counted 44 connections.
First connection was made to 3867 port at Tue Nov 13 17:17:23 2001
Last connection was made to 3867 port at Tue Nov 13 17:19:28 2001

I've counted 40 connections.
First connection was made to 4092 port at Tue Nov 13 17:58:06 2001
Last connection was made to 4094 port at Tue Nov 13 17:58:39 2001

I've counted 43 connections.
First connection was made to 2143 port at Wed Nov 14 14:33:54 2001
Last connection was made to 2149 port at Wed Nov 14 14:36:08 2001

dns1.dion.ne.jp 210.141.108.226
I've counted 46 connections.
First connection was made to 3619 port at Tue Nov 13 15:05:43 2001
Last connection was made to 3619 port at Tue Nov 13 15:09:01 2001
とのこと。

あ、named.conf で query-source address * port 53 しても、source
port が 53 に固定されるだけで、変な port には acccess してこないやん…。
113 ：名無しさん＠お腹いっぱい。 ：01/11/14 15:40: >>112
それって BIND とか DNS と関係あるの?
dns*.dion.ne.jp からのアクセスだからといって DNS のアクセスとは限らんでしょ?
114 ：名無しさん＠お腹いっぱい。 ：01/11/14 16:07: >>113
確かにそだね。

ただ、DION の DNS server からこんな request 来たこと
今までなかったし、DION の DNS server が crack
されたっていう話も聞かないし…。

どんな内容なのか log を取っておいていなかったのが
まずかったなぁ。
115 ：名無しさん＠お腹いっぱい。 ：01/11/14 16:12: DNS queryがtimeoutした後で返事が返ってきてるってことはない?
116 ：113 ：01/11/14 16:14: >>114
でも port 53 にきたわけじゃないから log とっても DNS query かどうかも
わからないよね。いやそうでもないか。packet の中身調べたらわかるな。

じゃそういうことで頑張ってくれ。
117 ：名無しさん＠お腹いっぱい。 ：01/11/14 16:22: >>115
う～ん、port を変えて2分間に43connection
とか張らない思うよ。

>>116
そそ。scandetd だと packet の中身まで log を取る機能
はなかったと思うので、UDP 53 以外に dns*.dion.ne.jp
から来る packet を capture するように tcpdump を設定
しますか…。
118 ：名無しさん＠お腹いっぱい。 ：01/11/14 18:37: CIDRの逆引きがみっともないってのは確かだが、破綻ってのは言い過ぎでは？
使い勝手からCNAMEの利用が広まったのはBINDの責任でしょ。

あとrfc2317は個人的に気にくわんので。(w
rfc2181は間違っちゃいないと思うが、それを言い訳にrfc1035を無視するのは
なんつーか。
119 ：名無しさん＠お腹いっぱい。 ：01/11/14 18:38: ううむ。ヲレが管理していなかった mail server の log
を見たら、DION から SMTP の不正中継要求の嵐…。
ってことは、例の UDP request が IP address spoofing
か、実際に DION の DNS が crack されたかのどちらか
って可能性が高いなぁ。

http://www.dion.ne.jp/news/shougai.html を見ても
それらしいことは書いていないんだけど。
120 ：名無しさん＠お腹いっぱい。 ：01/11/14 18:42: つーか逆引きってどうよ?
121 ：名無しさん＠お腹いっぱい。 ：01/11/14 19:00: >>120

いらない。と個人的には思ってる。安直な考え？
122 ：釈、命 ：01/11/14 19:16: >>110
現状では、空白をいくつか入れてあります。また、「@」を入れる方法も試しましたが、ダメでした。test.domをいちいち書くのが面倒と言うことで$ORIGINを導入したかったのですが、うまくいかずこまったものです。
123 ：名無しさん＠お腹いっぱい。 ：01/11/14 21:44: >>120
いらないでしょー。
124 ：名無しさん＠お腹いっぱい。 ：01/11/14 22:35: うーむ。個人的には逆引き->正引きで元に戻らないIPアドレスにはお引き取り
願いたいなあ。
125 ：名無しさん＠お腹いっぱい。 ：01/11/14 22:39: >>124
なんで?
126 ：名無しさん＠お腹いっぱい。 ：01/11/14 22:52: >>125
なんとなく。あくまで気分なので「個人的には」ってことね。
逆にいらない理由も知りたいなあ。
127 ：123 ：01/11/14 22:57: >>126
必要性を感じないから、じゃだめ?

最近 BIND で walldns っぽい動きさせて遊んでる。
今のとこ問題なし。
>>124 みたいなのにも対応できる。

hoge.example.jp. IN A 192.168.12.34
34.12.168.192.in-addr.arpa. IN PTR 34.12.168.192.in-addr.arpa.
34.12.168.192.in-addr.arpa. IN A 34.12.168.192.in-addr.arpa.

本当は private address じゃないけど。
128 ：名無しさん＠お腹いっぱい。 ：01/11/15 04:52: 別に逆引き→正引きすることで特にセキュリティが
向上するわけでもないしねえ。
あ、DNS spoofing 防止効果が無いこともないか。

逆引きできないクライアントを本当に蹴る
ポリシでやってるとこを知ってるけどさ、
結局つなげなくなる場合を増やしているだけのような気がする。
連中に言わせると
「DNSの正引き逆引きが一致しないクライアントはマトモに
管理できてないところだ。そんなのは蹴ってよし。」
ということらしいが。
個人サイトならいいかもしれないけど、うちの大学のFTPサーバなんだよな…
129 ：名無しさん＠お腹いっぱい。 ：01/11/15 06:12: host名で認証してるなら必要だけど、そうなると更に正引きして詐称の
チェックが必要だしなぁ。

本来なら自分の身元を明らかにする意味でマナーとして必要だったけど、
今じゃDHCPなサーバがいくらでも転がってるし、せいぜいプロバイダが
わかりやすくなる程度の恩恵しかないのかも。
130 ：名無しさん＠お腹いっぱい。 ：01/11/15 07:03: >>129
プロバイダとドメイン名とは独立しているべきものだから、
whois を使えってことで終わっちゃわない?
131 ：123 ：01/11/15 07:41: 逆引きを詐称されて困るのは、そんなもので認証するからだよな。
ハナから逆引きを信用しなければ問題なし。

>>128
「逆引きできない→マトモに管理できてない」は正しいか?
ポリシーで逆引き書かない、って可能性を想像できないのかな、その連中は。
「マトモに管理できてない→蹴ってよし」もどうかと。
「IE 4.0 以上をご使用ください」に似たにおいを感じる。
132 ：99 ：01/11/15 09:54: >>118
> 使い勝手からCNAMEの利用が広まったのはBINDの責任でしょ。
もちろんそうだね。これについて BIND の責任は決して軽くはないと思う。
ていうか、reference 実装としての BIND の責任はもっと重いと思っている。
だからこそ、CIDR が出た時に ad hoc な解決法ではなく、
真っ当な解決法を提案すべきだったと思うんだけどね。
DJB がやってるのは
「BIND よりもちょっとだけましな ad hoc な解決法を思いついたよ。偉いでしょ」
っていってるのに過ぎない。ad hoc だという点では同レベルだ。

ちなみに俺は site 単位での権限の委任ができてないという点で、
DJB の解決法は気に喰わない。概念を軽視して実装に偏りすぎだと思う。
133 ：名無しさん＠お腹いっぱい。 ：01/11/15 10:03: >>131
逆引きして正引きして確認するのは別に問題ないよね。認証に使うんでなければ。

>>130
whois じゃ本質的に違わないような。アドレス割当の範囲を調べる?
なら、逆引きでも親をたどればすむと思うよ。
134 ：名無しさん＠Ｅｍａｃｓ ：01/11/15 10:28: BIND 逝ってよし!

---Dan
135 ：123 ：01/11/15 10:34: >>133
確認したいのなら確認しても別にいいんだけど、
なんで確認したいの?
136 ：133 ：01/11/15 10:48: >>135 単に確認したいから、だけど。藁
逆引きと正引きとが一致している時と一致しない時とで取り扱いを変えるってのは
あると思うんだけどね。一致しないから拒絶するっていうんじゃなくて。
例えば統計とりたい時とか。
で、一致してる時はそのまま受け入れて、一致しなかったら信用できないとして
捨てるなり、上位のアドレス範囲を持ってるところと同じとみなすとか。
ま、実際に俺がそんなことしてるわけじゃなくて、今適当にでっちあげた例だから、
そんなこと普通しねーよって思うかもしれないけどね。藁
137 ：名無しさん＠お腹いっぱい。 ：01/11/15 11:13: >>131
> ポリシーで逆引き書かない、って可能性を想像できないのかな、その連中は。
電話の発信者番号非通知と非通知拒否みたいなもんなんじゃないの?
逆引きを書かないのと逆引きできないホストを蹴るのと、どちらもポリシーとして
そんなに不自然じゃないと思う。

> 「マトモに管理できてない→蹴ってよし」もどうかと。
大学のFTPサービスだそうだから、好意でやってくれてるんだろうし、別にい
いんじゃないの?
企業で「蹴ってよし」をやってると顧客満足度が下がると思うけどね。

> 「IE 4.0 以上をご使用ください」に似たにおいを感じる。
俺は、「"IEuser@"をパスワードに使うIEではanonymous ftpサービスを利用で
きません」と似てると思う。
138 ：名無しさん＠お腹いっぱい。 ：01/11/15 11:38: >>133
要は、そんな程度の用途なら、whois あるから逆引き
なんていらないやんってことです。
139 ：133 ：01/11/15 11:57: >>138
それは「138 にとって」逆引きは必要ないっていってるだけですな。
俺的には逆引きあって whois ない方が困ることの方が少ないってことで。

逆引き撲滅キャンペーンじゃなければ別にどうでもいいです。
140 ：名無しさん＠お腹いっぱい。 ：01/11/15 12:12: >>132
ad hocというか、何も考えずに直球勝負というか。(w
設定方法がシンプルだったから出来た、現状ではベストな方法ではないかと。

ちなみにBIND使う時は
> 192/26.2.0.192.in-addr.arpa.
じゃなくて、
> 192-255.2.0.192.in-addr.arpa.
を委譲するようにしてる。ささやかな抵抗っつーことで。
141 ：133 ：01/11/15 12:18: >>138
書き忘れてた。俺が >>135 で書いたのは逆引きして正引きをする時の話であって、
逆引きについて書いたのではないということもわかってくれ。
こちらは whois では代わりにならない。
142 ：名無しさん＠お腹いっぱい。 ：01/11/15 12:59: >>140
IPv4での失敗を踏まえてのことなんだろが、
1.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.IP6.INT
はいかがなものか。
143 ：名無しさん＠お腹いっぱい。 ：01/11/15 14:49: >>142
それでは最小でも8個単位での委譲しか出来ない為、広大なアドレス空間が
無駄になってしまう。
やはりここは8進などとケチ臭いことを言わず、素直に2進数で表現すべきだっ！

...確実に255オクテットより長くなるが、それは言わないお約束。
144 ：8進じゃないと思うがまあいいか ：01/11/15 15:44: >>143
ﾜﾗﾀ

ところで v6 アドレスの逆引きって本来下位 64 bit は委譲することはないはずだから
分割しないって選択もありだったと思うんだよね。キレイじゃないからやだったんかな?
145 ：大ボケ143 ：01/11/15 16:32: >>144
IPv6なんて先の話と思ってたから、知識のなさが丸見え。
しかも8進と見事にボケかましてるしな。(w

つーか、調べてみたらCIDRが必要となったIPv4を教訓に各組織の割り当ては
/48に固定されてるみたいだし。まぁアレだ、>>143はネタだし見逃してくれ。
146 ：128 ：01/11/16 20:53: 昔は逆引きもちゃんと書くのが当然、という雰囲気はあったね。
RFC1912 ( >>45 ) も
「PTRレコードとAレコードが一致しないと、
全く DNS に登録されていない場合と同様に、
受けられないサービスが出てくるかもしれません」と言ってるし。

>>137
>>128 の FTP サーバは大学(国)の物だし、
管理者はちゃんと給料もらっているので、
業務で運用しているということになるでしょう
147 ：名無しさん＠お腹いっぱい。 ：01/11/16 21:08: >>146
管理者の業務は教員、職員、学生への研究用、事務用、学習用等のネットワー
クインフラの提供だと思うぞ。FTPサービスは業務の合間に片手間にやってる
ことなんじゃないの?
148 ：128 ：01/11/16 21:32: あ、この FTP サーバはいわゆるフリーソフト集積場じゃなくて
教官が課題をアップロードしたり、学生にダウンロードさせたりする
サーバなんです。今時FTPで配るなんて珍しいでしょ。

で、たまに「つなげないんですけどー」って問い合わせが来るわけ。
そのたびに「逆引き書けヴォケ」って追い返しているらしい。
149 ：名無しさん＠お腹いっぱい。 ：01/11/16 21:45: >>148
なるほど、そうなのか。ISP使ってると「逆引き書けヴォケ」って言われても
どうしょうもないことが多いよねえ。
150 ：名無しさん＠Ｅｍａｃｓ ：01/11/17 15:09: >>149
話はそれるが、逆引きの設定してない ISP って多いのか?
ダイアルアップでも ppp-xxx.xxx.hoge.ne.jp みたいに何らかは設定してある
ところがほとんどだと思っていたんだが。
151 ：名無しさん＠お腹いっぱい。 ：01/11/17 15:19: nimbdaに感染してるホストからのapache access.logを見る限りは(w
日本のISPでダイアルアップやADSLに逆引きを設定してないとこはないみたい。
152 ：名無しさん＠お腹いっぱい。 ：01/11/19 23:13: SecureなBINDのススメ
http://www.cymru.com/~robt/Docs/Articles/secure-bind-template.html

CHAOSんとこにauthors.bindなんてのもあるのねん。
153 ：名無しさん＠お腹いっぱい。 ：01/11/30 16:21: 直接ISPのDNSにアクセスするのは、内部への問い合わせがISPに漏れてしまいそうで
ちょっと不安なので、IPマスカレードの中に、DNSサーバを設置したいのですが、
どういう設定が良いのでしょうか？
154 ：153 ：01/11/30 16:33: あと、ついでにDHCPもやっちゃいたいなと思います。
OSはFreeBSD4.xでお願いします。
155 ：名無しさん＠お腹いっぱい。 ：01/11/30 17:26: >>153
FreeBSD 4.x でDNSもDHCPも運用しているけど、
153 が何をしたいのかはサッパリわからんな。
「内部への問い合わせ」ってなんのことだ?
変に省略したりしないでちゃんと書いてくれ。
156 ：153 ：01/11/30 22:40: ダイアルアップルーターを購入して、家庭内LANを構築したのですが、
マシンが増えてきて、管理するのが大変になってきました。
そこで、ルーターのDHCP機能を利用して、DHCPで管理しようとしたのですが、
winipcfgでDNSサーバの設定を見ると、プロバイダのDNSサーバに問い合わせる
様に設定されていました。
もし、Aというマシン名を持つマシンのIPアドレスを問い合わせ場合に、もし、
電源を落としているなどでAが存在しなかった場合、ISPのDNSにアクセスしに
行ってAのマシン名が外に漏れてしまうのではないかと思っています。
大丈夫なのでしょうか？
また、家庭内でLANを運用する際に、クライアントごとのホスト名を付けて
管理しようと思うのですが、その際の設定のしかたがよく解りません。
各クライアントごとに設定したのですが、ホスト名のDNS検索では引けません。
どうやったらいいのでしょうか？
157 ：名無しさん＠お腹いっぱい。 ：01/12/01 00:41: >>156
その A っていう machine は DNS に登録されようがないと思うがどうよ。
158 ：名無しさん＠お腹いっぱい。 ：01/12/01 12:15: >>156
DHCPやめて、自前でLAN内にDNS鯖立てて、FOWERDERかませ。
159 ：155 ：01/12/01 13:11: 1. LAN の中で DNS サーバと DHCP サーバを立てて管理する。
2. ダイアルアップルータ(NAT箱か?)のアドレスを
デフォルトゲートウェイのアドレスとして 1 で立てたサーバから配る。

ということでどうよ? 1 の話は一般的な LAN 管理の話と同じだから、
その辺の本とか雑誌とか web に腐るほど情報がある。腐ってる情報もあるが(ﾜﾗ
160 ：155 ：01/12/01 13:19: >>156
> 行ってAのマシン名が外に漏れてしまうのではないかと思っています。
DNS サーバが問い合わせの記録をとってたりすると漏れる可能性はある。
でも普通いちいちログをとったりはしないし、仮にとっていたとして
漏れたからといって気にすることはない。ゴミ情報だから。

まあ 153 は O'Reilly でも読んで DNS の仕組みを勉強するこった。
161 ：名無しさん＠お腹いっぱい。 ：01/12/02 12:13: 逆引きできないと、IRCできないYO!
162 ：名無しさん＠お腹いっぱい。 ：01/12/03 13:30: viewは便利なんだけど、outer/inner両viewを持つサーバAに対して、そのouter/inner両方のviewのセカンダリになるサーバBって、設定できるの?
163 ：名無しさん＠お腹いっぱい。 ：01/12/05 15:26: forwardersの指定をするとき何か特別な指定って必要でしたっけ？
164 ：163 ：01/12/05 16:37: ;
slave
forwarders "ip-add"

で解決でした。
165 ：名無しさん＠お腹いっぱい。 ：01/12/11 13:54: DDNSでIPv6が使える（AAAA、A6レコードが使える）DNSサーバって
あります？bind-9.2.0使ってますが、v4と同じやり方ではできませんでした。
ていうかnsupdateにAAAAレコード、A6レコード指定すると、使えないよとエラー出ます。
まだ対応してないんですかね？
同じような研究してる方いらっしゃいます？
166 ：名無しさん＠お腹いっぱい。 ：01/12/11 19:43: foo.domain.com
で、fooの部分を何にしても一定のIPアドレスにつなげるようにするにはどうしたらいいのでしょうか？

環境：linux+BIND-8.2.1
167 ：名無しさん＠お腹いっぱい。 ：01/12/11 20:14: >>166
* を使えば近いことができるが、
独特の動きをするのでちゃんと理解して使わないと痛い目にあう。

つーか、お客さん来ちゃうよ。
http://www.st.ryukoku.ac.jp/~kjm/security/memo/2001/01.html#20010130_bind
168 ：名無しさん＠お腹いっぱい。 ：01/12/11 21:58: >>167
ですな。8 系列ならまずは 8.2.5 に version を上げましょう。
169 ：名無しさん＠お腹いっぱい。 ：01/12/14 21:50: 8.2.3-RELなら安全ですか？
170 ：名無しさん＠お腹いっぱい。 ：01/12/14 22:29: >>169 なわけねーだろ！
171 ：名無しさん＠お腹いっぱい。 ：01/12/15 00:02: >>167
のとこにはダイジョブって書いてるけど、、
172 ：名無しさん＠お腹いっぱい。 ：01/12/15 00:07: >>171
そりは8.2.3が最新だった頃の情報でせう
173 ：名無しさん＠お腹いっぱい。 ：01/12/15 01:02: >>170
具体的にどんな穴があるの?
ISC のページだと 8.2.3 なら OK みたいだけど。
http://www.isc.org/products/BIND/bind-security.html
174 ：　：01/12/15 09:55: 常に、もう大丈夫と思わせておきながら、頻繁にアップデートパッチ
が必要なのの最右翼がSENDMAILとBINDだとおもう。
この二つを撲滅し、OSのSTRING関連の関数をBUFFER　OVERFLOW　FREE
にすれば、かなりの問題はつぶせることが何年もまえからわかって
いるのに。あるいはデータのセグメントとコードのセグメントを
OSで完全に分離してもかなりの問題が消えるのだが。
175 ：名無しさん＠お腹いっぱい。 ：01/12/15 10:23: ＞174
openbsd + djbdns + qmailってことかえ？
176 ：　>>１７４ ：01/12/21 10:37: OPEN　BSDだけではなくて、PC-UNIXあるいはUNIX全般においての
話のつもりなのだが。
すべてのOSのストリング関数をBUFFER　OVERFLOW　FREEとすべし。
検証プログラム（ベンチマーク？）を作って試験するとよい。
何かあった時のための、トロイの木馬を植え込むためにわざと
残してあるのではないかと思われたりもするよ。
＃
SENDMAILとBINDもそう。
＃
低位のポートはすべてNOBODY相当の所有物として、デーモンもNOBODY相当で
動作するようにもしたら、いまよりも、よくなりはしないか？
177 ：名無しさん＠お腹いっぱい。 ：01/12/21 10:52: > すべてのOSのストリング関数をBUFFER　OVERFLOW　FREEとすべし。
ANSI/ISO Cとの互換性を捨てないかぎり無理。

> 低位のポートはすべてNOBODY相当の所有物として、デーモンもNOBODY相当で
> 動作するようにもしたら、いまよりも、よくなりはしないか？
AデーモンがBデーモンの環境をいじれるってことになるよ。
デーモン(というかサービス)単位で専用アカウントを作って権限を分散化
させる方がいいのでは? (nobodyは本来NFS用のアカウント)
178 ：名無しさん＠お腹いっぱい。 ：01/12/21 16:26: これってどうなんでしょう?

http://www.trl.ibm.com/projects/security/ssp/
179 ：名無しさん＠お腹いっぱい。 ：01/12/21 17:19: 本家 gcc に取り込まれるのは難しいと聞いたような。
180 ：名無しさん＠お腹いっぱい。 ：02/01/07 14:45: 厨問ですが・・・
サーバ自体にはドメインを割り当てないで、全てヴァーチャルドメインとして運用する
ことは可能でしょうか？

質問がわかりにくいかもしれません。
質問自体がおかしい場合はご指摘ください。
181 ：名無しさん＠お腹いっぱい。 ：02/01/07 17:35: >>180
virtual domain とはどういうものだと考えているのでしょうか?
それを詳しくお聴かせ下さい。
182 ：181 ：02/01/07 20:14: >>181
1台のサーバ(もしくは1つのIPアドレス)に複数のドメインを割り当て、同時に
異なるサービスを提供すること。　by e-Words

私はまずサーバのIPアドレスへドメイン（基本？）を割り当て、その後複数の
ドメインをヴァーチャルドメインとして割り当てる。・・・と考えていました。
最初に割り当てるドメインと、その後に割り当てるドメイン（複数）に変わりは
無いということでしょうか？　＜なんか表現が変かな・・・

ってことは　named.conf　の設定なども区別して考える必要は無く、同じように
Zone定義をするだけでよろしいのでしょうか。　＜逆引きの設定は不必要？

まだ概念が良く解っていないので、変なカキコになっていると思いますが、ご教授
よろしくお願いいたします。
183 ：名無しさん＠お腹いっぱい。 ：02/01/07 21:32: 追記
ゾーン定義ファイルに記述するAレコードの各IPアドレス（gw,ns,ns2,domain,domain2）
は上位プロバから教えてもらって記述するのでしょうか？
184 ：名無しさん＠お腹いっぱい。 ：02/01/08 06:03: named age
185 ：名無しさん＠お腹いっぱい。 ：02/01/08 06:13: >>180
何も知らん奴が bind 使うのは危なすぎる
厨房だったら djbdns 使えや
あれは乳悶にもってこいだ
186 ：ZXR ：02/01/08 06:15: 乳揉?
187 ：名無しさん＠お腹いっぱい。 ：02/01/08 06:43: >>186
ﾆｭｰﾓﾝ

掲示板に戻る全部前100 次100 最新50

read.cgi ver5.26+ (01/10/21-)