我正在尝试迁移一个加载了数千个区域的 dns 服务器。named.conf 文件有大约 17 个不同的包含,其中一些文件也包含在其中,还有很多注释掉等等。真是一团糟!
我想获得当前加载到 BIND 的所有区域的列表。我查看了 rndc dumpdb 但它不只显示区域。
有没有更简单的方法来获取 BIND 中的权威区域列表,而不是遵循凌乱的包含文件?谢谢!
我正在做一些域名的工作。我正在更新它们。通过使用dig我可以查询我们的名称服务器,我可以看到正确的名称已更新。但是我们的办公室 dns 缓存仍然显示旧名称。昨天我将 TTL 设置为 10 分钟,所以我不必等待很长时间。但是有没有什么办法可以欺骗office的dns缓存来更新呢?我可以做任何偷偷摸摸的小技巧让事情变得更容易吗?
更新让我们假设我无权访问服务器,并且无法重新启动它?还有什么我可以做的吗?
我有一个可公开访问的名称服务器,因为它是几个域的权威名称服务器。
目前,服务器充斥着ANY对 isc.org、ripe.net 和类似(这是一种已知的分布式 DoS 攻击)的伪造类型请求。
服务器运行 BIND 并allow-recursion设置为我的 LAN,以便拒绝这些请求。在这种情况下,服务器仅使用引用根服务器的authority和additional部分进行响应。
我可以配置 BIND 使其完全忽略这些请求,而根本不发送响应吗?
我有一个绑定 DNS 服务器,我想捕获对没有特定记录的子域的所有请求并将它们指向特定 IP。
这就像 *.domain.tld > 1.1.1.1 和 www.domain.tld > 2.2.2.2
我在 /etc/named.conf 中有这个,我评论了默认值并在它下面设置了我自己的值。除非我将允许查询设置为“任何”,否则我的域不会在浏览器中加载,这样可以吗,我应该编辑什么?如果是localhost或127.0.0.1; 10.0.1.0/24;域将不会加载。我尝试了 127 .. 的事情,因为它在这里提到了它:http : //wiki.mandriva.com/en/Testing : Bind
绑定版本为 9.7.0-P2-RedHat-9.7.0-5.P2.el6_0.1 操作系统为 CentOS 6.0。
options {
// listen-on port 53 { 127.0.0.1; };
listen-on port 53 { any; };
//listen-on-v6 port 53 { ::1; };
listen-on-v6 port 53 { any; };
directory "/var/named";
dump-file "/var/named/data/cache_dump.db";
statistics-file "/var/named/data/named_stats.txt";
memstatistics-file "/var/named/data/named_mem_stats.txt";
//allow-query { localhost; };
allow-query { any; };
recursion yes;
dnssec-enable yes;
dnssec-validation yes;
dnssec-lookaside auto;
/* Path to ISC DLV key */
bindkeys-file …似乎没有办法告诉bind它*-foo.example.com应该解决例如。10.1.2.3,而*-bar.example.com解析为10.2.3.4。有什么解决方法吗?可以一些名字,例如。用外部程序解决?或者我应该bind改为例如。电力DNS ?
我试图避免购买另一个 SSL 通配符证书。(对于通配符证书,例如*.example.com,不可能在*部件中。)
在区域文件中指定 all*-foo或*-barnames 不是一个选项,因为我需要能够动态创建这两种类型的地址。
我猜必须有一种合理的方法来解决我的问题,但我正试图就最佳实践获得一些建议。
我最近搬到了一家网页设计公司,我们需要能够欺骗我们正在处理的网站的 DNS 条目。然而,我们只想覆盖某些 A 记录,但保留其他记录,以便站点似乎可以正常工作。
即:我们想让“support.abcd.com”在本地解析,但其他所有内容都转到真实站点。这将使我们能够设计/演示一个功能齐全的站点,仅在本地进行工作。
我们有一个内部 BIND DNS 服务器 (9.9.5.dfsg-3)。
根据上面的示例,我的区域文件应该如何查找“abcd.com”?
编辑:这行得通吗?
IN ns1
abcd.com. IN NS ns1
support.abcd.com. IN A 192.168.1.1
faq.abcd.com. IN A 192.168.1.1
*.abcd.com. IN NS abcd.com <- External?
我试图了解绑定是如何工作的,但一直无法找到有关递归查询和“转发”之间区别的明确信息。
我读过全局允许递归查询是不好的,因为它允许 ddos 攻击。但是转发不也是一样吗?或者转发是递归查询的先决条件?
每个教程似乎对此都有不同的看法。对于我的 ISC BIND 区域,我应该使用/etc/bind/zones/还是/var/cache/bind/?在上次安装中,我使用/var/cache/bind/但只是因为我被引导这样做;但是,我刚刚在该新 Debian 安装中发现了一个 pid 文件,因此我认为使用“工作目录”来存储区域文件可能不是最好的主意。似乎许多管理员都使用它,因此他们在声明新区域时不必键入完整路径。
例如:
file "/etc/bind/zones/db.foobar.com";
代替:
file "db.foobar.com";
显然更容易打字,但这是好还是坏的做法?
有些人可能还建议将工作目录设置为/etc/bind/zones:
options {
// directory "/var/cache/bind";
directory "/etc/bind/zones";
}
...但有些东西告诉我这不是一个好习惯,因为我认为 pid 文件将在那里创建(除非它只是/var/cache/bind巧合)。
我查看了联机帮助页,但似乎没有说明目录选项的用途,任何想法到底是为什么设计的?
我有一些由我的前任设置的组织的 DNS 服务器。他没有使用标准格式的序列号,而是使用了从 2033 开始的奇数格式。我想做的是用我自己的 DNS 服务器替换他的 DNS 服务器,但我担心通过使用将序列号更改为“正确”格式YYYYMMDDXX,因为它将是一个较低的数字。
这些是我们的公共 DNS 服务器,我只是想确保这样做不会有问题。有没有人有过这种过渡的经验?