Re: [分享] V6 提供域名查詢的技巧
※ 引述《alextwl (小鏡~)》之銘言:
: ※ 引述《ggg12345 (ggg)》之銘言:
: : 假如教育部官員設定這台 DNS 當 server, 使用 browser 想看國立大學網站,
: 在本部裡能查到就沒問題,外出的使用者要自己想辦法。
: 而且我不認為常人會在移動裝置把 DNS 設定寫死,通常當地 ISP 也會提供 DNS。
: : MOECC 主任不挨罵也難 !
: 我來問問看趙主任有沒有挨罵過。 :P
MOEMOON 是 TWNIC 的機器.
MOEVAX 則是老制的 DNS server, 上下層間有備援, 兼各大學 DNS 的
secondary server, 以現在這種隔離艙(自私自利)的做法下, 因為此
項傳統仍在, MOE 才能透過 MOEVAX 找得到各大學的網頁.
若 MOE 都設 MOEMOON 為 DNS server 看 MOECC主任 會不會挨罵?!
: : 這台機器是由一個很有經費且靠這個在吃飯的單位所經營的, 這種
: : 管理心態是跟這個單位很不匹配的.
: 對象不予置評。但如果由我來管理,我會認為 recursive 不是必要的服務,
: 而且世界各地的網路幾乎都有自己的 DNS,當地使用者去問當地 resolver 即可,
: 我不會為了極少數人的特殊需求砸錢,因為還有許多比這更值得投注經費的事物。
現在台灣的 DNS server 因隔離艙的自私自利, 都設定限本地 IP-address 查詢本地
的網址, 若 DNS 不回答外部的域名查詢, 就需連到外部域名的原管轄 name server
查詢, 若原管轄server 只回答當地的 user 詢問, 要如何個問出答案?
un-ahthorized answer 就是代理回覆, 回的就是非管轄區外的域名與網址對應.
代理回覆安全性來自於由 網址自 root 反查串的整串信任核驗, 這假設是基於認
知的 root server 是可靠可信任的.
recusive 回覆的需要是因為 IE browser 只就 URL 域名向 resolver 查詢,
resolver 不會自動 iterative 查詢. 老 TANET 時代建制的 V4 dns server
都是支援代理查詢, 某些學校自私自利的設定不協助外校 resolver 及外域
名查詢, 眾所周知這是配合 hinet dns 的開放而來.
如果不回答校外 resolver 查詢, 也不協助查詢校外域名. 大家都這樣做, 那
是要 user 如何個查法, 才能查得到校外網站?
: : 那麼 cisco 有義務做這種事嗎 ?
: 你大可舉出一堆例子,這世上永遠會有人跳出來做慈善事業。
: 你會問 Cisco 可以、為什麼 MOECC 不行,我相信以我們國力一定可以,
: 但承上段所述,我認為這理由仍不夠充分到會想投入心力。
: : 1.全世界的 DNS 都會向 ROOT server 從上到下查詢, 下游三級以上的 DNS
: : server 會有這樣的負擔嗎? 兩者的負擔能相比擬?
: root servers 的規模及其嚴謹的營運能力也非尋常單位所能比擬的。
: 而且超過半數的 roots 在世界各地都有 anycast servers,
: 這等架構是不能與一般 DNS servers 相提並論的。
替遠地 DNS server mirror 也兼代理回答, 就是 anycast 的芻型.
早期的 TANET 也是這樣做, 只是現在的 anycast 是透過 router
做全自動全透通的代理回答. 沒有甚麼不能相提並論的, 只是 root
server 老美不隨便讓別地方自動 mirror 罷了!
: : 2.如果 root dns server 代替做 recursive 查詢, 那全世界可能有很多知
: : 情的 NIC 都會反對. root server 有特異功能, 能逕自對某個域名直接回
: : 答 A 記錄. 一般的 DNS server 是辦不到的.
: 有特異功能又怎樣?我看不出這跟 recursive 有何關連。別扯遠了。
你看不出, 不代表沒關連, 是吧 !
root 的架構與軟體設計, 先天上就是能設定任何 A 記錄逕自回答,
所以知情的都只要 root server 回答 ns server 就好, 不要回 A
記錄.
: 我還是看不出來有何理由要求這世上的 DNS servers 都給代查。
: 何況是誰在逼迫 client 去連非法獨立的 DNS server?
要求世界上的 dns server "都" 給代查?
對 root dns server 就沒必要, 也不該做! 可沒人要 root 代查 !
=================
DNS server 與 DNS server 上下間是個 trust and authorized relation,
彼此有某種程度能驗明身份, 她是 server 也是 client 還認知彼此身份.
若是正規的 DNS server 她代理查來的都會是可信任, 是對的.
1 若 DNS 彼此間不詢問代查, client 端就要能向管轄該域名之外地 DNS 能夠
查詢.
但只有 resolver 的 client 則無法像 DNS server 能彼此認知合法 DNS .
2 若 Client 端被外地 DNS 禁止不能向外地 DNS 查詢, 那麼本地的 DNS server
就要協助代理向外地 DNS 查詢.
1 與 2 是不可以同時發生的, 現在 V4 可以, 是有不限查詢者與被查詢對象
的 DNS server 存在.
如果只限本地 client 只能查詢本地域名, 那不就是孤島一個 ?
: ISP 提供網路服務通常也會建置 DNS resolver,使用者應該去問自家的 resolver。
: 看你扯了那麼多,想必擁有相當的技術力吧?
: 如果沒有可以問的 resolver,除了要求 ISP,也可以自己架一個啊!
: 一步一步問,總會問到 authoratative server 吧?
resolver 是DNS 的 client端, 每台上網(internet)機器都有, 不用自
己架啦!
如禁止外地 client 查詢 DNS server, 那還能上網去那裡問得到喔 ?
是該移動到那裡, 再租條當地的 ISP 線路嗎?
還是有 ISP 的 V6 dns 是正確, 肯開放代查的, 這不用只關心自利者
煩惱. 只是沒有多部 DNS 開放查詢就無從查驗記錄是否正確, 是否
國外也查得到.
: : 要推 IPV6 是很難不用名稱查詢後, 直接來往的. V6 DNS server 在初創期
: : 都不肯替其他單位代理查詢, 這個手動找原 DNS server 查詢, 如果再碰到
: : 個不替外單位來源 ip-address 提供查詢使用的管理者, 那這種用法會有可
: : 能, 會好用嗎 ?
: 若就初期推廣的理由來看可以討論,不過我認為各地 ISP 有義務提供 IPv6 resolver,
: 你就別指望他人提供免費的 resolver、不如去要求自己的 ISP 吧!
有這種網管的學校, 使用者一定是哭笑不得 !
※ 編輯: ggg12345 來自: 140.115.4.12 (07/11 15:40)
討論串 (同標題文章)
本文引述了以下文章的的內容:
完整討論串 (本文為第 6 之 10 篇):