Re: [分享] V6 提供域名查詢的技巧
※ 引述《ggg12345 (ggg)》之銘言:
: 若 MOE 都設 MOEMOON 為 DNS server 看 MOECC主任 會不會挨罵?!
問題是會這麼做的使用者有幾位?
每個 DNS server 都有自己的任務,別逕自解釋掛在 edu.tw 底下的 DNS 都要給代查。
網管自會將提供給使用者查詢的 DNS 設定在 DHCP。
況且,moemoon 沒幫人家做 secondary 也不是大問題啊,
若這台真的是給本部使用者查的機器,那從本部網路過來問的就會幫忙 recursive,
是 TWNIC 管的又如何?MOE 內部要真想查到 TWNIC 去,那也是兩個單位自己的事。
我就問,真的有人挨罵嗎?有嗎?
別隨便找台本來就不是服務一般使用者的 DNS 在那邊砲,這根本是假議題。
: 現在台灣的 DNS server 因隔離艙的自私自利, 都設定限本地 IP-address 查詢本地
: 的網址, 若 DNS 不回答外部的域名查詢, 就需連到外部域名的原管轄 name server
: 查詢, 若原管轄server 只回答當地的 user 詢問, 要如何個問出答案?
您曾經、或者現在擁有過自己的網域名稱嗎?您有架設過 name server 嗎?
「原管轄server 只回答當地的 user 詢問」,通常僅指 recursive query.
無論提問者的來源為何,只要問題對於該 DNS server 是 authoratative,
它就一定會回覆。
任何網域名稱擁有人都希望自己的域名能在世界各地都能查得到吧?
那自然在回覆 authoratative answer 時不會限定提問的對象,除非僅限內部使用。
那一切的問題就很簡單了嘛。
Again, 如果你沒有可以代查的 DNS,那就自己做 recursive query 啊!
這原理也跟幫忙代查的 DNS 一樣,事實上做法根本就是一樣。
您真的自己試過不可行嗎?別什麼都沒做過就問「要如何個問出答案?」
: un-ahthorized answer 就是代理回覆, 回的就是非管轄區外的域名與網址對應.
: 代理回覆安全性來自於由 網址自 root 反查串的整串信任核驗, 這假設是基於認
: 知的 root server 是可靠可信任的.
這又是另一個層面的議題,您提到找兩台 DNS 來驗證只是其中之一,
若這樣的做法獲得了普遍支持,那麼各單位 DNS 自然會開放,
不開放就表示管理單位都有自己的考量嘛,您個人的特殊需求說再多也無濟於事。
況且這問題還有其他解法如 DNSSEC 等等,不過扯到這邊就離題了,就此打住。
: 是要 user 如何個查法, 才能查得到校外網站?
Again, 我倒是想問問,是哪個網路的使用者沒自己的 DNS 好查了?
你為什麼就不要求自己的 ISP 架一台?反而找其他單位苦苦相逼?
: root 的架構與軟體設計, 先天上就是能設定任何 A 記錄逕自回答,
: 所以知情的都只要 root server 回答 ns server 就好, 不要回 A
: 記錄.
> www.ncu.edu.tw
Server: external.isc.org
Address: 149.20.64.42
DNS request timed out.
timeout was 2 seconds.
DNS request timed out.
timeout was 2 seconds.
DNS request timed out.
timeout was 2 seconds.
DNS request timed out.
timeout was 2 seconds.
*** Request to external.isc.org timed-out
任何 A 記錄都能逕自回答嗎?可見它「不行」。
Root server 也有自己的 zone files,也包含所有 Top-level name servers 的位址,
所以它能夠回答「某些」A record,但不代表全部。
所謂「知情」的 DNS server 就只是擁有部分 hints 以便無需再問 root server,
因為像 root servers 或 Top-level 的位址不會經常變動。就這樣而已。
: 你看不出, 不代表沒關連, 是吧 !
我還在想是哪門子的特異功能,根本子虛烏有。所以我看不出來啊!哪裡有關連了?
: : 我還是看不出來有何理由要求這世上的 DNS servers 都給代查。
: : 何況是誰在逼迫 client 去連非法獨立的 DNS server?
: 要求世界上的 dns server "都" 給代查?
: 對 root dns server 就沒必要, 也不該做! 可沒人要 root 代查 !
我只是打個比方,滿足您的訴求罷了,既然要無限上綱那就來吧,一視同仁嘛!:P
: 如果只限本地 client 只能查詢本地域名, 那不就是孤島一個 ?
誰跟您說只能查詢本地域名?現況真的有如此嗎?別把自己野放到孤島上!
: resolver 是DNS 的 client端, 每台上網(internet)機器都有, 不用自己架啦!
您自己前面都說 browser 都不會 iterative 了,
所以我才說如果沒有就自己架一台來幫忙 recursive query 嘛!
: 如禁止外地 client 查詢 DNS server, 那還能上網去那裡問得到喔 ?
: 是該移動到那裡, 再租條當地的 ISP 線路嗎?
這是問題嗎?您是真的窮到沒有 DNS 能用了嗎?
您在哪邊上網,難道就不能透過當地 DHCP 取得 IP 位址與當地 DNS server 位址了嗎?
您非得要用別人家的 DNS server 才甘心嗎!?
: 還是有 ISP 的 V6 dns 是正確, 肯開放代查的, 這不用只關心自利者
: 煩惱. 只是沒有多部 DNS 開放查詢就無從查驗記錄是否正確, 是否
: 國外也查得到.
前面說過了,由於現行實作上也不會 double check,因此這是「您個人的特殊需求」,
拿這理由要求他人開放自然是弱了點,您不如自己想辦法。
: 有這種網管的學校, 使用者一定是哭笑不得 !
> www.hinet.net
Server: rs540.ncu.edu.tw
Address: 140.115.19.42
*** rs540.ncu.edu.tw can't find www.hinet.net: Query refused
罵人之前先擦擦自己的屁股,「有這種網管的 NCU,使用者一定是哭笑不得!」
想必您也不希望被人家這樣說吧?在要求其他人之前最好先要求自己!
對不起,言語上如有冒犯,請前輩原諒。但我認為不對的事情就要說清楚,
畢竟我也是尋常的 DNS server 管理者,不能對這番羞辱視而不見。
--
※ 發信站: 批踢踢實業坊(ptt.cc)
◆ From: 114.46.110.84
※ 編輯: alextwl 來自: 114.46.110.84 (07/13 13:58)
討論串 (同標題文章)
以下文章回應了本文:
完整討論串 (本文為第 7 之 10 篇):