Перейти до

Обратная зона DNS


Рекомендованные сообщения

На 76.2 все еще старая зона у вас, со старым серийным номером. Не синхронизируется, читайте логи сервера (они по-моему в syslog)

Ссылка на сообщение
Поделиться на других сайтах

TTL в 60 секунд приведет к увеличению бесполезной нагрузки на ваш сервер

Это было в дремучие времена так, оно так по дефолту и осталось. А сейчас такие огромные ттл считаются неадекватными, только время людей тратят на борьбу с кэшами.
Ссылка на сообщение
Поделиться на других сайтах
Опубліковано: (відредаговано)

На 76.2 все еще старая зона у вас, со старым серийным номером. Не синхронизируется, читайте логи сервера (они по-моему в syslog)

да, я видел. уже все нормально.... TTL пока увеличил. 

 

Я так думаю что скорее всего от райпа приходил ответ что не прописаны неймсервера в зоне 76.46.95.in-addr.arpa и поэтому изменения не вносятся изменения в базу. Других причин не вижу. Подал заявку на внесение изменений. Жду ответ ;)

 

 

PS спасибо что носом ткнули в ошибку ;)

Відредаговано lemosh
Ссылка на сообщение
Поделиться на других сайтах

 

Слейвы перечисляем в allow-transfer.

это понятно

на сервере в котором тип зоны указан слейв также нужно указать  allow-query { any;}; в параметрах зоны?

 

Да, все верно.

Слейв тоже должен отвечать на запросы, когда к нему обращаются по записи этой зоны.

Ссылка на сообщение
Поделиться на других сайтах

Не владея полностью всей информацией, сложно дать точный ответ для решения проблемы.

Но... Если сети арендованые, и звучало

К сожалению, согласно внутренней политике нашей организации мы не передаем управление DNS. 
В том числе, для того, чтобы избежать злоупотребления со стороны клиента из-за отсутсвия опыта или какой-либо другой причины.

Для того, чтобы делегировать управление обратными зонами на ваш ДНС мне необходимо, чтобы вы прислали минимум 2 ДНС сервера в 
формате FQDN, настроенных на прием обратных зон. Оба DNS сервера должны отвечать на запросы из-вне по TCP.

Может стоит связаться с арендодателем и отправить ему данные серверов? Если у Вас все еще остается какая-то ошибка, думаю они Вам подскажут, как ее исправить.

Ссылка на сообщение
Поделиться на других сайтах
А сейчас такие огромные ттл считаются неадекватными, только время людей тратят на борьбу с кэшами.

 

Кем считаются неадекватными и в чем преимущества низких TTL, кроме быстроты обновления кешей?

Одно дело, когда низкий TTL используется для failover, а другое - когда он ставится просто так. Это же обратная зона DNS, она с большой вероятностью не будет часто меняться.

Низкий TTL кроме нагрузки повышает шансы на отравление кешей. Некоторые считают низкий TTL одной из новых угроз стабильности Сети, а низкий TTL для MX-записей может привести к печальным последствиям.

Відредаговано ig0r
Ссылка на сообщение
Поделиться на других сайтах

Всеми считается, кто днс инфраструктурой занимается :)

 

А статейки плохие, это разве нормально, что для кого-то отравление днс кэша проблема безопасности, а "ттл в неделю мог бы спасти от угона ника"? Это ж ламерство какое-то. Днс же вообще в клиртексте, ну о какой безопасности может идти речь. И угроза стабильности там тоже не в ттл, я читал и даже обсуждал это на hn еще когда дин ддосили. Там проблема в централизации и ламерстве, люди не поднимают свои днс серверы, как было изначально задумано в распределенной системе днс, а юзают дин или клаудфлейр и если они ложатся, то тянут за собой все сайты клиентов. Никакой ттл от такого в принципе не может спасти.

Ссылка на сообщение
Поделиться на других сайтах

Теперь все получилось ;)

Modify SUCCEEDED: [domain] 76.46.95.in-addr.arpa

Спасибо ttttt что ткнул носом в ошибку ;). Проблема была действительно в том что в обратной зоне были прописаны неправильные NS

 

 

 

 

А теперь немного не по теме вопрос. Насколько я понимаю неймсервер отдает IP в ответ на запрос по имени домена. Например для своего домена (nasha.net.ua) хочу прописать только свои неймсервера (nss1.nasha.net.ua и nss2.nasha.net.ua). Насколько это вообще правильно? Ведь для того чтобы получить IP-адрес неймсервера например nss1.nasha.net.ua нужно обратиться к неймсерверу этого же домена, т.е. по логике замкнутый круг получается... Может все-таки так нельзя делать?

Ссылка на сообщение
Поделиться на других сайтах

Замкнутый круг никуда не денется :) Если нсы на другом домене, то другой домен тоже на каких-то нсах хостится, а его нсы тогда где? На нсах от третьего домена? А третий тогда на каких? Где-то в цепочке нсы верхнего уровня должны отдать IP адреса нсов нижнего уровня, никуда от этого не деться. Называются записи с этими IP адресами - glue records.

Ссылка на сообщение
Поделиться на других сайтах

Всеми считается, кто днс инфраструктурой занимается :)

 

А статейки плохие, это разве нормально, что для кого-то отравление днс кэша проблема безопасности, а "ттл в неделю мог бы спасти от угона ника"? Это ж ламерство какое-то. Днс же вообще в клиртексте, ну о какой безопасности может идти речь. И угроза стабильности там тоже не в ттл, я читал и даже обсуждал это на hn еще когда дин ддосили. Там проблема в централизации и ламерстве, люди не поднимают свои днс серверы, как было изначально задумано в распределенной системе днс, а юзают дин или клаудфлейр и если они ложатся, то тянут за собой все сайты клиентов. Никакой ттл от такого в принципе не может спасти.

Как знать. 60 секунд по моему не адекватное значение. 600 вполне нормально для часто обновляемых зон.

 

Посмотрите на корневые серверы )

        primary name server = a.root-servers.net
        responsible mail addr = nstld.verisign-grs.com
        serial  = 2017110101
        refresh = 1800 (30 mins)
        retry   = 900 (15 mins)
        expire  = 604800 (7 days)
        default TTL = 86400 (1 day)

Ну или ua.

        primary name server = he1.ns.ua
        responsible mail addr = domain-master.cctld.ua
        serial  = 2017110212
        refresh = 7205 (2 hours 5 secs)
        retry   = 3602 (1 hour 2 secs)
        expire  = 3024000 (35 days)
        default TTL = 11111 (3 hours 5 mins 11 secs)
Відредаговано foreverok
Ссылка на сообщение
Поделиться на других сайтах

Только тут ни у кого не корневые серверы, а рядовые домены и 600 это в принципе современный максимум для рядовых доменов. Есть причины ставить 600, но начинать стоит с минимального, если не знаете зачем 600.

Ссылка на сообщение
Поделиться на других сайтах

Создайте аккаунт или войдите в него для комментирования

Вы должны быть пользователем, чтобы оставить комментарий

Создать аккаунт

Зарегистрируйтесь для получения аккаунта. Это просто!

Зарегистрировать аккаунт

Вхід

Уже зарегистрированы? Войдите здесь.

Войти сейчас
  • Зараз на сторінці   0 користувачів

    Немає користувачів, що переглядають цю сторінку.

  • Схожий контент

    • Від forella
      Вопрос чисто для саморазвития.
      есть схема некоего домена (прикреплена), например en.microsoft.com
      не смог найти вот такую информацию, почему так исторически сложилось, что домен мы записываем как en.microsoft.com, а, например, поиск днс записи мы производим наоборот .(root servers)-->com-->microsoft-->en
      Как я понимаю, сначала появились корневые сервера и домены 1-2 уровня, затем уже все остальное, почему было не оставить написание доменов так как они резолвятся например com.microsoft.en
      Почему такой вопрос возник вдруг? Например вы попытаетесь незнающему человеку объяснить как работает днс, как мы ищем записи о домене, а в итоге прийдете к выводу что домен будете писать (например в браузере) в обратном порядке.

    • Від zabiyako
      Легально ли использовать 8.8.8.8 сегодня?
      Subj
    • Від a_n_h
      Какие публичные DNS лучше использовать при настройке своего кеширующего сервера?
    • Від DenimMark
      Доброго дня.
       
      DNS сервера старенькі працюють на FreeBSD старенькій. Потрібно обновити. Тип ОС не грає ролі. Може хтось робив і може порадити ОС, версію та сам сервер, що ставився без проблем і працював без проблем.
       
      Дякую.
       
    • Від Daniil_
      Ищу партнера, который сможет предложить ddos защиту для dns only
      трафика мало, на днс порядка 10к доменов
       
      что нужно
      - пересылать только dns пакеты (53 порт)
      - чтобы при атаке по icmp dns пакеты продолжали пересылаться
      - при флуде на dns порт фильтровать запросы
       
      пробовали работать с компаниями, которые специализируются на защите web трафика, получили много проблем с тем, что dns запросы не все отрабатывали
       
×
×
  • Створити нове...