» Всё о DNS

Подскажите, как работает DNS от Yandex и SkyDNS?
Меня интересует, как у них работает черный список? У того же SkyDNS при открытии сайта из черного списка выползает их заглушка.
Я так понимаю, что стоит DNS сервер, рядом прокся с готовыми списками или как?

k3NGuru Конкретно - х.з., но принцип такой. Пришел ДНС запрос, и перед тем
как найти и дать ответ нормальным образом (через корневые сервера), сервис лезет
в свою базу, и если такое имя там есть, то выдает в качестве ответа какой-то свой айпишник.
А на нем крутится веб-сервер со страничкой типа "Ты туда не ходи, там плохому учат".

k3NGuru
У них скорее всего что-то своё реализовано или допилино, но суть в том, что отдаётся просто их ip вместо ip сайта. Для наглядности можете почитать и пощупать RPZ в ISC BIND.

Почему в конфигурационный файл Deadwood'а нужно вписывать upstream_servers (8.8.8.8), а в конфигурационный файл Unbound'а -- не нужно? Какие серверы использует Unbound?

Ilya_SpongeBob http://maradns.samiam.org/faq.html#upstream_d
Цитата:

26. Q. I am having problems setting upstream_servers

A. upstream_servers is only supported by Deadwood, and is no longer supported in MaraDNS 2.0.

При чем здесь MaraDNS? MaraDNS и NSD -- это серверы. Deadwood и Unbound -- ресолверы. Sam Trenholme и NLnet Labs -- соответственно разработчики.

У меня вопросы по ресолверам.

Добавлено:
Т.е. я, когда использую Unbound, как обычно вписываю в настойках протокола TCP/IP адаптера DNS 127.0.0.1. Реальный DNS нигде не прописан. Сайты браузер открывает как ни в чем не бывало. Откуда Unbound знает на какой IP отправлять DNS -запрос?

Ilya_SpongeBob
Цитата:

При чем здесь MaraDNS? MaraDNS и NSD -- это серверы. Deadwood и Unbound -- ресолверы

Цитата:

Deadwood is MaraDNS software's client-side recursive DNS-server or DNS-resolver portion.

И еще. Unbound использует C:\Program Files\Unbound\named.cache,
то бишь он обращается к корневым серверам, как "взрослый" ДНС сервер.
А Deadwood использует запросы к публичным ДНС серверам, т.е. он кэширующий.
Почему они сделали так, а не иначе, х.з., это вопрос к разработчикам.

Цитата:

Unbound использует C:\Program Files\Unbound\named.cache,

У меня в папке (портативная версия http://www.unbound.net/downloads/unbound-1.5.3.zip ) ничего подобного нет.

А вообще кто-то знаком с Unbound? У меня с таким файлом конфига (service.conf)
Код: # Unbound configuration file on windows.

server:

    verbosity: 0
    tcp-upstream: yes

Ilya_SpongeBob

Цитата:

У меня в папке ничего подобного нет.

Бывает. В этом случае нужно файл скачать с ftp://ftp.rs.internic.net
или получить с помощью dig. И положить туда.

Так Unbound работает и без этого. Что этот файл меняет?

Бесклассовое делегирование у ISP для почтового сервера (mask bit 30) IPS считает, что инцидента нет.
Я наблюдаю следующую картину.
Как продиагностировать и выявить причину если таковая есть.

C:\Temp\BIND9.10.1-P2.x64\dig.exe @ns.tolcom.ru -x 88.200.155.182

; <<>> DiG 9.10.1-P2 <<>> @ns.tolcom.ru -x 88.200.155.182
; (1 server found)
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 20133
;; flags: qr aa rd ra; QUERY: 1, ANSWER: 2, AUTHORITY: 2, ADDITIONAL: 4

;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 4096
;; QUESTION SECTION:
;182.155.200.88.in-addr.arpa. IN PTR

;; ANSWER SECTION:
182.155.200.88.in-addr.arpa. 3600 IN CNAME 182.180-30.155.200.88.in-addr.arpa.
182.180-30.155.200.88.in-addr.arpa. 7200 IN PTR exch02.ecotred.ru.

;; AUTHORITY SECTION:
180-30.155.200.88.in-addr.arpa. 0 IN NS ns2.ecotred.ru.
180-30.155.200.88.in-addr.arpa. 0 IN NS ns1.ecotred.ru.

;; ADDITIONAL SECTION:
ns1.ECOTRED.ru. 269556 IN A 213.178.38.199
ns2.ECOTRED.ru. 269556 IN A 81.23.186.143
ns2.ECOTRED.ru. 269556 IN A 81.23.186.142

;; Query time: 15 msec
;; SERVER: 62.213.7.190#53(62.213.7.190)
;; WHEN: Tue Mar 24 10:24:15 A?aaneia a?aiy (ceia) 2015
;; MSG SIZE rcvd: 212

----------------------------------------------------------------

C:\Temp\BIND9.10.1-P2.x64\dig.exe @ns1.samtel.ru -x 88.200.155.182

; <<>> DiG 9.10.1-P2 <<>> @ns1.samtel.ru -x 88.200.155.182
; (1 server found)
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 45445
;; flags: qr aa rd; QUERY: 1, ANSWER: 1, AUTHORITY: 2, ADDITIONAL: 1
;; WARNING: recursion requested but not available

;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 4096
;; QUESTION SECTION:

;182.155.200.88.in-addr.arpa. IN PTR

;; ANSWER SECTION:
182.155.200.88.IN-ADDR.ARPA. 3600 IN CNAME 182.180-30.155.200.88.in-addr.arpa.

Здесь не возвращает поинтер

;; AUTHORITY SECTION:
180-30.155.200.88.IN-ADDR.ARPA. 3600 IN NS ns1.ecotred.ru.
180-30.155.200.88.IN-ADDR.ARPA. 3600 IN NS ns2.ecotred.ru.


Возможно запрещены,
allow-query { localhost; };
allow-recursion { localhost; };
recursion yes
Я только приступил к изучению BIND, а ответ как всегда не требует отлагательств.

Tulegen Непонятно, чего ты вообще добиваешься, внешне все нормально.
Код: C:\>nslookup exch02.ecotred.ru
Server: ns.s.ru
Address: 10.1.1.1

Неофициальный ответ:
Name: exch02.ecotred.ru
Address: 88.200.155.182


C:\Users\vlad.SOFT-TRONIK>nslookup 88.200.155.182
Server: ns.s.ru
Address: 10.1.1.1

Name: exch02.ecotred.ru
Address: 88.200.155.182
Aliases: 182.155.200.88.in-addr.arpa

Были неоднократно отмечены перебои с серверами имен, так вот если tolkom перестанет отвечать я , хочу чтобы samtel был способен ответить как резервный, пока меня смущает это:
> server ns1.samtel.ru
Address: 62.213.0.12

> 88.200.155.182
ns1.samtel.ru
Address: 62.213.0.12

180-30.155.200.88.IN-ADDR.ARPA nameserver = ns2.ecotred.ru
180-30.155.200.88.IN-ADDR.ARPA nameserver = ns1.ecotred.ru
*** Нет записей internal type for both IPv4 and IPv6 Addresses (A+AAAA), доступных для 88.200.155.182

Tulegen
Цитата:

так вот если tolkom перестанет отвечать я , хочу чтобы samtel был способен ответить как резервный

Ну так оно же по идее и есть.

Код: $ dig 182.155.200.88.IN-ADDR.ARPA. @62.213.0.12

; <<>> DiG 9.8.2rc1-RedHat-9.8.2-0.23.rc1.el6_5.1 <<>> 182.155.200.88.IN-ADDR.ARPA. @62.213.0.12
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 22022
;; flags: qr aa rd; QUERY: 1, ANSWER: 1, AUTHORITY: 2, ADDITIONAL: 0
;; WARNING: recursion requested but not available

;; QUESTION SECTION:
;182.155.200.88.IN-ADDR.ARPA. IN A

;; ANSWER SECTION:
182.155.200.88.IN-ADDR.ARPA. 3600 IN CNAME 182.180-30.155.200.88.in-addr.arpa.

;; AUTHORITY SECTION:
180-30.155.200.88.IN-ADDR.ARPA. 3600 IN NS ns1.ecotred.ru.
180-30.155.200.88.IN-ADDR.ARPA. 3600 IN NS ns2.ecotred.ru.

;; Query time: 20 msec
;; SERVER: 62.213.0.12#53(62.213.0.12)
;; WHEN: Tue Mar 24 16:40:32 2015
;; MSG SIZE rcvd: 146

$ dig 182.155.200.88.IN-ADDR.ARPA. @62.213.7.190

; <<>> DiG 9.8.2rc1-RedHat-9.8.2-0.23.rc1.el6_5.1 <<>> 182.155.200.88.IN-ADDR.ARPA. @62.213.7.190
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 12053
;; flags: qr aa rd; QUERY: 1, ANSWER: 1, AUTHORITY: 2, ADDITIONAL: 0
;; WARNING: recursion requested but not available

;; QUESTION SECTION:
;182.155.200.88.IN-ADDR.ARPA. IN A

;; ANSWER SECTION:
182.155.200.88.in-addr.arpa. 3600 IN CNAME 182.180-30.155.200.88.in-addr.arpa.

;; AUTHORITY SECTION:
180-30.155.200.88.in-addr.arpa. 3600 IN NS ns2.ecotred.ru.
180-30.155.200.88.in-addr.arpa. 3600 IN NS ns1.ecotred.ru.

;; Query time: 23 msec
;; SERVER: 62.213.7.190#53(62.213.7.190)

vlary
"одинаковые" для меня в данном контексте не показатель, я хочу "получить" не одинаковый, а правильный ответ на обратное преобразование IP-адрес -> DNS-имя хоста со Вторичного сервера провайдера. Но не могу.

Как правило все сообщения с IP-адресов не имеющих обратной записи в DNS (записей типа PTR) будут отвергаться

Принимающий SMTP сервер получит от 62.213.7.190
Name = exch02.ecotred.ru

На минуточку первичный сервер "решит отдохнуть" (регламент, авария и т.д)

Принимающий SMTP сервер получит от 62.213.0.12
canonical name = 182.180-30.155.200.88.in-addr.arpa

А мой SMTP сервер получит, на любой вкус:

550-"IP address has no PTR (address to name) record in the DNS, or when the PTR record does not have a matching A (name to address) record.

после чего продолжение передачи почты будет невозможно

У меня нет предубеждений, просто никто мне так и не "показал" каким образом сторонний SMTP сервер разрешит имя со Вторичного сервера провайдера. (с Первичным у меня вопросов нет) В чем ошибка?


dig.exe @ns.tolcom.ru -x 88.200.155.182
;; ANSWER SECTION:
182.155.200.88.in-addr.arpa. 3600 IN CNAME 182.180-30.155.200.88.in-addr.arpa.
182.180-30.155.200.88.in-addr.arpa. 3664 IN PTR exch02.ecotred.ru.

dig.exe @ns1.samtel.ru -x 88.200.155.182
;; ANSWER SECTION:
182.155.200.88.IN-ADDR.ARPA. 3600 IN CNAME 182.180-30.155.200.88.in-addr.arpa.
Нет записи типа поинтер

vlary
выручай у тебя ранее был реальный опыт настройки делегирования бесклассовой обратной зоны в BIND
еще есть подозрение на
RFC 2317
5.1 Recommended secondary name service
Some older versions of name server software will make no effort to
find and return the pointed-to name in CNAME records if the pointed-
to name is not already known locally as cached or as authoritative
data.

Tulegen Я вообще не понимаю, зачем было лезть в это дело, просить делегировать /30?
Намного проще было бы попросить провайдера прописать одну нужную PTR запись.

Цитата:

Нет записи типа поинтер

Именно. У провайдера их и быть не может,
поскольку он делегировал вам кусок. И теперь PTR забота ваших серверов.
А сервера провайдера на запросы отдают только CNAME, и адреса серверов,
которые должны для этого CNAME отдать PTR. Вы поимели ненужный геморрой.
И не знаю, что там получается у вас, у меня оба сервера отвечают одинаково:

Код: $ dig @ns.tolcom.ru -x 88.200.155.182

; <<>> DiG 9.8.2rc1-RedHat-9.8.2-0.23.rc1.el6_5.1 <<>> @ns.tolcom.ru -x 88.200.155.182
; (1 server found)
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 62014
;; flags: qr aa rd; QUERY: 1, ANSWER: 1, AUTHORITY: 2, ADDITIONAL: 0
;; WARNING: recursion requested but not available

;; QUESTION SECTION:
;182.155.200.88.in-addr.arpa. IN PTR

;; ANSWER SECTION:
182.155.200.88.in-addr.arpa. 3600 IN CNAME 182.180-30.155.200.88.in-addr.arpa.

;; AUTHORITY SECTION:
180-30.155.200.88.in-addr.arpa. 3600 IN NS ns2.ecotred.ru.
180-30.155.200.88.in-addr.arpa. 3600 IN NS ns1.ecotred.ru.

;; Query time: 25 msec
;; SERVER: 62.213.7.190#53(62.213.7.190)
;; WHEN: Tue Mar 24 23:14:39 2015
;; MSG SIZE rcvd: 116

$ dig @ns1.samtel.ru -x 88.200.155.182

; <<>> DiG 9.8.2rc1-RedHat-9.8.2-0.23.rc1.el6_5.1 <<>> @ns1.samtel.ru -x 88.200.155.182
; (1 server found)
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 22453
;; flags: qr aa rd; QUERY: 1, ANSWER: 1, AUTHORITY: 2, ADDITIONAL: 0
;; WARNING: recursion requested but not available

;; QUESTION SECTION:
;182.155.200.88.in-addr.arpa. IN PTR

;; ANSWER SECTION:
182.155.200.88.IN-ADDR.ARPA. 3600 IN CNAME 182.180-30.155.200.88.in-addr.arpa.

;; AUTHORITY SECTION:
180-30.155.200.88.IN-ADDR.ARPA. 3600 IN NS ns1.ecotred.ru.
180-30.155.200.88.IN-ADDR.ARPA. 3600 IN NS ns2.ecotred.ru.

;; Query time: 23 msec
;; SERVER: 62.213.0.12#53(62.213.0.12)
;; WHEN: Tue Mar 24 23:15:58 2015
;; MSG SIZE rcvd: 150

vlary

по первому пункту "Зачем", негативный опыт, провайдер поменял подсеть, две недели бегали искали специалиста внести изменения, затем провайдер продал свою сеть другому владельцу, новый владелец месяц вносил изменения. Хотелось бы организовать более контролируемый с моей стороны инструмент.

по второму пункту мне это понятно, для этого и затевалось чтобы я отвечал.

по третьему вопросу, буду разбирать
Спасибо

Привет всем! Есть прокси сервер win2000ser, на нем isa 2004, поднята служба DNS. Вопрос в следующем: подключаемся по RDP через IP:port. А нужно сделать чтобы вместо ip ставить host, например, ttt.host.de. То есть получается, к примеру: ttt.host.de:45622. Там поминаю нужно у себя в DNS это прописать? Я так делаю: правой кнопкой на сервере - New Zone - Standart primary - Forward lookup zone - Name "ttt.host.de" - создал зону. Затем правой кнопкой на этой зоне - New host - забиваю нужный ip - add host. Все правильно? Но что то все равно не получается зайти по RDP - ttt.host.de:45622

ph5
Цитата:

Но что то все равно не получается зайти по RDP - ttt.host.de:45622

Откуда подключаетесь, изнутри или снаружи?

vlary
Изнутри наружу.

ph5
Цитата:

Изнутри наружу.

Ну так это во всех букварях описано. Хоть ты и написал
"прокси сервер", но isa 2004 не прокси сервер, это NAT и фаервол.
И есть такое свойство у NAT как NAT Loopback (aka Hairpin NAT).
Суть такая, что без специальной настройки юзеры, сидящие за NAT,
не могут получить доступ к внешнему порту, проброшенному через этот же NAT.
Правильный подход - это использование Split DNS, когда внутренним юзерам
отдается внутренний айпи, а внешним - внешний.
На некоторых роутерах можно настроить Hairpin NAT, но ИМХО это лишняя нагрузка на роутер.

vlary
Да, isa фаер, не спорю, сама машника, на котором это все крутится, проксик. Так, получается мне надо в исе все настраивать? И как это правило будет выглядеть?

ph5
Цитата:

И как это правило будет выглядеть?

Холим в тему по Исе, там спрашиваем. Я лично Исой не пользуюмь.
Либо железные роутеры, либо линукс.

Можно ли поднять свой DNS сервер (напр. Deadwood), но не указывать в настройках IP 127.0.0.1? А то Java палит системные настройки ( http://whoer.net/extended ).

Ilya_SpongeBob
А какой адрес Вы хотите указать?
Можете указать любой, далее этот "любой" адрес вешаете себе на сетевой интерфейс как доп. адрес и усё.

Хотя я конечной цели не понимаю, ну да ладно...

Цитата:

А какой адрес Вы хотите указать?

Надо чтобы сайт не мог вообще определить DNS ни реальный , ни системный.

Ilya_SpongeBob
оО
Вообще не понимаю что Вам надо, но пропишите себе 8.8.8.8 и будет Вам счастье.

Ilya_SpongeBob Я смотрю, Губка Боб, отношение желания/знания у тебя просто зашкаливает.
Такого нагромождения чуши я не помню со времен раннего contrafack

vlary
да, contrafack знатный вопрошанин

Цитата:

Вообще не понимаю что Вам надо

Должно быть так ( http://whoer.net/extended ) :
https://img-fotki.yandex.ru/get/4102/306350466.0/0_142793_86c0f656_orig.png

Если прописать 8.8.8.8 или любое другое значение, то сайт узнает об этом.:
https://img-fotki.yandex.ru/get/5103/306350466.0/0_142792_95ebbbe8_orig.png
Этого нужно избежать.
И скрипты должны быть включены , поэтому не пишите: "отключи скрипты и будет тебе счастье".