Re: [分享] V6 提供域名查詢的技巧

作者: ggg12345 (ggg)   2010-07-14 00:36:31
: : 若 MOE 都設 MOEMOON 為 DNS server 看 MOECC主任 會不會挨罵?!
: 若這台真的是給本部使用者查的機器,那從本部網路過來問的就會幫忙 recursive,
TWNIC 這個單位就是靠 DNS 服務收費過活的, 如果這個單位
都以如此本位過活, 這樣的自私自利帶頭風氣還能期待下游
不收費的 DNS server 能做出甚麼服務?
從本部來查的就會 recursive 查詢, 真是這樣嗎?
這個標題是 V6 DNS server. 您都可試試看, 如何從這幾個 server 查到
外校的 V6-ip
dns.ntu.edu.tw IPv6 address = 2001:288:1001:254:e61f:13ff:fe2c:e580
sun1.ncu.edu.tw IPv6 address = 2001:288:3001:1::31
ns.nctu.edu.tw IPv6 address = 2001:f18:113:249:20d:61ff:fe12:11d
: 是 TWNIC 管的又如何?MOE 內部要真想查到 TWNIC 去,那也是兩個單位自己的事。
: 我就問,真的有人挨罵嗎?有嗎?
: 別隨便找台本來就不是服務一般使用者的 DNS 在那邊砲,這根本是假議題。
V6 本來就沒甚麼人用, 也不用為了怕挨罵才來考慮該怎麼開放服務.
: : 現在台灣的 DNS server 因隔離艙的自私自利, 都設定限本地 IP-address 查詢本地
: : 的網址, 若 DNS 不回答外部的域名查詢, 就需連到外部域名的原管轄 name server
: : 查詢, 若原管轄server 只回答當地的 user 詢問, 要如何個問出答案?
: 您曾經、或者現在擁有過自己的網域名稱嗎?您有架設過 name server 嗎?
: 「原管轄server 只回答當地的 user 詢問」,通常僅指 recursive query.
: 無論提問者的來源為何,只要問題對於該 DNS server 是 authoratative,
: 它就一定會回覆。
別在那咬文嚼字, 不告訴你管轄的 DNS server ip-address 是要如何個查法?
: 任何網域名稱擁有人都希望自己的域名能在世界各地都能查得到吧?
: 那自然在回覆 authoratative answer 時不會限定提問的對象,除非僅限內部使用。
: 那一切的問題就很簡單了嘛。
所謂"自私自利" 不就是 "除非僅限內部使用" ?
: Again, 如果你沒有可以代查的 DNS,那就自己做 recursive query 啊!
: 這原理也跟幫忙代查的 DNS 一樣,事實上做法根本就是一樣。
: 您真的自己試過不可行嗎?別什麼都沒做過就問「要如何個問出答案?」
: : un-ahthorized answer 就是代理回覆, 回的就是非管轄區外的域名與網址對應.
: : 代理回覆安全性來自於由 網址自 root 反查串的整串信任核驗, 這假設是基於認
: : 知的 root server 是可靠可信任的.
: 這又是另一個層面的議題,您提到找兩台 DNS 來驗證只是其中之一,
: 若這樣的做法獲得了普遍支持,那麼各單位 DNS 自然會開放,
: 不開放就表示管理單位都有自己的考量嘛,您個人的特殊需求說再多也無濟於事。
: 況且這問題還有其他解法如 DNSSEC 等等,不過扯到這邊就離題了,就此打住。
: : 是要 user 如何個查法, 才能查得到校外網站?
: Again, 我倒是想問問,是哪個網路的使用者沒自己的 DNS 好查了?
: 你為什麼就不要求自己的 ISP 架一台?反而找其他單位苦苦相逼?
普通使用者如果能像我這樣明白的問, 其實也不勞像上面如此態度的管理
者來提供服務了. 懂一點點技術的管理人員之可惡, 就是會講上面那種話!
: : root 的架構與軟體設計, 先天上就是能設定任何 A 記錄逕自回答,
: : 所以知情的都只要 root server 回答 ns server 就好, 不要回 A
: : 記錄.
: > www.ncu.edu.tw
: Server: external.isc.org
: Address: 149.20.64.42
: DNS request timed out.
: timeout was 2 seconds.
: DNS request timed out.
: timeout was 2 seconds.
: DNS request timed out.
: timeout was 2 seconds.
: DNS request timed out.
: timeout was 2 seconds.
: *** Request to external.isc.org timed-out
: 任何 A 記錄都能逕自回答嗎?可見它「不行」。
: Root server 也有自己的 zone files,也包含所有 Top-level name servers 的位址,
: 所以它能夠回答「某些」A record,但不代表全部。
: 所謂「知情」的 DNS server 就只是擁有部分 hints 以便無需再問 root server,
: 因為像 root servers 或 Top-level 的位址不會經常變動。就這樣而已。
: : 你看不出, 不代表沒關連, 是吧 !
: 我還在想是哪門子的特異功能,根本子虛烏有。所以我看不出來啊!哪裡有關連了?
你不懂, 但又自認在管 DNS server, 但在這裡也不會告訴你這個特異功能
的細節是要怎麼運作的. 您就自個多費心思去學習! 不過, 她跟這個有關,
向 root server 問 ns.twnic.net 的 ip-address , 她會回答. 那麼, 請
問 root 是 ns.twnic.net. 這個 domain 的直接管轄者嗎 ? 她幹嘛回那
個名稱的位址?
Default Server: M.ROOT-SERVERS.NET
Address: 202.12.27.33
>
> ns.twnic.net.tw.
Server: M.ROOT-SERVERS.NET
Address: 202.12.27.33
Authoritative answers can be found from:
tw nameserver = g.dns.tw
.....
ns.twnic.net internet address = 192.83.166.11
ns.twnic.net IPv6 address = 2001:288:1:1006::11
: : 要求世界上的 dns server "都" 給代查?
: : 對 root dns server 就沒必要, 也不該做! 可沒人要 root 代查 !
: 我只是打個比方,滿足您的訴求罷了,既然要無限上綱那就來吧,一視同仁嘛!:P
管 root 的跟管 下游三四層 DNS 的, 可以等量齊觀乎?
: : 如果只限本地 client 只能查詢本地域名, 那不就是孤島一個 ?
: 誰跟您說只能查詢本地域名?現況真的有如此嗎?別把自己野放到孤島上!
: : resolver 是DNS 的 client端, 每台上網(internet)機器都有, 不用自己架啦!
: 您自己前面都說 browser 都不會 iterative 了,
: 所以我才說如果沒有就自己架一台來幫忙 recursive query 嘛!
: : 如禁止外地 client 查詢 DNS server, 那還能上網去那裡問得到喔 ?
: : 是該移動到那裡, 再租條當地的 ISP 線路嗎?
: 這是問題嗎?您是真的窮到沒有 DNS 能用了嗎?
: 您在哪邊上網,難道就不能透過當地 DHCP 取得 IP 位址與當地 DNS server 位址了嗎?
: 您非得要用別人家的 DNS server 才甘心嗎!?
: : 還是有 ISP 的 V6 dns 是正確, 肯開放代查的, 這不用只關心自利者
: : 煩惱. 只是沒有多部 DNS 開放查詢就無從查驗記錄是否正確, 是否
: : 國外也查得到.
: 前面說過了,由於現行實作上也不會 double check,因此這是「您個人的特殊需求」,
: 拿這理由要求他人開放自然是弱了點,您不如自己想辦法。
: : 有這種網管的學校, 使用者一定是哭笑不得 !
: > www.hinet.net
: Server: rs540.ncu.edu.tw
: Address: 140.115.19.42
: *** rs540.ncu.edu.tw can't find www.hinet.net: Query refused
: 罵人之前先擦擦自己的屁股,「有這種網管的 NCU,使用者一定是哭笑不得!」
: 想必您也不希望被人家這樣說吧?在要求其他人之前最好先要求自己!
: 對不起,言語上如有冒犯,請前輩原諒。但我認為不對的事情就要說清楚,
: 畢竟我也是尋常的 DNS server 管理者,不能對這番羞辱視而不見。
你說的 DNS server 的行為反應, 不就是跟這個 rs540.ncu.edu.tw 的反應
完全一樣嗎 ?
這種現象, 不就是有這種以安全為理由, 搞出這種自私自利的各問各的 dns
server 來嗎 ?
試試全台灣各大學的 V6 dns server 不就知道了?

Links booklink

Contact Us: admin [ a t ] ucptt.com