我有一些面向公众的DNS服务器,这些服务器似乎是基于UDP的DDOS到端口53的攻击。 这些服务器是在OpenStack Hypervisors(Ubuntu 16.04)上运行的CentOS 7。 这次攻击充满了pipe理程序的conntrack表,导致所有其他邻居也中断连接。 我正在调整conntrack设置,如果可能的话,攻击一个实例有较less的机会影响其他人,也许net.netfilter.nf_conntrack_max增加到极端值? 这是具体的错误: Jul 2 22:38:47 compute2 kernel: [639738.070458] nf_conntrack: table full 这些是pipe理程序中的当前conntrack设置: net.netfilter.nf_conntrack_acct = 0 net.netfilter.nf_conntrack_buckets = 65536 net.netfilter.nf_conntrack_checksum = 1 net.netfilter.nf_conntrack_count = 78794 net.netfilter.nf_conntrack_events = 1 net.netfilter.nf_conntrack_expect_max = 1024 net.netfilter.nf_conntrack_frag6_high_thresh = 4194304 net.netfilter.nf_conntrack_frag6_low_thresh = 3145728 net.netfilter.nf_conntrack_frag6_timeout = 60 net.netfilter.nf_conntrack_generic_timeout = 600 net.netfilter.nf_conntrack_helper = 1 net.netfilter.nf_conntrack_icmp_timeout = 30 net.netfilter.nf_conntrack_icmpv6_timeout […]
我昨天改了我的网站的域名服务器(从godaddy到clouflare.com)。 但是,我的网站显示“服务器的DNS地址找不到”错误今天。 请帮我解决这个问题。
我们有一个域名,例如example.com 。 我们为权威服务器使用基于云的提供者。 我们有一些客户拥有一个IPSec隧道,我们需要给我们一些内部logging。 为此,我们有一些“半公开”名称服务器,它们为某些logging提供了不同的IP地址,但是如果这些logging没有在这些“半公开”的服务器上定义,则需要将响应转发给“真实”权威服务器。 我们不想在我们的“半公开”名称服务器中复制每个logging(大约有1000个)。 我们目前正在使用Cisco IOS(是的,IOS路由器具有名称服务器function)和视图来实现这一点。 它工作正常,但有点片状和TTL总是10秒无法改变它 。 这也意味着只有networking工程师而不是服务器pipe理员才有独占访问权(政治吸引力)。 我使用RPZ(响应策略区域)在BIND实验室中工作。 然而,不幸的是,答复从来没有权威的标志。 我很紧张,这会给一些解决scheme带来问题。 我可以跳过BIND的RPZ特性,只是为每个logging创build一个单独的区域,但这不会很有趣,因为谁想要维持约100个BIND区域,只是每个区域都有一个logging? dnsmasq会为此工作,我相信,因为它设置了权威的标志。 但不幸的是,我被限制在Windows Server 2012 R2上运行的东西。 所以我问如果有人知道Windows解决scheme(我认为BIND是因为我可以安装在Windows上,它运行良好),将提供一个区域内的查询权威性的答案,但如果一个特定的logging不是界定? 也许我错过了如何在BIND中做到这一点,也许还有另一种解决scheme(例如,Unbound)。
首先,我在我的系统上安装了NetworkManager ,所以我尝试过: nmcli connection edit <name of my connection> 这确实工作,但它要求我手动input一些命令,如: set ipv4.dns <my required DNS> 我想在脚本中运行一组命令,其中一个应该编辑我的DNS。 所以我没有手动inputnmcli接口。 我曾尝试编辑我的resolv.conf但显然每次都会被覆盖。 我经历了几个维基,发现我的其他选项是dhclient但也被NetworkManager覆盖。 有没有办法用terminal上的一个命令编辑我的DNS,我可以直接把它写入我的脚本中? 另外我知道有关resolvconf但无法弄清楚如何在这种情况下为我工作。
这是我的设置 – 我有Windows Server 2016作为我的Active Directory,DHCP和DNS服务器。 这是一个家庭环境。 我有一些奇怪的问题,服务不是在适当的时间开始影响其他服务。 我是因为IPv6而学的。 我决定玩IPv6。 创build了我的隧道。 一切都很好。 事情现在看起来更快 – 我相信这是因为我的电脑终于松了一口气,他们现在有一个活跃的IPv6地址。 该地址来自pfSense路由器广告。 正如你所知,Netflix不起作用。 有人告诉我在我的DNS服务器上设置Netflix,这样它只能请求Alogging,不使用IPv6。 单靠Windows DNS可以实现吗? 或者我需要使用转发器到我的pfSense机器,并使用BIND过滤掉域名,只使用IPv4? 如果是这样,那么做什么指示。 有没有其他的方式来做这个与pfSense? 也许pfblockerNG所有Netflix ASN的客户名单? 我试图保持IPv6,但我的妹妹看Netflix …我需要一些想法,直到我的ISP决定加强。
我在我的DNS服务器中有一个我的域名有一个奇怪的问题。 我一直这样做正常,但这次它一直说: received notify for zone 'domain.nl': not authoritative 我第一次做的当然是将域添加到我的主DNS上的named.conf中。 这是它的configuration: options { #listen-on port 53 { 127.0.0.1; }; listen-on-v6 port 53 { ::1; }; directory "/var/named"; dump-file "/var/named/data/cache_dump.db"; statistics-file "/var/named/data/named_stats.txt"; memstatistics-file "/var/named/data/named_mem_stats.txt"; allow-query { any; }; allow-transfer { localhost; IP of slave; }; recursion no; dnssec-enable yes; dnssec-validation yes; dnssec-lookaside auto; /* Path to […]
我在AWS的托pipe区域似乎工作正常,所以我有点担心改变它 – 但我注意到我的白标DNS的CNAMElogging看起来像这样(没有尾随点): *.localroute.net. CNAME localroute.net – – 172800 这是否工作正常,因为系统足够聪明,不要追加另一个"localroute.net"的值? 或者我应该继续前进,并在最后添加点,如下所示: *.localroute.net. CNAME localroute.net. – – 172800 另外,我是否正确地说,如果我想要一个域通过CNAME映射到另一个域,那么格式必须在最后有点,以避免模糊? 例如: www.example.net. CNAME example.com. – – 172800 感谢您的任何洞察力,我可以给我这个,我想我的DNS是完美的:-)
我的组织中有一台机器出现了一个奇怪的问题。 即尝试parsing名称时使用了错误的DNS服务器。 DNSconfiguration非常简单 – 我们有两个内部DNS服务器,DHCP分配公共Google DNS服务器作为备份。 总的来说,DHCP客户端按顺序接收以下DNS服务器: 内部DNS#1 内部DNS#2 8.8.8.8 8.8.4.4 这种configuration适用于每个人…除了一个Windows 10机器,似乎使用谷歌的DNS而不是内部的DNS。 那台机器当然有互联网接入,但不能访问我们的内部资源。 还值得注意的是,该机器可以ping DNS服务器和我们的内部IP很好,所以这似乎不是一个连接问题。 更奇怪的是,如果这台机器通过WiFi连接(DHCP保持不变,那么只有一个AP),那么使用正确的内部DNS。 该机器上没有自定义的IPv4设置,而且我也不知道使用超出服务器列出顺序的任何其他types的DNS优先级系统。 这里有什么可能是错的? 编辑:一些额外的信息: 所有机器都连接到本地DC 有问题的机器,当运行nslookup会显示默认的DNS服务器被用作8.8.8.8 在目标机器上使用nslookup <internalDNSname> <internal DNS IP>工作并产生预期的结果,所以有问题的机器可以与我们的DNS服务器通信就好了 如果我从DHCPconfiguration中删除公共Google DNS服务器,并刷新目标机器上的连接,一切正常,并使用内部DNS服务器。 如果我重新添加Google DNS服务器,机器将再次开始使用这些服务器。
我们有一个2013年的Exchange服务器,并使用一个邮件filter来扫描传入和传出的邮件。 客户端电子邮件服务器拒绝了我们的消息,表示如果“向前确认的反向DNS查询”不同,他们不接受电子邮件。 我认为这是因为我们的交换服务器是“EXCHANGE-SERVER.company.com”我们的邮件filter是MAILFILTER.company.com并拥有company.com的mxlogging 我怎样才能纠正这个HELOlogging显示正确? 有我应该看的DNSlogging? 或者问题在于发送连接器?
我有一个奇怪的问题,我似乎无法解决。 我们的域名上有文件服务器。 随机间隔,某些用户根本无法访问设置的共享,而其他用户可以访问。 我们都在同一个领域。 无法访问共享的用户无法ping通服务器的名称或IP地址(192.168.0.2)。 一个“修复”一直是分配一个静态IP给有问题的用户。 这解决了很多,但修复似乎并不总是工作。 我们有一个DNS服务器也在运行。 作为一名networkingpipe理员,我相对缺乏经验,但我们在这! 任何协助解决这个问题将受到感谢,因为它开始给我失眠的夜晚。