假设有一个私人VPN(examplevpn.org),并且有几个内部NETWORKS连接到它(net1.examplevpn.org,net2.examplevpn.org等等)。 所有的邮件都通过examplevpn.org(传入或传出)进行中继。 所有networking都有自己的邮件服务器。 所有networking访问都通过examplevpn.org中的代理服务器。 没有NAT,只有那个networking代理。 examplevpn.org有两个DNS,一个是外部的,一个是内部的。 内部的一个只能从VPN内部访问,只能回复* .examplevpn.org域的查询,其余部分将被忽略。 每个内部networking都有自己的DNS服务器。 我在net1.examplevpn.org工作,我想configurationBIND(版本9.9.5) 直接回复查询* .net1.examplevpn.org。 (EASY,区域,我要说完成这个要求) 将* .examplevpn.org查询转发到内部examplevpn.org DNS服务器。 所有这些都是recursion查询。 忽略其余的互联网的问题,我的意思是,我不希望这些查询转发到内部examplevpn.org DNS服务器。 examplevpn.org的内部DNS服务器已经忽略了它们,此外,由于没有NAT,我无法连接到IP。 这是2和3的组合,我不知道如何在同一时间做。 我想做3有两个原因: 这是无缘无故的带宽浪费(查询无论如何将失败) 潜伏。 我希望查询很快失败。 我简化了这个问题。 IRL有3个内部DNS,我的DNS服务器(在net1.examplevpn.org)尝试其中三个失败之前…大部分时间需要5秒,一件事情应该是瞬间的。
我有一个SPFlogging: v=spf1 include:_spf.google.com ip4:70.xx.xx.xx -all 我曾经从谷歌的默认 v=spf1 include:_spf.google.com ~all 为了防止伊朗的一些垃圾邮件发送者继续发送信息,我们一直在摆脱这种默认,努力防止伊朗的垃圾邮件发送者在发送虚假地址时,用下面的消息向我反馈: Received-SPF:neutral(google.com:2.191.xx.xx既不被允许也不被[[email protected]]的域的最佳猜测logging所拒绝)client-ip = 2.191.xx.xx ; 这个消息意味着有一种拒绝垃圾邮件发送者的IP的方法,但是我没有find它,所以我最终不确定。 有小费吗? 我希望这个垃圾邮件发送者直接或间接地被我的SPF拒绝。 更新:添加完整的,不变的消息我试图对(下面) Delivered-To: [email protected] Received: by 10.28.62.13 with SMTP id l13csp432424wma; Sat, 22 Oct 2016 05:10:20 -0700 (PDT) X-Received: by 10.99.104.196 with SMTP id d187mr9004304pgc.26.1477158220522; Sat, 22 Oct 2016 05:10:20 -0700 (PDT) Return-Path: <> Received: from mail-pf0-x241.google.com (mail-pf0-x241.google.com. [2607:f8b0:400e:c00::241]) […]
我在AWS和Azure之间使用StrongSwan进行了站点到站点的VPN设置。 在AWS中,我们在VPC中使用Route53将诸如production-db.internal.com之类的内容映射到我们的RDS集群的AWS提供的名称。 如何将Azure虚拟networking的DNS服务器设置为能够将production-db.internal.comparsing为AWS VPC中RDS实例的本地IP地址?
我正在考虑Cloudflare的CNAME扁平化 ,它允许在顶级域名上大致等同于CNAME。 我对这篇文章的印象是,任何查询他们的人都把它看作是一个Alogging(从Heroku传来5分钟的TTL),但是在幕后,他们查询给定主机名的IP并返回。 但是因为他们把它公开为Alogging,那5分钟的TTL是不是意味着其他人可能会将返回的IPcaching至less5分钟? 而且,如果ISP等发生caching更长时间。 据我了解,一个普通的CNAME只会caching一个主机名(如foo.herokuapp.com. )通过DNS系统,我猜主机名到IP查找发生的时间越晚越好,所以不会是很可能会被caching很久。 那么这是否意味着,如果Heroku的IP变化,一个普通的CNAME会很快处理新的IP,但是Cloudflare的CNAME扁平化可能需要几分钟甚至更多? 如果Heroku的IP可以每次部署或重新启动dynos时更改(我是否有这个权利?),这似乎可能会导致很多问题。 但是我一直没能find有关这些问题的报道。 那么这是否意味着我有一些不正确的假设? 如果将平铺的CNAME设置为“仅DNS”(用户界面中的灰色云),而“通往主机名的通信将通过Cloudflare”(用户界面中的橙色云),DNS将parsing为Cloudflare的代理服务器IP,并且主机名到IP查找发生在他们的代理服务器中,因此不会被caching?
要获得我正在使用的域的顶点的权威Alogging: $ nslookup -q=ns example.com Server: 194.168.4.100 Address: 194.168.4.100#53 Non-authoritative answer: example.com nameserver = a.iana-servers.net. example.com nameserver = b.iana-servers.net. Authoritative answers can be found from: b.iana-servers.net internet address = 199.43.133.53 a.iana-servers.net internet address = 199.43.135.53 $ dig -ta +noall +answer example.com @a.iana-servers.net example.com. 86400 IN A 93.184.216.34 有没有更好的办法? 也不是所有的名字服务器都是同样创build的,所以b.iana-servers.net比b.iana-servers.net需要更长的时间(x100,有时超时),如果有一个简单的方法,它会非常有用查询他们全部并返回第一个响应的结果。
djbdns / tinydns是否支持较大的TXTlogging,例如在服务长DKIM密钥时? 我知道RFC 4408第3.1.3节和RFC 1035第3.3.14节: https://tools.ietf.org/html/rfc4408#section-3.1.3 https://tools.ietf.org/html/rfc1035#section-3.3.14 这两个build议可以将TXTlogging拆分为多个string,以允许提供长(> 255个字符)的logging。 在我的研究中,我也遇到了这个问题: 如何在DNS中input强大(长)的DKIM密钥? 我已经尝试了在接受的答案中提到的两种方法,有和没有围绕括号。 但djbdns拒绝正确提供这些logging。 例如,当使用nslookup查询我的domainkeylogging时,我得到: mail03._domainkey.zygonia.net text = ""v=DKIM1; k=rsa; p=" "MIIBIjANBgkqhkiG9w0BAQEFAAOCAQ8AMIIBCgKCAQEA7UNgSlnndT9JY0soSjxLhFFnvAeVN8b6Y3oKctAunNltMjvXfTD37doER8a9xwEOIXkGPgxJ5UPb/KndvHiIo+j8AScoIZCW" "glFWp4AUoKlQkKP7o7vwFnWypU+DmcJAtyuhZ9X5yzag37cVR" "YD4icd02yAETLbIpv1mnMUFkTnkdmtSa5gL2cLUueUOValoENwkWTcZR" "+kraTEU/VDPI" "RgNBu6OJmQdk0sv4qdkwVVvxvquT4C/SimQDoDaQwlFCp2sBryXyaNSRCaAhRxPaKUpKsPmubW0SJF2nQZ3DprJQcaRQLd9Qgxz+V+XaseaXXWPy+6" "tB6BlPFk5FwIDAQAB"" *** Error: record size incorrect (515 != 419) *** ns0.example.net can't find mail03._domainkey.zygonia.net: Unspecified error 这是一个DKIM TXTlogging,如下所示: "v=DKIM1; k=rsa; p=" "MIIBIjANBgkqhkiG9w0BAQEFAAOCAQ8AMIIBCgKCAQEA7UNgSlnndT9JY0soSjxLhFFnvAeVN8b6Y3oKctAunNltMjvXfTD37doER8a9xwEOIXkGPgxJ5UPb/KndvHiIo+j8AScoIZCW1glFWp4AUoKlQkKP7o7vwFnWypU+DmcJAtyuhZ9X5yzag37cVRGYD4icd02yAETLbIpv1mnMUFkTnkdmtSa5gL2cLUueUOValoENwkWTcZR" "+kraTEU/VDPIrRgNBu6OJmQdk0sv4qdkwVVvxvquT4C/SimQDoDaQwlFCp2sBryXyaNSRCaAhRxPaKUpKsPmubW0SJF2nQZ3DprJQcaRQLd9Qgxz+V+XaseaXXWPy+6rtB6BlPFk5FwIDAQAB" 原始的djbdns数据logging如下所示: :mail03._domainkey.zygonia.net:16:\642"v=DKIM1;\040k=rsa;\040p="\040"MIIBIjANBgkqhkiG9w0BAQEFAAOCAQ8AMIIBCgKCAQEA7UNgSlnndT9JY0soSjxLhFFnvAeVN8b6Y3oKctAunNltMjvXfTD37doER8a9xwEOIXkGPgxJ5UPb\057KndvHiIo+j8AScoIZCW1glFWp4AUoKlQkKP7o7vwFnWypU+DmcJAtyuhZ9X5yzag37cVRGYD4icd02yAETLbIpv1mnMUFkTnkdmtSa5gL2cLUueUOValoENwkWTcZR"\040"+kraTEU\057VDPIrRgNBu6OJmQdk0sv4qdkwVVvxvquT4C\057SimQDoDaQwlFCp2sBryXyaNSRCaAhRxPaKUpKsPmubW0SJF2nQZ3DprJQcaRQLd9Qgxz+V+XaseaXXWPy+6rtB6BlPFk5FwIDAQAB":600 当TXTlogging很长时,djbdns是一个失败的原因吗?
问题与标题所说的完全一样。 ccTLD / gTLD(和根服务器是否会自动进入我的设想)是否使用caching? 它提供什么types的响应? 我知道他们给指向特定域的名称服务器的指针,但响应types被称为? ( hinttypes?) 我搜查了很多,但找不到任何类似的问题,对不起,如果这是一个骗局。
我在ubuntu 14.04上运行apache2,并使用Let's Encrypt设置了SSL。 在我的域名之一(域名A)它工作正常。 我可以达到它 http://domainA.com http://www.domainA.com 要么 https://domainA.com https://www.domainA.com 但是,我有附加的域指向框,并为每个这样的虚拟服务器设置。 我以同样的方式设置domainA( 如果您想知道如何使用,请参阅本教程 ) 在我的其他网域上,通过https的stream量显示了正确的虚拟内容 – 但是通过http的stream量只显示了根目录(所以默认的index.html出现)。 在/ etc / apache2 /网站,可用我有以下几点: 000-default.conf default-ssl.conf domainA.com.conf domainA.com-le-ssl.conf domainB.com.conf domainB.com-le-ssl.conf 它们的设置完全相同,只是相关的信息发生了变化。 domainA .conf如下所示: <VirtualHost *:80> ServerAdmin [email protected] ServerName domainA.com ServerAlias www.domainA.com DocumentRoot /var/www/html/domainA/public_html ErrorLog ${APACHE_LOG_DIR}/error.log CustomLog ${APACHE_LOG_DIR}/access.log combined </VirtualHost> domainB.conf看起来完全相同,除了用“domainB”代替domainA。 domainA.com-le-ssl.conf文件看起来几乎完全相同,除了包括所有合适的SSL文件并且在端口443上(当我使用Let's Encrypt创build文件时,它是dynamic生成的 – 我没有碰到它们) 所以domainB.conf看起来像这样: <VirtualHost *:80 […]
用几句话来说,问题是很less的域名在我们的networking中没有被工作站解决,而从服务器上的远程桌面会话成功完成。 现在的细节。 我们有一个路由器后面的Windows域networking。 内部地址是从192.168.1.x范围。 有一个隧道build立到一个客户网站,地址范围是10.xxx。 这工作很长一段时间。 有一些由客户定义的域名,指向内部networking中的服务器。 它们不是公开可见的,所以访问它们我在我们的域控制器(192.168.1.1,Windows Server 2008 R2)上添加了条件转发器,但是其中的一些有时候是由公共名称服务器解决的。 我不知道configuration,但客户端的networkingpipe理员声称我们应该直接查询他们的名称服务器,因此有条件的转发。 这工作很长一段时间没有问题。 我需要将域控制器升级到Windows Server 2016.为此,我添加了一个辅助域(192.168.1.7,Windows Server 2012 R2)。 包括有条件的转发器在内的AD被复制到这个新的服务器上。 在这一点上,我们没有问题。 有一些工作站的主DNS设置为主DC(192.168.1.1),其他主DNS设置为次DC(192.168.1.7)。 客户的域名已在所有工作站上成功解决。 然后,我在主服务器(192.168.1.1)上安装了Windows Server 2016,并将其作为主DC进行升级。 AD被复制并且有条件的转发器到位。 但是,当工作站尝试parsing客户端域时,如果它是辅助DC(192.168.1.7),则成功;如果它是主要DC(192.168.1.1),则成功。 有趣的是,DNS查询在服务器本身(在远程桌面会话中)被parsing。 否则DNS看起来正常工作,因为没有其他域名的问题(互联网接入几个星期工作正常)。 客户端的networkingconfiguration如下: IP地址:192.168.1.x 掩码:255.255.255.0 GW:192.168.1.10(路由器的IP) 主DNS:192.168.1.1或192.168.1.7(主备DC) 备用DNS:空 两个域控制器上的DNSconfiguration方式相同(至less我找不到任何重大区别): 听所有的IP地址 转发器是相同的,以相同的顺序如下 – 谷歌公共DNS(8.8.8.8),主路由器IP(192.168.1.10),备份线路由器(192.168.1.11) 在两台服务器上都有相同的根提示(默认) DNS属性对话框中的相同默认选项(不会禁用recursion) DNS属性对话框中的相同安全选项 两个域控制器上的条件转发器的相同列表(它们自动复制,我没有单独在每台服务器上重新input) 在这一点上,我能够解决在这两个服务器上的客户的域名。 如果我尝试在工作站上ping这个域,那么如果它的主DNS是192.168.1.7,则成功;如果是192.168.1.1,则成功。 我可以ping通工作站上的互联网域名,不pipe它是主DNS(192.168.1.1和192.168.1.7都可以正常工作)。 在服务器上使用nslookup时,如果服务器为192.168.1.1,则“DNS请求超时”会失败,但如果是192.168.1.7或客户端的名称服务器(10.xxx),则不pipeDNS设置(192.168.1.1)如何,都会失败。 1.1或192.168.1.7)。 ping客户端域时,我在工作站上使用了Nir Sofer的DNSQuerySniffer。 当它的DNS是192.168.1.1,我看到5个请求–4没有响应,第五个返回“服务器故障”,所有从工作站的IP和192.168.1.1作为目的地址。 当工作站的DNS设置为192.168.1.7时,我只看到一个成功的请求。 然而,当在服务器上运行它时,在192.168.1.1我看到DNS请求到我的路由器,而它应该是客户端的名称服务器, […]
我正在调查由于parsing器错误导致的CloudFlare负载数据泄漏对我们所使用的服务的影响。 判断一个服务是否通过DNS将stream量导向CloudFlare比较容易: $ nslookup www.authy.com Server: google-public-dns-a.google.com Address: 8.8.8.8 Non-authoritative answer: Name: www.authy.com Addresses: 104.16.0.17 104.16.1.17 $ whois -h whois.arin.net n 104.16.0.17 | egrep 'Organization' Organization: Cloudflare, Inc. (CLOUD14) CloudFlare会以这种方式终止所有指向他们的stream量吗?如果不是,有没有办法独立判断CloudFlare客户是否在使用CloudFlare的反向代理服务?