我正在做一个VPS。 我们使用的服务器已经安装了WHM Accelerated和CPanel,我们为DNSselect的选项是BIND。 当我更新域名注册商网站上的域名服务器时,我收到了一个错误,这个错误没有被系统解释,我们被告知需要支持。 在与支持人员聊天之后,他们确认事情的一切都是好的。 这意味着服务器上出现错误! 我开始的第一个地方是DNS区域logging。 在此之后,非常有用的Host Gator教程:support.hostgator.com/articles/hosting-guide/lets-get-started/linux-dedicated-hosting/how-to-initially-configure-your-server-via-whm-part -2。 它的基本要点是我使用Alogging将ns1设置为指向静态IP。 对于ns2也一样,然后我build立了两个NSlogging,将xx.com指向ns1.xx.com和ns2.xx.com。 我还更新了SOAlogging以包含ns1.xx.com。 以下是我对xx.com的DNS区域logging的屏幕截图: 这一切对我来说都很好。 我不知道为什么这不起作用。 此DNS区域用于xx.com,属于帐户xx。 我已经搞乱了TTL设置,但是我不认为会有这样的影响? 相信这是正确的,我已经看过服务器上的其他地方。 当我查看“NSlogging报告”ns1.xx.com和ns2.xx.com确实存在! 但是他们都没有解决的IP地址: 经过对此的一些研究,我发现这个问题可能是在CPanel中没有刷新IP,公平的说,我使用以下命令用SSH更新了它们: root@server [~]# /usr/local/cpanel/scripts/updatenameserverips 然后,检查显示IP中的文件: root@server [~]# cat /var/cpanel/nameserverips.yaml — ns1.heliops.co: count: 1 zones: heliops.co ns2.heliops.co: count: 1 zones: heliops.co 如果我再次运行相同的两个命令,这是我得到的结果: root@server [~]# /usr/local/cpanel/scripts/updatenameserverips root@server [~]# cat /var/cpanel/nameserverips.yaml — ns1.heliops.co: "": 0 count: 1 […]
我有一个运行相当繁忙的网站2年的这个networking服务器的设置: ec2 / Amazon Linux AMI 2014.03.2在微型实例上 lighttpd(最新) godaddy dns 今天早上,该网站被closures – DNS失败。 我能够通过IP地址和ec2公共地址访问站点,但不能访问域名。 我之前曾经有过一次或两次出现过godaddy的DNS中断,但是这个很奇怪: pingdom在一个小时之前就提到了DNS问题,但是以为我们已经起来了。 downforeveryoneorjustme.com认为我们起床了 浏览器认为我们失望了。 我想这不是太奇怪:我知道DNS问题并不总是全球性的。 这是奇怪的部分:重新启动lighttpd修复了这个问题。 我想采取行动来帮助解决这个问题,但是我对这个问题还不太清楚,我甚至不知道下一个步骤,或者search什么。 服务器如何重新启动会影响DNS问题? 更新在重新启动和问题被修复之间的时机是非常完美的,我没有预料到人们会巧合。 但实际上这个问题大概在一个小时后才回来,我又用lighttpd反弹来修复它。 我知道这听起来很疯狂!
我有我的节点服务器上的IP地址为5.189.190。*的Proxmox,并且我在ip:213.136.87。*上创build了openvz容器,并在其上安装了centos 6 问题:不能连接到容器SSH直接无法打开Apache服务器CentOS的欢迎页面当我从节点input容器不能ping任何网站或wget任何URL,但我可以连接127.0.0.1和主节点IP 我的configuration:容器/etc/resolv.conf nameserver 8.8.8.8 nameserver 8.8.4.4 容器/ etc / sysconfig / network-scripts / ifcfg-venet0 DEVICE=venet0 BOOTPROTO=static ONBOOT=yes IPADDR=213.136.87.* NETMASK=255.255.255.0 BROADCAST=213.136.87.* IPV6INIT="yes" 容器/ etc / sysconfig / network-scripts / ifcfg-venet0 DEVICE=venet0:0 ONBOOT=yes IPADDR=213.136.87.* NETMASK=255.255.255.0 节点/ etc / network / interfaces # network interface settings auto lo iface lo inet loopback auto eth0 iface eth0 […]
概述: 我的软件已经将我们的Edge / DNS服务器硬编码到它们中,从DNS服务器返回的DNS查询没有被正确屏蔽。 我需要将从BIND查询请求返回的DNS条目与请求查询的源服务器(而不是DNS服务器IP)一起屏蔽。 我之所以要屏蔽这个原因,是因为如果一个攻击者得到我的边缘服务器IP和DDoS的一个,他们将无法获得其他服务器的IP和DDoS的攻击或攻击它们。 下图说明了我试图完成的简单版本。 有两种types的用户可以连接的方式: 直接提供给他们/硬编码的边缘服务器IP 要么 直接连接到他们分配的边缘服务器,然后通过Web界面,他们select连接到哪个办公室/服务器,后端的服务器上的iptables REDIRECT会通过VPN隧道。 问题: 事件顺序: 用户2连接到他们的边缘服务器(服务器2) 边缘服务器2将其查询redirect到边缘服务器1 边缘服务器1向边缘服务器2返回边缘服务器1的embedded在DNS数据包中的IP的查询响应。 用户获得他们不应该知道的隐藏的边缘服务器IP。 核心问题: 边缘服务器的IP被embedded到DNS响应数据包中,并需要被屏蔽到用户所连接的原始边缘服务器IP上 DNS查找示例输出: User2查询google.ca DNS服务器1处理查询并返回它自己的IP的结果,而不是谷歌的IP。 查找请求(错误): nslookup google.ca Server: UnKnown Address: 2.2.2.2 Name: google.ca Address: 1.1.1.1 查找请求应该显示: nslookup google.ca Server: UnKnown Address: 2.2.2.2 Name: google.ca Address: 2.2.2.2 以下是构build的networking/系统的大型版本。 办公室可以有一个或多个服务器,取决于有多less用户。 (这只是给你一个如何扩展的想法) 我试过了: iptables的前/后路由(没有掩码) 玩BINDconfiguration(改变db.override文件返回服务器的IP)工作,但将需要一个单独的服务器每个边缘服务器,因为这个文件不能实时更新。 潜在的解决scheme理论: 第7层解决scheme可以改变DNS查询结果IP,无论是防火墙还是强制特定查询显示原始边缘服务器IP的嗅探器/注入脚本。
我们在www.lbps.co.uk域名上遇到了非常奇怪的劫持事件。 它似乎在桌面系统和移动设备上通过WIFI罚款似乎也很好。 但是,当移动设备禁用WIFI时,该站点将redirect到显示抵押信息链接的parkingcrew.net垃圾邮件链接页面。 目前这种奇怪的现象似乎局限于英国。 在与我们的开发人员一起度过4天和不眠之夜(我不是一个巨大的技术专家)之后,我们认为可能存在DNS问题或病毒? 如果有人能帮助,将非常感激!
根据RFC 2181 http://tools.ietf.org/html/rfc2181#section-10.3 10.3。 MX和NSlogging 用作NS资源logging的值或MX资源logging的一部分值的域名不能是别名。 这个规范不仅说明了这一点,而且在这两个位置上使用别名既没有希望,也没有实现可能导致这种方法的雄心。 该域名必须具有一个或多个地址logging的值。 目前这些将是Alogging,但是将来其他loggingtypes给出寻址信息可能是可以接受的。 它也可以有其他的RR,但从来没有一个CNAME RR。 为什么这个限制已经到位? 我假设由于解决了开销,但现在是否真的很昂贵? 从使用CNAME交换的MXlogging不正确的经验来看,在几年的过程中没有遇到任何问题,除了一些邮件中继找不到MX交换。
我检查了我的电子邮件标题在http://mxtoolbox.com说,这是可以的。 但我不确定。 我的服务器的FQDN是host.tariffplansindia.com,对于我的服务器的IP(23.239.30.81),反向PTRloggingparsing为tariffplansindia.com。 但是,我所有的电子邮件的服务器名称为host.tariffplansindia.com。 23.239.30.81的反向PTR需要parsing到host.tariffplansindia.com还是可以正确设置(tariffplansindia.com) 电子邮件标题 交付给:[email protected] 收件人:通过10.114.81.66与SMTP id y2csp615139ldx; 星期一,17 Nov 2014 18:25:05 -0800(PST) X收到:由10.182.215.136与SMTP id oi8mr27687082obc.18.1416277503115; 星期一,17 Nov 2014 18:25:03 -0800(PST) 返回path: 收到:host.tariffplansindia.com(tariffplansindia.com。[2600:3c00 :: f03c:91ff:fe73:2b08]) 由mx.google.com使用ESMTPS ID q10si41713064obk.50.2014.11.17.18.25.02 对于 (版本= TLSv1.1密码= ECDHE-RSA-RC4-SHA位= 128/128); 星期一,17 Nov 2014 18:25:02 -0800(PST) 已收到SPF:pass(google.com:domain of [email protected]指定2600:3c00 :: f03c:91ff:fe73:2b08作为允许的发件人)client-ip = 2600:3c00 :: f03c:91ff:fe73 :2b08; 身份validation结果:mx.google.com; spf = pass(google.com:domain of […]
我花了好几个月的时间来设置我认为对我们组织的DNS基础设施来说是一个高效和最好的实践configuration。 DNS1 – 托pipe内部区域文件的主服务器,并将外部查询转发给NS1 / NS2 DNS2 – 从属服务器到DNS1用于相同的目的 NS1 – 承载面向WAN的区域文件的DNS服务器,并执行从DNS1 / 2传递给内部客户端的recursion查询 NS2 – 奴隶NS1出于同样的目的 所有四个DNS服务器都是VMware环境中的OpenBSD 5.4虚拟机。 在正常情况下,这个设置在过去的几个月里工作得很好。 但是,我们看到,当DNS1发生故障(虚拟机或ESX服务器崩溃)时, 我们整个组织parsingIP的能力都会下降。 我实施了这个整个解决scheme,意图是如果DNS1不可用,我们的客户会迅速解决DNS2问题。 客户端通过DHCP接收两个DNS IP。 在今天这个特殊的故障中,DNS1是可以ping通的,可以通过SSH访问端口53(netstat -an),但telnet到端口53是从客户端命令行超时(可能是由于ESX主机崩溃问题)。 但是,无论DNS1出了什么问题,我都会假定从客户端查询parsing的angular度来看,DNS2不会影响DNS2(DNS2位于不同的ESX主机上)。 通过进一步的研究 ,我看到Mac OS X(99%的内部客户端)没有为IPparsing设置服务器顺序 – 这意味着它将select所需的任何提供的DNS服务器。 我也看到,在DNS服务器被认为“不合格”之前,DNSparsing超时可能需要30秒到15分钟。 在这个网站上的另一个问题似乎也面临着几年前类似的问题,但没有提供解决scheme。 问题 : 1)由于大家试图首先使用DNS1并超时(我认为现在在Mac中没有发生),我们的客户是否报告了“停机”? 他们为什么不试图查询DNS2? 2)如果他们试图查询DNS2,为什么当我的主DNS服务器不可用时(即当它是可ping通的而不能ping的时候),它对直接查询(甚至使用挖掘)作出响应? 2)有什么我需要configuration在Mac客户端,以确保他们能够成功地查询第二个DNS服务器时,另一个closures及时? (例如: 超时选项 ) DNS1 / 2样本区文件头: $TTL 10800 @ IN SOA dns1.myorganization.edu. admin.myorganization.edu. […]
我公司的ISP已经实施了我所称的DNS“灰名单”(或者他们有一个configuration问题) – 他们阻止了在最近60次尝试查询的[parsing器IP,服务器IP]对之间的入站DNS查询秒。 因此,如果第一个查询失败,那么只要上次尝试的时间less于60秒,进一步的查询就会成功。 我假设这是为了隐藏主机扫描,假设合法的parsing器将重试查询。 他们甚至可能会阻止所有UDP数据包来对付端口扫描,但是我还没有find一种方法来testing这个。 事实certificate,Cisco IronPort设备通常具有超过60秒的重试间隔。 (尝试每个辅助DNS服务器15秒,然后在重试主服务器前60秒)我的公司无法接收大多数使用IronPort设备的组织的电子邮件。 我的感觉是,至less有一种行为是错误的。 所以我的问题是: 1)DNSparsing器的build议重试间隔是多less? 你能引用一个RFC或其他来源,还是事实上的行业标准? 2)DNS或UDP是“灰名单”的标准做法吗? 参考文献? 编辑 – 一些额外的背景细节: 我公司的DNS服务器都受到影响,我们的ISP的主名称服务器也受到影响。 他们的辅助名称服务器(实际位于其networking之外)以及受影响主机上游的名称服务器不受影响。 我们还有第二个ISP,通过这个路由进入的DNS查询不会被阻止。 我们的外部防火墙上的数据包跟踪显示,我们回答所有收到的DNS查询 – 丢弃的查询不会传送到我们的networking。 我提出这个问题的主要目标是制定一份标准文件,向我们的ISP(或不太可能的思科)表明他们的行为已经被破坏,需要修复。
一些DNS主机提供了一种方法来获得Alogging,该logging提供通过在幕后parsing一些其他主机名而实时(或经常通过计划作业)确定的IP地址。 当example.com(而不是像www.example.com这样的子域名)必须指向IP地址不时变化的主机时,这种情况会被使用,而且每次更改都不需要人为干预。 结果是,parsingexample.com产生一个Alogging,其中Alogging的IP地址由名称服务器dynamic地通过查找另一个.example.com的IP地址来确定,其本身可以是CNAME。 DNS Made Easy和easyDNS将其称为“ANAMElogging”,Route 53将其称为“别名资源logging”,CloudFlare将其称为“CNAME Flattening”,DNSimple将其称为“ALIASlogging”。 不pipe他们叫什么,parsing主机名时都会返回一个标准的Alogging。 我还没有遇到一个关于如何实现这一点的出版物,虽然这是一个相当明显的概念。 我打算在我的名称服务器(即Windows Server 2012 R2中的DNSpipe理器)中复制此行为。 是否存在用于DNSpipe理器的插件? 编辑:为了避免XY的问题,我要提供完整的背景,从症状的问题开始,并通过依赖遍历,因为它们是什么解决scheme,并没有被尝试的迹象。 症状 到apex域(example.com)的SSL / TLS连接会生成证书不匹配。 这种连接不是经常尝试,而是由于诸如电子邮件客户端的自动主机检测之类的事情而越来越多。 例如,我们只是将Exchange作为面向客户端的邮件服务器,而在Android或Mac Mail中将[email protected]作为Exchange帐户添加时,自动主机发现显然会派生出“典型”主机名,如example.com, mail.example.com,exchange.example.com等,并给用户一个大吓人的警告,在example.com证书上的CN不是example.com。 我们实际上使用了exchange.example.com,它有一个匹配的证书,但是自动检测必须首先尝试example.com。 当浏览器指向https://example.com时 ,也会出现不匹配的警告,但是由于大多数人在地址栏中键入example.com而没有用https://作为前缀,在必要的时候使用redirect升级到https://www.example.com 。 由于www.example.com具有CNAME,因此可以指向没有CN不匹配的主机。 为什么在www.example.com只有一个匹配的证书而不是example.com? 具有我们的匹配证书的服务器(顺便说一下,可以轻松地使SAN条目与example.com和* .example.com相匹配,在那里没有问题)位于AWS的ELB(弹性负载平衡器)上,Amazon提醒IP地址可能随时更改。 由于dynamicIP地址,ELB只能通过其主机名来引用,这意味着一个CNAME / ANAME / Flattening /等。 这就是为什么我们能够将www.example.com指向ELB,而不是example.com。 亚马逊build议使用Route 53来克服任何限制。 如果这是不可能的,唯一的解决scheme是让example.com的Alogging点不是ELB,而是通常ELB反向代理的上游服务器。 为什么不把匹配的证书放在上游服务器上? 只有ELB本身专用于我,所以只有ELB可以安装我的通配证书。 上游服务器由主机提供商的客户共享。 我可以让托pipe公司在他们的证书上添加example.com到他们的SAN清单上,这样就不会有任何不匹配的问题,相反,我有兴趣充分利用ELB。 约束 我们固定在Win2012R2上运行内部DNS,而所有的WWW主机必须在AWS上进行恢复。