2010-08-12 Thu

Unbound の dnssec 対応 はてぶ

時期をはずしてしまってるけど,Unbound の dnssec 対応をしてみた.

- Unbound: Howto enable DNSSEC
  http://www.unbound.net/documentation/howto_anchor.html
に書かれてる通りにやっただけ.

# cd /etc/unbound
# echo ". IN DS 19036 8 2 49AAC11D7B6F6446702E54A1607371607A1A41855200FD2CE1CDDE32F24E8FB5" > root.key
# chown unbound:unbound root.key


root.key は Unbound が更新できるように読み書きができるようにしておく.

/etc/unbound/unbound.conf で root.key を読むように server セクションに設定.

# root key file, automatically updated
auto-trust-anchor-file: "/etc/unbound/root.key"


確認は以下のような感じで,AD (Authenticated Data) フラグがあればいいらしい.

$ dig +dnssec iis.se. @localhost | grep flags
;; flags: qr rd ra ad; QUERY: 1, ANSWER: 2, AUTHORITY: 4, ADDITIONAL: 1
; EDNS: version: 0, flags: do; udp: 4096


ここ(ftnk.jp)は設定してないので,AD フラグがない.

$ dig +dnssec ftnk.jp @localhost | grep flags
;; flags: qr rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 2, ADDITIONAL: 1
; EDNS: version: 0, flags: do; udp: 4096


- Unbound: Howto enable DNSSEC
  http://www.unbound.net/documentation/howto_anchor.html

- FreeNAS に Unbound をインストール [2010-05-11-1]
- unbound を使ってみる [2008-12-15-1]

2009-08-29 Sat

3分間DNS基礎講座 はてぶ

3分間DNS基礎講座 / 網野衛二

入門 Redmine を買いに行ったときに,
買っていなかったことを思い出したので購入.

2009-07-27 Mon

3分間DNS基礎講座 はてぶ

3分間DNS基礎講座 / 網野衛二

気付いていなかったけど,[2009-06-12] に発売されてたみたい.

そのうち買う.

2009-07-14 Tue

Unbound 1.3.2 リリース はてぶ

変更点は Windows 版が起動できない問題の修正ということなので,
アップデートはせず,スルー.

- 日本Unboundユーザ会 » Unbound 1.3.2リリース
  http://unbound.jp/?p=373

2009-07-12 Sun

Unbound 1.3.1 にアップデート はてぶ

Unbound 1.3.1 にアップデート

bug fix がメインで新機能は以下の 2 点.

- unbound_munin_ in contrib uses ps to show total memory rss if sbrk hack does not work.
- Added build-unbound-localzone-from-hosts.pl to contrib, from Dennis DeDonatis. It converts /etc/hosts into config statements.

build-unbound-localzone-from-hosts.pl は /etc/hosts から
以下のような設定を生成してくれる perl スクリプト.

server:

local-zone: "example.com" transparent

local-data-ptr: "127.0.0.1 localhost.localdomain"
local-data: "localhost.localdomain A 127.0.0.1"
local-data: "localhost A 127.0.0.1"

local-data-ptr: "::1 localhost6.localdomain6"
local-data: "localhost6.localdomain6 AAAA ::1"
local-data: "localhost6 AAAA ::1"




munin 用 plugin の使い方

Plugin の準備
contrib/unbound_munin_ を /etc/munin/plugins/unbound としてコピー.
さらに以下のように ln しておく.

ln -s unbound unbound_munin_by_class
ln -s unbound unbound_munin_by_flags
ln -s unbound unbound_munin_by_opcode
ln -s unbound unbound_munin_by_rcode
ln -s unbound unbound_munin_by_type
ln -s unbound unbound_munin_histogram
ln -s unbound unbound_munin_hits
ln -s unbound unbound_munin_memory
ln -s unbound unbound_munin_queue


/etc/munin/plugin-conf.d/munin-node に以下を追加.

[unbound*]
user root
env.statefile /var/lib/munin/plugin-state/unbound-state
env.unbound_conf /etc/unbound.conf
env.unbound_control /usr/sbin/unbound-control
env.spoof_warn 1000
env.spoof_crit 100000


で,munin-node を restart.

unbound の準備
まず remote control 用の setup

# unbound-control-setup


/etc/unbound.conf の編集

extended-statistics: yes


control-enable: yes


- 日本Unboundユーザ会 » Unbound 1.3.1リリース
  http://unbound.jp/?p=370

2009-07-01 Wed

MyDNS を試してみた はてぶ

DNS ラウンドロビンを使う必要があるので,
MyDNS を使ってみました.

- MyDNS: Home
  http://mydns.bboy.net/

MyDNS の特徴は
- レコードは DB に保存
- 重み付けしたラウンドロビンが可能
など.

[ Read More... ]

2009-01-15 Thu

Unbound 1.2.0 リリース はてぶ

ということなのでアップデート.

- Unbound
  http://www.unbound.net/download.html

で配布されているのは tar 玉なので,
日本Unboundユーザ会のパッケージをもとに
パッケージを作ってインストール.

via: 日本Unboundユーザ会 » Unbound 1.2.0リリース
     http://unbound.jp/?p=300

- unbound を使ってみる [2008-12-15-1]

2008-12-15 Mon

unbound を使ってみる はてぶ

新しく設定中のサーバに DNS キャッシュサーバとして unbound を使ってみることにしました.

日本Unboundユーザ会で rpm が用意されているので,それを利用.
x86_64 な rpm はなかったので,srpm からビルドしてインストール.

設定は,resolv.conf で自分を参照するように変更.

nameserver 127.0.01


/etc/unbound.conf の方は
- 応答するインターフェイスの指定
- acl の設定
- local-data の設定
- ISP の DNS へのフォワード設定
くらい.

server:
       interface: 127.0.0.1
       interface: 192.168.1.1
       access-control: 192.168.1.0/24 allow
       local-data: "www.ftnk.jp. A 192.168.1.10"
forward-zone:
       name: "."
       forward-addr: 10.1.0.1  # 実際は ISP の DNS
       forward-addr: 10.1.0.2


/etc/unbound.conf を編集したら,

unbound-checkconf


で設定内容の確認.

- 日本Unboundユーザ会
  http://unbound.jp/
- Unbound,知ってる? この先10年を見据えたDNS:第4回 Unboundサーバ運用Tips|gihyo.jp … 技術評論社
  http://gihyo.jp/admin/feature/01/unbound/0004
- Unbound,知ってる? この先10年を見据えたDNS:第3回 Unboundの導入(乗り換え編)|gihyo.jp … 技術評論社
  http://gihyo.jp/admin/feature/01/unbound/0003

Referrer (Inside):
[2010-08-12-1] Unbound の dnssec 対応
[2010-05-11-1] FreeNAS に Unbound をインストール
[2009-01-15-1] Unbound 1.2.0 リリース

2008-07-18 Fri

BIND での "_" を含むホストの扱い はてぶ

CVE-2008-1447 の件で会社の BIND をアップデートしてまわっていたところ,
/var/log/message に

foo_bar.example.com: bad owner name (check-names)


というようなエラーがでて,その zone の名前解決ができなくなった.

で,ググったところ

- エイジの気まぐれ日記: BINDで名前解決ができない
  http://blog.age-net.jp/2007/03/bind.html

によると,

どうやらBIND9.3.1から、「check-names」がデフォルトでfailと設定されており、アンダースコア(_)をはじいてしまっていたようだ。
ということなので,named.conf の該当する zone に

check-names ignore;


を追記し,名前解決ができることを確認.

ホスト名に"_"が使えない根拠は RFC952.

2008-04-26 Sat

逆引きネームサーバの適切な設定についてのお願い はてぶ

http://www.nic.ad.jp/ja/topics/2008/20080422-03.html

[2008-07-01] から lame delegation 状態にある逆引きネームサーバの
通知と委任停止を実施するそうです.

通知と委任停止の条件は以下の通り.

15日間連続してlame delegationの状態にあることが確認された場合には、 ネットワーク情報中で技術連絡担当者として登録されているご担当者様に電子メールでご連絡いたします。 また、45日間連続してlame delegationの状態にあることが確認された場合には、 当該逆引きゾーンの委任停止・JPNIC WHOIS等への表示を実施いたします。

詳細については
- 逆引きネームサーバーの適切な設定について
  http://www.nic.ad.jp/ja/dns/lame/announce.html
を参照.

2006-08-23 Wed

Value-Domain でのダイナミック DNS はてぶ

Host に "*" を指定すると反映されないっぽい.

個別に Host を指定した場合はすぐに反映される.

あとで確認しなおす.

2006-03-01 Wed

Two-in-one DNS server with BIND9 はてぶ

http://howtoforge.com/two_in_one_dns_bind9_views

BIND9 の新機能 view を使って,内部・外部ネットワークに異なる情報を提供する方法.

2004-02-13 Fri

ヒントファイル更新 はてぶ

b.root-servers.net の更新にともない,ヒントファイルを更新.

ftp://ftp.internic.net/domain/named.cache を DL して,
/var/named/root.hint とし,bind を再起動.

- b.root-servers.net の IP アドレス変更について (IANA アナウンス)
  http://jprs.jp/tech/notice/2004-01-30-b.root-servers.net-IANA.html

2004-02-03 Tue

「B」ルートサーバの IP アドレスが変更 はてぶ

http://www.itmedia.co.jp/enterprise/0401/30/epn22.html

b.root-servers.net の旧アドレスは「 128.9.0.107 」だったが,
新たに「 192.228.79.201 」に変更となった.

2003-11-04 Tue

ルートサーバへの問い合わせの多くが無駄なもの? はてぶ

http://www.atmarkit.co.jp/fnetwork/dnstips/026.html

2003-08-03 Sun

bind で DNS キャッシュ はてぶ

- 実用 BIND 9で作るDNSサーバ
  http://www.atmarkit.co.jp/flinux/index/indexfiles/bind9index.html
- キャッシュ/逆引きDNSの構築と運用
  http://www.atmarkit.co.jp/flinux/rensai/bind904/bind904a.html

あたりを参考に.

ChangeLog 最新ページ