网络

网络工程师学习

解决基于openwrt的路由内网地址无法解析的问题

具体问题和资料看前面两篇博客啦。主要引起原因为DNSMASQ的“Prevent DNS-rebind attacks”的安全配置,拒绝解析内网地址包。

解决方法
方法一,直接关闭该安全配置
打开路由后台->网络->DHCP/DNS->一般设置->重绑定保护(丢弃RFC1918上行响应数据)
把这个的勾去掉,就关闭了该安全设置

方法二,按照上面的设置不关闭安全设置,直接在下面“域名白名单”中输入需要响应的域名就可以了。

注意:刚才测试了一下,把域名的A记录设置成内网地址,就会产生这样的问题。

关于上一篇DNS无法解析的一些资料

经过南浦月童鞋的帮助,找到了一些资料,基本确定问题就在这里,还在琢磨原理中,特此记录下资料。   Openwrt下DNSMASQ处理本地扁平域名解析的一些要点 http://blog.sina.com.cn/s/blog_6fd1ff790101hs5u.html   这里所谓扁平域名(plain name)指的是不包括一级和二级域名的名字,通常在直接访问同属于一个局域网内的机器时使用。 刚刷完Openwrt的路由器,如果启用了DHCP,则DNSMASQ会同时启用DNS转发,缺省的配置对于本地域名解析(局域网内部域名,只能由局域网内的DNS解析)会有些问题,做nslookup的时候返回“No answe ...

一个想不通的DNS解析问题

最近遇到有关DNS解析的一些问题。经过设置openwrt的dns,问题已经解决,但是原理还没有弄懂,特此记录。 首先介绍一下网络状况。 1、内网专线隧道连接公司总部,外网走电信出口 2、由于公司自己内网架设了DNS,而且经测试,必须是指定该DNS在本地才能够上网,其他公用dns都不行,怀疑是否在防火墙处设置了一些过滤,其中原理不太清楚。有没有同学懂得? 遇到的状况是,公司内部接小路由器,设置wan口ip地址和DNS地址都为公司要求的,但是客户计算机dhcp自动获取地址后,上不了公司内网网站,只能访问互联网,经测试发现内网链路是通的 ...

PandoraBox、dreambox等基于OpenWRT路由DHCP分配给客户端指定的DNS地址方法

后台位置
接口->LAN->DHCP服务器->高级设置->DHCP选项:

设置DHCP的附加选项,例如设定”6,192.168.2.1,192.168.2.2″表示通告不同的DNS服务器给客户端。

比如我们设定公用DNS,可以这样填写6,114.114.114.114,8.8.8.8。这样就设定了114和谷歌的公用DNS。

在设置电脑自动DHCP获取的时候,就可以直接获取到DNS的地址。

exsi单机加载panabit+ixcache+panalog(流控+缓存+日志)

由于工作原因,需要上流控缓存日志系统,找到了panabit,索性一台机器虚拟化哈。 闲置服务器 惠普G6 500G raid0 8G内存 购买网卡 Winyao WYI350T4 PCI-E X4服务器四口千兆网卡intel I350T4 460元 关于配置,服务器用了raid0,因为其实挂了就重新配置呗,带有实验的性质,所以无所谓了。生产环境还是推荐raid5或者raid1。网卡其实只用了3个口(服务器自带4个+网卡4个),另外几个只是备用的了。如果多条线路上的话,差不多正好够用。 网络状况 1、有电信、集团专线、教育网三个出口 2、流控为透明模式 3、缓存为牵引模式 存储状况 1、5 ...

CNAME值的DNS挟持问题

如果BIND的zone里有a.com和b.com两个域,BIND是a.com的权威服务器,但不是b.com的。用户设置www.a.com这个记录CNAME到www.b.com。在客户端查询www.a.com时,BIND会返回www.a.com和www.b.com的权威应答,显然www.b.com是DNS挟持。那么客户端如何应对? 这个问题我在BIND邮件列表里询问如下: If BIND is authoritative for zone a, and is not authoritative for zone b, but zone b is configured in BIND’s zone file, and x.zonea.com is CNAME’d to y.zoneb.com. When DNS client queries to this BIND for x.zonea.com, it gets t ...

谁负责NS记录的权威解析

今天有个读者来信问我,是本域的权威名字服务器,还是上一级名字服务器来权威应答域的NS记录?
这个问题正好借用腾讯DNS的不正确配置来回答。
早前一阵,我发现QQ的DNS配置有点问题,我们执行如下两个dig:

$ dig www.qq.com ns @ns1.qq.com

; <<>> DiG 9.4.2-P2.1 <<>> www.qq.com ns @ns1.qq.com
;; global options: printcmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 50734 ;; flags: qr aa rd; QUERY: 1, ANSWER: 2, AUTHORITY: 4, ADDITIONAL: 0 ;; WARNING: recursion requested but not available ;; QUESTION SECTION: ;www.qq.com. IN NS ;; ANSWER SECTION: www.qq.com. 86400 IN NS ns-tel1.qq.com. www.qq.com. 86400 IN NS ns-tel2.qq.com. ;; AUTHORITY SECTION: qq.com. 86400 IN NS ns4.qq.com. qq.com. 86400 IN NS ns1.qq.com. qq.com. 86400 IN NS ns2.qq.com. qq.com. 86400 IN NS ns3.qq.com. ;; Query time: 7 msec ;; SERVER: 219.133.62.252#53(219.133.62.252) ;; WHEN: Sat Jul 9 08:58:38 2011 ;; MSG SIZE rcvd: 144 $ dig www.qq.com ns @ns-tel1.qq.com ; <<>> DiG 9.4.2-P2.1 <<>> www.qq.com ns @ns-tel1.qq.com
;; global options: printcmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 44393 ;; flags: qr aa rd; QUERY: 1, ANSWER: 0, AUTHORITY: 1, ADDITIONAL: 0 ;; WARNING: recursion requested but not available ;; QUESTION SECTION: ;www.qq.com. IN NS ;; AUTHORITY SECTION: qq.com. 86400 IN SOA ns1.qq.com. webmaster.qq.com. 1293074536 300 600 86400 86400 ;; Query time: 7 msec ;; SERVER: 121.14.73.115#53(121.14.73.115) ;; WHEN: Sat Jul 9 08:59:07 2011 ;; MSG SIZE rcvd: 78 首先我们应知道www.qq.com是一个域,而不是一个普通域名。这里有问题的地方在于: (1)ns1.qq.com是qq.com的权威服务器,为什么它响应子域www.qq.com的NS记录的权威应答? (2)ns-tel1.qq.com是www.qq.com域的权威服务器,为什么它对NS查询没有返回任何结果? 当时我也不是很确认这个问题,于是在邮件列表上询问如下: First, why ns1.qq.com (which is the authoritative nameserver for the zone of qq.com, not www.qq.com) returns the authoritative answer for www.qq.com’s NS query? and even includes a AA flag in the response. Second, why ns-tel1.qq.com (which is the authoritative nameserver for the zone of www.qq.com) returns nothing for this zone’s NS query? 来自BIND开发组织isc.org的Mark对这2个问题作了回答。第一个问题: Because the nameserver is not RFC compliant. There are lots of broken nameservers out there. Early versions of BIND had this bug but we removed it over a decade ago. But it isn’t returning a referral when it should (the NS records are in the wrong section) and as it isn’t configured to server www.qq.com the “aa” is wrong. 很明显,qq.com的DNS并不兼容RFC,在查询www.qq.com的NS记录时,ns1.qq.com应该返回一个引用,但是它返回了www.qq.com域的权威NS记录,这是错误的。 第二个问题: Because it is misconfigured. Instead of serving www.qq.com it is configured to server qq.com which can be seen in all the negative answers it returns. Unfortunately lots of load balancers are similarly misconfigured. www.qq.com的NS服务器也配置错误,它未响应本域的NS查询是不应该的,而且其SOA记录提供了qq.com的NS服务器信息。这个NS服务器应该是F5的3DNS,它并非标准实现也就可以理解。 所以,总结如下: (1)域的NS记录的权威解析,一定是本域的权威服务器自身。它的上一级NS也许返回了权威解析(例如把glue记录放在ANSWER部分,并且设置aa flag),但这是不应该的(老的BIND8有这个问题)。客户端解析器,应该使用并缓存权威服务器返回的NS记录。 (2)权威服务器可以且应该返回域的NS记录。它如果不返回,会增加公共DNS和上一级NS的查询压力,是不好的DNS实现。 转自http://www.nsbeta.info/archives/115

IP地址已经分配给另一个适配器的解决办法汇总

IP地址已经分配给另一个适配器的解决办法汇总 “您为这个网络适配器输入的IP地址xxx.xxx.xxx.xx已经分配给另一个适配器….” 问题现象: 在网卡的TCP/IP属性中无法添加固定IP地址。 启动WinXP,通过“网上邻居”查看网络连接情况,发现“本地连接”已经正常启用,右键点击“本地连接”选择“属性”,在TCP/IP中添加ISP分配的固定IP及相关数据,当点击“确定”时却出现提示 “您为这个网络适配器输入的IP地址X.X.X.X 已经分配给另一个适配器‘Realtek RTL8139 Family PCI Fast Ethernet NIC’。‘Realtek RTL8139 Family PCI Fast Eth ...

工作组与域

工作组 WorkGroup    在一个网络内,可能有成百上千台电脑,如果这些电脑不进行分组,都列在“网上邻居”内,可想而知会有多么乱。为了解决这一问题,Windows9x以上的操作系统引用了“工作组”这个概念,将不同的电脑一般按功能分别列入不同的组中,如财务部的电脑都列入“财务部”工作组中,人事部的电脑都列入“人事部”工作组中。你要访问某个部门的资源,就在“网上邻居”里找到那个部门的工作组名,双击就可以看到那个部门的电脑了。    系统默认的工作组名称为WorkGroup,如果你重新创建的工作组,那么就对WorkGroup名称进行修改。计 ...

TTL值的含义以及域名TTL值的区别

什么是TTL? TTL是IP协议包中的一个值,指定数据报被路由器丢弃之前允许通过的网段数量。 在很多情况下数据包在一定时间内不能被传递到目的地。解决方法就是在一段时间后丢弃这个包,然后给发送者一个报文,由发送者决定是否要重发。TTL 是由发送主机设置的,以防止数据包不断在 IP 互联网络上永不终止地循环。转发 IP 数据包时,要求路由器至少将 TTL 减小1。当记数到0时,路由器决定丢弃该包,并发送一个ICMP报文给最初的发送者。 TTL值帮助我们大致的识别主机的操作系统类型。 UNIX 及类 UNIX 操作系统 ICMP 回显应答的 TTL 字段值 ...