2 フルサービスリゾルバ スタブリゾルバ からリクエストを 受け取る フルサービスリゾルバは権威ネームサーバに 対して反復復的に 問い合わせを 行行う ルートゾーンの権威サーバ スタブリゾルバ の IP アドレスを教えて? の IP アドレ

Similar documents
2 注意事項 教材として会場を提供していただいている ConoHa さんのドメイン名とその権威ネームサーバを使 用しています conoha.jp ns1.gmointernet.jp

e164.arpa DNSSEC Version JPRS JPRS e164.arpa DNSSEC DNSSEC DNS DNSSEC (DNSSEC ) DNSSEC DNSSEC DNS ( ) % # (root)

日本語ドメイン名運用ガイド

上位 DNS の設定 YaST > Network Device > Network Card > HostName and DNS Server を開き DNS サーバとなる自分自身と上位となる ( プロバイダの指定 あるいは社内のマスター )DNS サーバを確認します この結果は /etc/re


目次 1 本マニュアルについて 設定手順 (BIND 9 利用 ) 設定例の環境 設定例のファイル構成 named.conf の設定例 逆引きゾーンの設定例 動作確認 ( ゾーン転送 )

学生実験

PowerPoint プレゼンテーション

DNSを「きちんと」設定しよう

030717kuri.txt - メモ帳

スライド 1

あなたのDNS運用は 来るべきDNSSEC時代に耐えられますか

社外向けテンプレート(プロジェクタ用)

PowerPoint プレゼンテーション

初心者のためのDNSの設定とよくあるトラブル事例

DNSハンズオンDNS運用のいろは

Microsoft PowerPoint - private-dnssec

学生実験 3 日目 DNS IP ネットワークアーキテクチャ 江崎研究室

DNSSEC機能確認手順書v1.2

ict4.key

JAIPA-DNSSEC

DNS (BIND, djbdns) JPNIC・JPCERT/CC Security Seminar 2005

DNS Summer Days 2014 チュートリアル DNS 再 入 門 株式会社ハートビーツ滝澤隆史

Root KSK更新に対応する方法

DNSOPS.JP BoF nginxを利 した DNS over TLS 対応フルリゾルバの作り ( 株 ) ハートビーツ滝澤隆史

DNS Summer Days 2013 チュートリアル DNS 再 入 門 株式会社ハートビーツ滝澤隆史

初心者のためのDNSの設定とよくあるトラブル事例

Solaris フリーソフトウェア導入手順書 -BIND によるDNS サーバの構築-

DNS DNS 2002/12/19 Internet Week 2002/DNS DAY 2

Microsoft PowerPoint - IW2011-D1_simamura [互換モード]

DNS DNS(Domain Name System) named(bind), tinydns(djbdns), MicrosoftDNS(Windows), etc 3 2 (1) ( ) IP IP DNS 4

2

DNSSEC技術実験報告書

untitled

065763J ping ping pw ping % ping -c 5 pw193.cs.ie.u-ryukyu.ac.jp PING pw193.cs.ie.u-ryukyu.ac.jp ( ): 56 data bytes 64 bytes from

DNSとメール

Unboundの紹介

のコピー

<4D F736F F D20444E D C F834B >

スライド 1

ENOG18-unbound-takata-2.pptx

BIND9.9から9.11へ移行のポイント(権威DNSサーバー編)

rndc BIND DNS 設定 仕組み

DNSのセキュリティとDNSに関する技術

janog12enum _fujiwara.PDF

OpenAM 9.5 インストールガイド オープンソース ソリューション テクノロジ ( 株 ) 更新日 : 2013 年 7 月 19 日 リビジョン : 1.8

提案書タイトルサブタイトルなし(32ポイント)

クラウドDNS へのネームサーバー切替手順

夏の DNS 祭り Unbound/NSD ハンズオン 株式会社ハートビーツ滝澤隆史

poisoning_ipsj

enog-ryuichi

スライド 1

MUA (Mail User Agent) MTA (Mail Transfer Agent) DNS (Domain Name System) DNS MUA MTA MTA MUA MB mailbox MB

DNSチュートリアル(仮)

目次 1. はじめに 本文書の目的 前提条件 略語 事前準備 ホスト名の名前解決 Linux 版パッケージ システム要件 ソフトウェア要件 パッケージ構成

rndc BIND

演習に必要な

スライド 1

Helix Swarm2018.1アップグレード手順

別紙 : 検証環境の構築手順 ( 章 ) 1. サーバ設定 1.1 IP アドレス設定 サーバは以下の 6 台を用いる pgpool-ii サーバ 2 台 DB サーバ 3 台 上位サーバ 1 台 OS は全サーバで CentOS 6.4 x86_64 とする pgpool-ii のサー

サーバーで安全な設定とは 正しい情報を正しく提供する 不確かな情報を提供したりしない ( 安全というより正しい設定 ) サービス経由で侵入されない 万が一侵入されても被害を最小限にする 2

Microsoft PowerPoint Windows-DNS.pptx

Microsoft PowerPoint JPRS-DNSSEC-Act-03.pptx

平成22年度「技報」原稿の執筆について

DNSチュートリアル(仮)

DNS(BIND9) BIND9.x のエラーをまとめたものです エラーと原因 ジオシティーズ容量大幅アップ セキュリティならお任せ! マイクロソフト 少ない初期導入コストで クラウド環境を構築! Ads by Yahoo!JAPAN 主にゾーン転送に関するエラー

DNSSEC性能確認手順書v1.2

Helix Swarm2018.1インストール手順

目次 1 BIND 9 (UNIX) を利用する 設定例の環境 インストール 設定例のファイル構成 named.conf の設定例 ルート DNS サーバの設定 ループバックアドレス用ゾーンの

−uDNSƒzƒXƒeƒB?ƒOƒT?ƒrƒX−v??ƒU?ƒ}ƒj?ƒA?_

自 己 紹 介 l Nominum 社 の 商 用 DNS,DHCPソフトウェアの 技 術 を 担 当 しています Nominumの 回 し 者 ではありません l l プライベート DNS(Nominum 除 く) unbound, PowerDNS, BIND10とたわむれています DNS 以

PowerPoint プレゼンテーション

Contents CIDR IPv6 Wildcard MX DNS

Microsoft Word - SE第15回.doc

DNS と blocking anti-blocking 要素技術 ( みえてしまう要素技術 ) 藤原和典 株式会社日本レジストリサービス (JPRS) Internet Week 2018, DNS Day 2018 年 11 月 29 日 Copyrigh

初心者のためのDNSの設定とよくあるトラブル事例

DNSSEC の仕組みと現状 平成 22 年 11 月 DNSSEC ジャパン

PowerPoint プレゼンテーション

Nagios XI - SNMPでのLinux監視

LPI-Japan セミナー資料 Sugimatsu Hidetoshi 10 Sep LPIC レベル 2 技術解説無料セミナー 今回のセミナーでは 次の 4 つの項目をテーマにして解説します 1. 出題範囲の把握 2. 受験対策 3. DNS サーバを構成する 4. NFS サーバを

opetechwg-tools

DNSの負荷分散とキャッシュの有効性に関する予備的検討

スマート署名(Smart signing) BIND 9.7での新機能

Confidential

BIND 9 BIND 9 IPv6 BIND 9 view lwres

Microsoft PowerPoint - s03-水越賢治-IW2011-S3DKIM-3 [互換モード]

ISP技術者SWG報告書 およびその後の検討状況

目次 1. サービス概要 提供機能... 2 DNS ゾーン... 2 正引き 逆引き... 2 レコードタイプ... 2 初期ゾーン... 3 コントロールパネル操作メニュー一覧 コントロールパネル ユーザ認証 ドメイン所有者確認

BIGLOBE クラウドホスティングネットワーク設定パッチインストール手順 (CentOS6) 1.1 版 (2017 年 12 月 11 日 ) ビッグローブ株式会社

HomeGatewayにまつわるDNS話あれこれ

目次 1. 改版履歴 概要 WEB 版薬剤在庫管理システムのインストール 事前準備 インストール アプリケーションのセットアップ 日レセと連携するための有効化設定 WEB

ソフトウェアエンジニアリング - 機能 #54

XEN 仮想マシンの移植 Islandcenter.jp 2009/04/14 既に作成済みの XEN 仮想マシンを移植する方法を説明します 仮想マシンイメージは 通常 /var/lib/xen/image/myvmachine に作成されていますが このファイルを tar 圧縮してリムーバブルメデ

Oracle Solaris DNSサーバ構築手順書 -BINDの利用-

<4D F736F F D B835E835A E815B8E968BC68ED2838A C B2E646F6378>

DNSブロッキンガイドライン

目次 1. 改版履歴 概要 WEB 版薬剤在庫管理システムのインストール 事前準備 インストール アプリケーションのセットアップ WEB 版薬剤在庫管理システムの初期設定

I B :

Microsoft PowerPoint - BIND9新機能.ppt

目次 1. サービス概要 提供機能... 2 DNS ゾーン... 2 正引き 逆引き... 2 権威ネームサーバへの反映... 2 レコードタイプ... 2 初期ゾーン... 3 GUI 操作メニュー一覧 エンドユーザ GUI ユーザ認証... 4

Transcription:

夏の DNS 祭り 2014 ハンズオン - Unbound 編 株式会社ハートビーツ滝澤隆史

2 フルサービスリゾルバ スタブリゾルバ からリクエストを 受け取る フルサービスリゾルバは権威ネームサーバに 対して反復復的に 問い合わせを 行行う ルートゾーンの権威サーバ スタブリゾルバ www.example.jp の IP アドレスを教えて? www.example.jp の IP アドレスは 192.0.2.4 フルサービスリゾルバ ( キャッシュネームサーバ ) 権威ネームサーバ DNS Summer Days 2014 - DNS 再 入 門 jp ドメインのゾーンの 権威サーバ example.jp ドメインのゾーンの 権威サーバ 2014/06/26

3

4 Unbound のインストール Fedora EPEL で提供されている RPM パッケージをインストールする ConoHa の VPS では標準で EPEL のリポジトリが登録されている EPEL リポジトリが 入っていない場合は次のページを参照 https://fedoraproject.org/wiki/epel yum コマンドでインストールを 行行う $ sudo yum --enablerepo=epel install unbound

5 unbound- control の準備 下記作業は rc スクリプト内で実 行行されるため不不要 unbound- control 用の公開鍵証明書とプライベート鍵のペアの作成 $ cd /etc/unbound $ sudo unbound-control-setup $ sudo chgrp unbound unbound_*.{key,pem} $ ls -l unbound_*.{key,pem} -rw-r----- 1 root unbound 1277 7 月 3 17:36 2014 unbound_control.key -rw-r----- 1 root unbound 802 7 月 3 17:36 2014 unbound_control.pem -rw-r----- 1 root unbound 1281 7 月 3 17:36 2014 unbound_server.key -rw-r----- 1 root unbound 790 7 月 3 17:36 2014 unbound_server.pem

6 Unbound の設定 設定ファイルのディレクトリに移動 $ cd /etc/unbound インストール時の設定をバックアップ $ sudo cp -p unbound.conf{,.orig} 設定の確認 $ sed '/^.*#/ d;/^$/ d' unbound.conf デフォルトのままで利利 用可能 必要に応じて interface, access- control を設定 デフォルト値は 小規模向けなので 大規模向け 用途の場合にはチューニングも 行行う

7 Unbound の設定 EPEL の unbound パッケージでは余計な設定が 入っているので無効化 prefetch の記述をコメントアウト #prefetch: yes dlv- anchor- file の記述をコメントアウト #dlv-anchor-file: ~

8 Unbound の設定 デフォルトはローカルホストにバインド ホスト 自 身のリゾルバとして使 用する場合はデフォルトのままにする server: デフォルトはローカルホストのみ許可 verbosity: 1 他のホストにサービスを提供する倍は interface: 0.0.0.0 許可するネットワークを指定する interface: ::0 access-control: 192.0.2.1/24 allow access-control: 2001:db8:dead:beef::1 allow rrset-roundrobin: yes minimal-responses: yes edns-buffer-size: 1280 remote-control: control-enable: yes unbound- control を使うため有効にする RFC 6891 Extension Mechanisms for DNS (EDNS(0))) "Choosing between 1280 and 1410 bytes for IP (v4 or v6) over Ethernet would be reasonable. "

9 Unbound の設定 ( チューニング ) Unbound: Howto Optimise W.C.A. Wijngaards http://www.unbound.net/documentation/ howto_ optimise.html http://unbound.jp/unbound/howto_ optimise/ DNS キャッシュサーバチューニングの勘所 東 大亮亮さん http://www.slideshare.net/hdais/dns- 32071366 項 目 num- threads msg- cache- slabs, rrset- cache- slabs, infra- cache- slabs, key- cache- slabs rrset- cache- size, msg- cache- size outgoing- range, num- queries- per- thread so- rcvbuf

10 Unbound の起動 $ sudo service unbound start Starting unbound: Jul 03 17:49:46 unbound[3491:0] warning: increased limit(open files) from 1024 to 8290 [ OK ]

11 動作確認 $ dig @127.0.0.1. SOA +multi 中略略 ;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 8283 ;; flags: qr rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 0, ADDITIONAL: 0 ;; QUESTION SECTION: ;. IN SOA ;; ANSWER SECTION:. 86400 IN SOA a.root-servers.net. nstld.verisign-grs.com. ( 2014070300 ; serial 1800 ; refresh (30 minutes) 900 ; retry (15 minutes) 604800 ; expire (1 week) 86400 ; minimum (1 day) ) ;; Query time: 517 msec ;; SERVER: 127.0.0.1#53(127.0.0.1) ;; WHEN: Thu Jul 3 18:50:35 2014 ;; MSG SIZE rcvd: 92

12 動作確認 (DNSSEC の検証もできる ) $ dig @127.0.0.1. SOA +multi +dnssec 中略略 ;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 24503 ;; flags: qr rd ra ad; QUERY: 1, ANSWER: 2, AUTHORITY: 0, ADDITIONAL: 1 中略略 ;; ANSWER SECTION:. 86400 IN SOA a.root-servers.net. nstld.verisign-grs.com. ( 2014070300 ; serial 1800 ; refresh (30 minutes) 900 ; retry (15 minutes) 604800 ; expire (1 week) 86400 ; minimum (1 day) ). 86400 IN RRSIG SOA 8 0 86400 20140710000000 ( 20140702230000 8230. cb+fahc6qqfblwe2kse8uqjjlmjhqvjdl9zl+p1h5umf rtnwqrw2s/ohg/tyyrgl47qv3aammc3drqx/ipxmegpg rgse2lpelyhq3bbbg5/svghjijj8fip44tcyx5g0ixys /xka2w1j85pcojn5he6ykof8f44ezqk3hocaqnq= ) 以下略略

13 resolv.conf の修正 /etc/resolv.conf 以下の内容を記述 nameserver 127.0.0.1 ConoHa VPS は DHCP を使 用している再起動時にも反映させるために以下の作業も 行行う /etc/sysconfig/network- scripts/ifcfg- eth0 以下の内容を追加 PEERDNS=yes DNS1=127.0.0.1 DNS2=127.0.0.1

14 動作確認 $ dig. SOA +multi 中略略 ;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 14900 ;; flags: qr rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 0, ADDITIONAL: 0 ;; QUESTION SECTION: ;. IN SOA ;; ANSWER SECTION:. 86400 IN SOA a.root-servers.net. nstld.verisign-grs.com. ( 2014070300 ; serial 1800 ; refresh (30 minutes) 900 ; retry (15 minutes) 604800 ; expire (1 week) 86400 ; minimum (1 day) ) ;; Query time: 398 msec ;; SERVER: 127.0.0.1#53(127.0.0.1) ;; WHEN: Thu Jul 3 18:52:58 2014 ;; MSG SIZE rcvd: 92

15 OS 起動時に unbound 起動 $ sudo chkconfig unbound on $ sudo chkconfig --list unbound unbound 0:off 1:off 2:on 3:on 4:on 5:on 6:off

16

17 基本操作 停 止 $ sudo unbound-control stop ok 起動 $ sudo unbound-control start Jul 03 19:45:04 unbound[6797:0] warning: increased limit(open files) from 1024 to 8290 リロード $ sudo unbound-control reload ok

18 キャッシュの操作 キャッシュのダンプ $ sudo unbound-control dump_cache 指定したゾーンのキャッシュのクリア $ sudo unbound-control flush_zone ゾーン 全ゾーンのキャッシュのクリア $ sudo unbound-control flush_zone.

19

2024 © docsplayer.net プライバシー | 利用規約 | フィードバック