Re: [分享] V6 提供域名查詢的技巧

看板IPv6作者ggg12345 (ggg)時間15年前 (2010/07/11 10:19)推噓0(0推 0噓 0→)

留言0則, 0人參與討論串6/10 (看更多)

※ 引述《alextwl (小鏡~)》之銘言： : ※ 引述《ggg12345 (ggg)》之銘言： : : 假如教育部官員設定這台 DNS 當 server, 使用 browser 想看國立大學網站, : 在本部裡能查到就沒問題，外出的使用者要自己想辦法。 : 而且我不認為常人會在移動裝置把 DNS 設定寫死，通常當地 ISP 也會提供 DNS。 : : MOECC 主任不挨罵也難 ! : 我來問問看趙主任有沒有挨罵過。 :P MOEMOON 是 TWNIC 的機器. MOEVAX 則是老制的 DNS server, 上下層間有備援, 兼各大學 DNS 的 secondary server, 以現在這種隔離艙(自私自利)的做法下, 因為此項傳統仍在, MOE 才能透過 MOEVAX 找得到各大學的網頁. 若 MOE 都設 MOEMOON 為 DNS server 看 MOECC主任會不會挨罵?! : : 這台機器是由一個很有經費且靠這個在吃飯的單位所經營的, 這種 : : 管理心態是跟這個單位很不匹配的. : 對象不予置評。但如果由我來管理，我會認為 recursive 不是必要的服務， : 而且世界各地的網路幾乎都有自己的 DNS，當地使用者去問當地 resolver 即可， : 我不會為了極少數人的特殊需求砸錢，因為還有許多比這更值得投注經費的事物。現在台灣的 DNS server 因隔離艙的自私自利, 都設定限本地 IP-address 查詢本地的網址, 若 DNS 不回答外部的域名查詢, 就需連到外部域名的原管轄 name server 查詢, 若原管轄server 只回答當地的 user 詢問, 要如何個問出答案? un-ahthorized answer 就是代理回覆, 回的就是非管轄區外的域名與網址對應. 代理回覆安全性來自於由網址自 root 反查串的整串信任核驗, 這假設是基於認知的 root server 是可靠可信任的. recusive 回覆的需要是因為 IE browser 只就 URL 域名向 resolver 查詢, resolver 不會自動 iterative 查詢. 老 TANET 時代建制的 V4 dns server 都是支援代理查詢, 某些學校自私自利的設定不協助外校 resolver 及外域名查詢, 眾所周知這是配合 hinet dns 的開放而來. 如果不回答校外 resolver 查詢, 也不協助查詢校外域名. 大家都這樣做, 那是要 user 如何個查法, 才能查得到校外網站? : : 那麼 cisco 有義務做這種事嗎 ? : 你大可舉出一堆例子，這世上永遠會有人跳出來做慈善事業。 : 你會問 Cisco 可以、為什麼 MOECC 不行，我相信以我們國力一定可以， : 但承上段所述，我認為這理由仍不夠充分到會想投入心力。 : : 1.全世界的 DNS 都會向 ROOT server 從上到下查詢, 下游三級以上的 DNS : : server 會有這樣的負擔嗎? 兩者的負擔能相比擬? : root servers 的規模及其嚴謹的營運能力也非尋常單位所能比擬的。 : 而且超過半數的 roots 在世界各地都有 anycast servers， : 這等架構是不能與一般 DNS servers 相提並論的。替遠地 DNS server mirror 也兼代理回答, 就是 anycast 的芻型. 早期的 TANET 也是這樣做, 只是現在的 anycast 是透過 router 做全自動全透通的代理回答. 沒有甚麼不能相提並論的, 只是 root server 老美不隨便讓別地方自動 mirror 罷了! : : 2.如果 root dns server 代替做 recursive 查詢, 那全世界可能有很多知 : : 情的 NIC 都會反對. root server 有特異功能, 能逕自對某個域名直接回 : : 答 A 記錄. 一般的 DNS server 是辦不到的. : 有特異功能又怎樣？我看不出這跟 recursive 有何關連。別扯遠了。你看不出, 不代表沒關連, 是吧 ! root 的架構與軟體設計, 先天上就是能設定任何 A 記錄逕自回答, 所以知情的都只要 root server 回答 ns server 就好, 不要回 A 記錄. : 我還是看不出來有何理由要求這世上的 DNS servers 都給代查。 : 何況是誰在逼迫 client 去連非法獨立的 DNS server？要求世界上的 dns server "都" 給代查? 對 root dns server 就沒必要, 也不該做! 可沒人要 root 代查 ! ================= DNS server 與 DNS server 上下間是個 trust and authorized relation, 彼此有某種程度能驗明身份, 她是 server 也是 client 還認知彼此身份. 若是正規的 DNS server 她代理查來的都會是可信任, 是對的. 1 若 DNS 彼此間不詢問代查, client 端就要能向管轄該域名之外地 DNS 能夠查詢. 但只有 resolver 的 client 則無法像 DNS server 能彼此認知合法 DNS . 2 若 Client 端被外地 DNS 禁止不能向外地 DNS 查詢, 那麼本地的 DNS server 就要協助代理向外地 DNS 查詢. 1 與 2 是不可以同時發生的, 現在 V4 可以, 是有不限查詢者與被查詢對象的 DNS server 存在. 如果只限本地 client 只能查詢本地域名, 那不就是孤島一個 ? : ISP 提供網路服務通常也會建置 DNS resolver，使用者應該去問自家的 resolver。 : 看你扯了那麼多，想必擁有相當的技術力吧？ : 如果沒有可以問的 resolver，除了要求 ISP，也可以自己架一個啊！ : 一步一步問，總會問到 authoratative server 吧？ resolver 是DNS 的 client端, 每台上網(internet)機器都有, 不用自己架啦! 如禁止外地 client 查詢 DNS server, 那還能上網去那裡問得到喔 ? 是該移動到那裡, 再租條當地的 ISP 線路嗎? 還是有 ISP 的 V6 dns 是正確, 肯開放代查的, 這不用只關心自利者煩惱. 只是沒有多部 DNS 開放查詢就無從查驗記錄是否正確, 是否國外也查得到. : : 要推 IPV6 是很難不用名稱查詢後, 直接來往的. V6 DNS server 在初創期 : : 都不肯替其他單位代理查詢, 這個手動找原 DNS server 查詢, 如果再碰到 : : 個不替外單位來源 ip-address 提供查詢使用的管理者, 那這種用法會有可 : : 能, 會好用嗎 ? : 若就初期推廣的理由來看可以討論，不過我認為各地 ISP 有義務提供 IPv6 resolver， : 你就別指望他人提供免費的 resolver、不如去要求自己的 ISP 吧！有這種網管的學校, 使用者一定是哭笑不得 ! ※ 編輯: ggg12345 來自: 140.115.4.12 (07/11 15:40)