请教关于新建DNS缓存服务器遇到的问题？

網中人

如果客戶用你的 cache dns 來解釋, 過外的不給 recursive , 那是不影響的.
如果排除了你本身 server 的問題.
那最後, 只能怪你身在大陸了...  ^_^

zbgdma

遇到同样的问题，感觉很郁闷

zjlcy

授权DNS本来就不递归的。

bingosek

原帖由 zjlcy 于 2006-7-9 22:55 发表
授权DNS本来就不递归的。

是啊，服务器间查询是non-recursive，这个是为了巩固dns的安全，以及减轻dns负担

pony_shen

但是授权服务器肯定是要接受并响应其他DNS的请求呀，对于用其他dns的用户应该算是递归请求了把。

網中人

錯了, server to server 的 query , 不算 recursive .

abel

這問題 netman 兄巳經講得很清楚了,這不屬於理論或實作的問題,
問題在於 GCD 對出口進口的 DNS 做了手腳,這個問題在一兩年前就巳經被證明了

# 這個 DNS @202.101.103.55 在大陸福建,跟它查 "台灣的一個新聞站台",沒有返回結果

1. 
   
2. [root@eai1 root]# dig @202.101.103.55 www.chinatimes.com
   
3. 
   
4. ; <<>> DiG 9.3.0 <<>> @202.101.103.55 www.chinatimes.com
   
5. ;; global options:  printcmd
   
6. ;; Got answer:
   
7. ;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 64934
   
8. ;; flags: qr rd; QUERY: 1, ANSWER: 0, AUTHORITY: 2, ADDITIONAL: 2
   
9. 
   
10. ;; QUESTION SECTION:
    
11. ;www.chinatimes.com.            IN      A
    
12. 
    
13. ;; AUTHORITY SECTION:
    
14. chinatimes.com.         139669  IN      NS      ct-dns2.chinatimes.com.
    
15. chinatimes.com.         139669  IN      NS      ct-dns1.chinatimes.com.
    
16. 
    
17. ;; ADDITIONAL SECTION:
    
18. ct-dns1.chinatimes.com. 139669  IN      A       210.200.239.19
    
19. ct-dns2.chinatimes.com. 148966  IN      A       211.72.253.9
    
20. 
    
21. ;; Query time: 232 msec
    
22. ;; SERVER: 202.101.103.55#53(202.101.103.55)
    
23. ;; WHEN: Mon Jul 10 15:46:08 2006
    
24. ;; MSG SIZE  rcvd: 112
    

复制代码

再查另一大報 udn.com, 還是裝白吃

1. 
   
2. [root@eai1 root]# dig @202.101.103.55 udn.com
   
3. 
   
4. ; <<>> DiG 9.3.0 <<>> @202.101.103.55 udn.com
   
5. ;; global options:  printcmd
   
6. ;; Got answer:
   
7. ;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 15259
   
8. ;; flags: qr rd; QUERY: 1, ANSWER: 8, AUTHORITY: 2, ADDITIONAL: 2
   
9. 
   
10. ;; QUESTION SECTION:
    
11. ;udn.com.                       IN      A
    
12. 
    
13. ;; ANSWER SECTION:
    
14. udn.com.                711     IN      A       210.244.31.147
    
15. udn.com.                711     IN      A       210.244.31.151
    
16. udn.com.                711     IN      A       210.244.31.152
    
17. udn.com.                711     IN      A       210.244.31.154
    
18. udn.com.                711     IN      A       210.243.166.43
    
19. udn.com.                711     IN      A       210.243.166.44
    
20. udn.com.                711     IN      A       210.243.166.45
    
21. udn.com.                711     IN      A       210.244.31.140
    
22. 
    
23. ;; AUTHORITY SECTION:
    
24. udn.com.                313     IN      NS      dns1.udn.com.
    
25. udn.com.                313     IN      NS      dns2.udn.com.
    
26. 
    
27. ;; ADDITIONAL SECTION:
    
28. dns1.udn.com.           149315  IN      A       210.243.166.37
    
29. dns2.udn.com.           155231  IN      A       211.72.249.39
    
30. 
    
31. ;; Query time: 184 msec
    
32. ;; SERVER: 202.101.103.55#53(202.101.103.55)
    
33. ;; WHEN: Mon Jul 10 15:46:20 2006
    
34. ;; MSG SIZE  rcvd: 223
    

复制代码

是不是不接受 recursive, 用新浪測

1. 
   
2. [root@eai1 root]# dig @202.101.103.55 www.sina.com.cn
   
3. 
   
4. ; <<>> DiG 9.3.0 <<>> @202.101.103.55 www.sina.com.cn
   
5. ;; global options:  printcmd
   
6. ;; Got answer:
   
7. ;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 19951
   
8. ;; flags: qr rd; QUERY: 1, ANSWER: 18, AUTHORITY: 3, ADDITIONAL: 3
   
9. 
   
10. ;; QUESTION SECTION:
    
11. ;www.sina.com.cn.               IN      A
    
12. 
    
13. ;; ANSWER SECTION:
    
14. www.sina.com.cn.        57      IN      CNAME   jupiter.sina.com.cn.
    
15. jupiter.sina.com.cn.    59      IN      CNAME   antares.sina.com.cn.
    
16. antares.sina.com.cn.    58      IN      A       218.30.66.116
    
17. antares.sina.com.cn.    58      IN      A       218.30.66.117
    
18. antares.sina.com.cn.    58      IN      A       218.30.66.118
    
19. antares.sina.com.cn.    58      IN      A       218.30.66.119
    
20. antares.sina.com.cn.    58      IN      A       218.30.66.120
    
21. antares.sina.com.cn.    58      IN      A       218.30.66.121
    
22. antares.sina.com.cn.    58      IN      A       218.30.66.122
    
23. antares.sina.com.cn.    58      IN      A       218.30.66.123
    
24. antares.sina.com.cn.    58      IN      A       218.30.66.108
    
25. antares.sina.com.cn.    58      IN      A       218.30.66.109
    
26. antares.sina.com.cn.    58      IN      A       218.30.66.110
    
27. antares.sina.com.cn.    58      IN      A       218.30.66.111
    
28. antares.sina.com.cn.    58      IN      A       218.30.66.112
    
29. antares.sina.com.cn.    58      IN      A       218.30.66.113
    
30. antares.sina.com.cn.    58      IN      A       218.30.66.114
    
31. antares.sina.com.cn.    58      IN      A       218.30.66.115
    
32. 
    
33. ;; AUTHORITY SECTION:
    
34. sina.com.cn.            85478   IN      NS      ns3.sina.com.cn.
    
35. sina.com.cn.            85478   IN      NS      ns1.sina.com.cn.
    
36. sina.com.cn.            85478   IN      NS      ns2.sina.com.cn.
    
37. 
    
38. ;; ADDITIONAL SECTION:
    
39. ns1.sina.com.cn.        53041   IN      A       202.106.184.166
    
40. ns2.sina.com.cn.        53917   IN      A       61.172.201.254
    
41. ns3.sina.com.cn.        53367   IN      A       202.108.44.55
    
42. 
    
43. ;; Query time: 364 msec
    
44. ;; SERVER: 202.101.103.55#53(202.101.103.55)
    
45. ;; WHEN: Mon Jul 10 15:46:33 2006
    
46. ;; MSG SIZE  rcvd: 435
    

复制代码

所以結果為 GCD 過濾所致,因為台灣的新聞網站在大陸是被禁止的
而很多 "禁止的" 不完全是新聞網站

因為 https smtps 需要 DNS 做底層的解析,
攔走你的 DNS 封包,你還沒能 s 就完了, 國外的 proxy  之所以可以 work 是因為
resolver domain/fqdn 是丟給了 proxy server 做,但用久了通常也是封了

abel

有空的人的可看一下老帖
http://bbs.chinaunix.net/viewthr ... p;extra=&page=1
出口進口都是有過濾的

zjlcy

　　
　　
　　abel兄，您的结论似乎不具有说服力。
　　１、一个DNS，设置成按IP决定递归与否，是很简单的事。也许那个DNS对您的地址是不递归的。但是，我测试的结果如下：

1. 
   
2. :~# dig @202.101.103.55 www.chinatimes.com
   
3. 
   
4. ; <<>> DiG 9.3.2 <<>> @202.101.103.55 www.chinatimes.com
   
5. ; (1 server found)
   
6. ;; global options:  printcmd
   
7. ;; Got answer:
   
8. ;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 56347
   
9. ;; flags: qr rd; QUERY: 1, ANSWER: 9, AUTHORITY: 2, ADDITIONAL: 2
   
10. 
    
11. ;; QUESTION SECTION:
    
12. ;www.chinatimes.com.            IN      A
    
13. 
    
14. ;; ANSWER SECTION:
    
15. www.chinatimes.com.     296     IN      A       210.65.0.6
    
16. www.chinatimes.com.     296     IN      A       210.65.0.7
    
17. www.chinatimes.com.     296     IN      A       210.65.0.8
    
18. www.chinatimes.com.     296     IN      A       210.65.0.9
    
19. www.chinatimes.com.     296     IN      A       210.65.0.10
    
20. www.chinatimes.com.     296     IN      A       210.65.0.1
    
21. www.chinatimes.com.     296     IN      A       210.65.0.2
    
22. www.chinatimes.com.     296     IN      A       210.65.0.3
    
23. www.chinatimes.com.     296     IN      A       210.65.0.5
    
24. 
    
25. ;; AUTHORITY SECTION:
    
26. chinatimes.com.         137206  IN      NS      ct-dns2.chinatimes.com.
    
27. chinatimes.com.         137206  IN      NS      ct-dns1.chinatimes.com.
    
28. 
    
29. ;; ADDITIONAL SECTION:
    
30. ct-dns1.chinatimes.com. 137206  IN      A       210.200.239.19
    
31. ct-dns2.chinatimes.com. 146503  IN      A       211.72.253.9
    
32. 
    
33. ;; Query time: 102 msec
    
34. ;; SERVER: 202.101.103.55#53(202.101.103.55)
    
35. ;; WHEN: Mon Jul 10 16:27:15 2006
    
36. ;; MSG SIZE  rcvd: 256
    

复制代码

　　２、您用解析新浪来测试，说明这个Server没有对您的IP没有限制递归，也是没有根据的。
　　根据Bind手册及测试，在您的IP没有递归权限的情况下，缓存中的递归数据一样可以返回给您。
　　限制递归，只是限制从您的IP发起一个全新的递归查询，而不限制缓存中的递归数据获取。
　　比如，我查过的数据，您再来dig，结果应该与我一样。

abel

那你 dig udn.com  or www.chinatimes.com 有什麼結果呢 ?
我巳經說了,這不是理論或實作的問題,
只要你在中國,任何的封包都有可能被過濾的,因為你的 DNS request 可能沒有送到對方(國外),
而你所得到 response 訊息,是由假的,中間人 (man in the middle) 手法所給你的