VeriSign's fault?
NAKAJI Hiroyuki
>>>>> In <bkg99b$18il$1...@LAXSRV.moat.net>
>>>>> vg3...@moat.net (Hidenori HoRi) wrote:
> > > ご存知だと思いますが、BINDでVerisign対策版が出ています。
> >
> > http://www.isc.org/products/BIND/delegation-only.html
> ということで、早速 BIND 9.2.2-P1 にしてみました。(パッチあてました)
named.conf に何かを追加しましたか? よろしければ、どういう追加か教えてくだ
さい。何を追加してよいものかわからないので、delegation-only のよさを実感で
きずに歯痒い思いをしています。
> やっと気持ちが落ち着きました(笑)。
僕も落ち着きたいです。
> DNSの結果が返ってくると、sendmail で受信するメールの中に、
> 存在しないホストからの受信も行ってしまうので、spamが増えて
> しまうんですよね。
その影響で /var が file system full になって、sendmail が処理できず、log
も書けずになっていました。;_;
--
NAKAJI Hiroyuki (中治 弘行)
Hidenori HoRi
NAKAJI Hiroyuki <nak...@tutrp.tut.ac.jp> wrote:
> > > http://www.isc.org/products/BIND/delegation-only.html
>
> > ということで、早速 BIND 9.2.2-P1 にしてみました。(パッチあてました)
>
> named.conf に何かを追加しましたか? よろしければ、どういう追加か教えてくだ
> さい。何を追加してよいものかわからないので、delegation-only のよさを実感で
> きずに歯痒い思いをしています。
あれれ.....
そのページに書いてますよー。
Example:
zone "foo" {
type delegation-only;
};
Additionally, because many of our users are uncomfortable receiving
undelegated answers from root or top level domains, other than a few
for whom that behaviour has been trusted and expected for quite some
length of time, we have now introduced starting with 9.2.3rc3
the "root-delegations-only" feature which applies delegation-only logic
to all top level domains, and to the root domain. An exception list
should be specified, including "DE", "LV" and "MUSEUM", and any other
top level domains from whom undelegated responses are expected
and trusted.
Example:
options {
root-delegation-only exclude { "de"; "lv"; "museum"; };
};
それから、ちなみに、現在 9.2.2-P2 となりました。
ちょっとバグがあったようで、それが修正されてます。
ちなみに具体的には?と言うと、物凄く簡単でして(汗)、
named.conf へ
zone "com" {
type delegation-only;
};
zone "net" {
type delegation-only;
};
と書くだけです。(^^)
これで、com と net に関しては、「無いものは無い」とnslookup
してもIPは帰ってこなくなりますよ。
> > やっと気持ちが落ち着きました(笑)。
>
> 僕も落ち着きたいです。
是非落ち着いてみてください。(^^)
> その影響で /var が file system full になって、sendmail が処理できず、log
> も書けずになっていました。;_;
それは悲しい状況ですね....
--
ほり <vg3...@moat.net>
NAKAJI Hiroyuki
>>>>> In <bklsbh$2ak4$1...@LAXSRV.moat.net>
>>>>> vg3...@moat.net (Hidenori HoRi) wrote:
> あれれ.....
> そのページに書いてますよー。
ええ。しかし、僕の想像力は、
> zone "foo" {
> type delegation-only;
> };
から
> zone "com" {
> type delegation-only;
> };
> zone "net" {
> type delegation-only;
> };
> と書くだけです。(^^)
^^^^^^^^
ということが思いつかない程度なのでした。^^;;
## 正確には「そういうことなのかなぁ?」と想像するけど試してみる度胸がない、
## なのです。
言われてみれば、「なるほど」と納得できましたので、早速、BIND-9.2.2-P2 の
named.conf にこれらを追加して再起動(pkill -HUP named)しました。
> これで、com と net に関しては、「無いものは無い」とnslookup
> してもIPは帰ってこなくなりますよ。
キャッシュに残っていたせいでしょうか、数分の間、
$ nslookup nakajihiroyuki.com.
Server: localhost
Address: 127.0.0.1
Non-authoritative answer:
Name: nakajihiroyuki.com
Address: 64.94.110.11
なんて結果が返ってきましたが、今は、
$ nslookup nakajihiroyuki.com.
Server: localhost
Address: 127.0.0.1
*** localhost can't find nakajihiroyuki.com.: Non-existent host/domain
になりました。
> > 僕も落ち着きたいです。
> 是非落ち着いてみてください。(^^)
もう少しで落ち着けそうです。ありがとうございました。
Hidenori HoRi
NAKAJI Hiroyuki <nak...@tutrp.tut.ac.jp> wrote:
> 言われてみれば、「なるほど」と納得できましたので、早速、BIND-9.2.2-P2 の
> named.conf にこれらを追加して再起動(pkill -HUP named)しました。
早速ですが、P3 になったようです。
ちょっと落ち着かないですね....
9.1.3-P3
ftp://ftp.isc.org/isc/bind9/9.1.3-P3/bind-9.1.3-P3.tar.gz
9.2.2-P3
ftp://ftp.isc.org/isc/bind9/9.2.2-P3/bind-9.2.2-P3.tar.gz
--
ほり <vg3...@moat.net>