以 Notebook 為例,常會用到的網路界面有 WIFI、網路卡、VPN 等,當手機 USB 網路共用啟用後,這個界面 (通常是 Remote NDIS) 會設定好 IP、DNS 等資訊,當你再連上 VPN 後,VPN 界面 (以 TAP adapter 為例) 也會依 server 指定設定好另一組 IP、DNS 等資訊,現在有2 個不同的 DNS server,要怎麼確定 Window 會先用那一個?
在 Windows 設定 > 網路和網際網路 > 變更界片卡選項,在界面卡按滑鼠右鍵點內容,TCP/IPv4 > 進階 取消勾選 ‘自動計量’ 然後指定一個值,這個值愈小代表這個界面卡優先權愈高,只要優先權高的 DNS 有回應就不會去查詢優先權低的
(No Ratings Yet)
Loading...
首先訂出 DNS 服務的對象, 由於 primary or secondary server 要提供 domain 的資訊
供外界查詢, 以下這個設定是必要的
allow-query { any; };
當 DNS server 收到非自有 domain 查詢時, 例如 client 查詢 www.google.com, 依據
設定會有兩種處理方式
1. recursion yes
server 會先問 root server, 找到 TLD .com, 在找到 google.com 的 dns server 後,
問出 www.google.com 的資料, 回覆 client 後放一份在 cache 供後續查詢, 如果這種
查詢服務沒有設定服務對象, 就是所謂的 open resolver, 會消耗網路頻寬等資源, 甚至
成為 DNS Amplification Attacks 的工具, 限制服務對象設定如下
acl mynet { 192.168.1.0/24; };
options {
allow-recursion { mynet; };
};
2. recursion no
server 回覆一個查詢點, 由 client 作業系統從這個點往下查, 直到取得答案
server cache 的資料可以加速查詢及節省頻寬, 但是如果對外開放不設限, 仍然可能被誤
用, 可以用以下設定限制
allow-query-cache { mynet; };
(No Ratings Yet)Loading...
DNS 系统通常包含一個 primary server 及數個 secondary server 以確保 availability, primary server 維護 domain 的 DNS record, secondary server 不一定要自己架, 可以用 ISP 或 DNS provider 提供的, secondary server 會利用 zone transfer 機制向 primary server 取得一份 domain 明細, 包括設定及主機清單
所以 zone transfer 機制很明顯只需要開放給 secondary server 就好, BIND 是最普遍的 DNS server 軟體, 控制 zone transfer 設定範例如下
zone “<my domain>” {
allow-transfer { <my 1st secondary server ip>; <my 2nd secondary serverip>; };
};
(No Ratings Yet)Loading...