海运的博客

此内容被密码保护

发布时间:November 16, 2013 // 分类:Mail // No Comments

请输入密码访问

此内容被密码保护

发布时间:February 21, 2013 // 分类:DNS,KMS // No Comments

请输入密码访问

OpenWRT下Dnsmasq本地域名泛解析和禁止DNS劫持

发布时间:December 22, 2012 // 分类:OpenWrt // No Comments

操作系统下都有hosts文件可自定单个域名指向IP,要将特定域名下所有子域名都指向特定IP就需要转发DNS服务器来解决了,Dnsmasq就是比较轻量级的一个,很多第三方路由固件都自带Dnsmasq。
Dnsmasq域名泛解析配置:

address=/.www.haiyun.me/8.8.8.8
address=/.google.com/203.208.46.200
#这样所有www.haiyun.me子域名都解析到8.8.8.8

Dnsmasq禁止域名被劫持:

bogus-nxdomain=8.8.8.8
#8.8.8.8为劫持IP地址

Bind为域名邮箱添加SPF记录

发布时间:August 25, 2012 // 分类:Mail // No Comments

在垃圾邮件泛滥的今天,邮件服务器和域名设置SPF是必不可少的,之前有介绍PostFix下配置SPF验证,那怎么能证明自己服务器发出的邮件能被对方视为来源正确呢,那就为自己的域名添加SPF记录吧。
SPF记录以TXT格式配置在DNS中,可以使用以下参数定义信任地址:

include #调用特定域名的SPF进行验证
ip4 #使用 IPv4 进行验证
ip6 #使用 IPv6 进行验证
a  #使用域名A记录验证
mx #使用MX记录验证
ptr #使用PTR进行验证

定义匹配时的返回值:

+ #默认,通过
- #硬失败
~ #软失败
? #不置可否

SPF书写示例:

"v=spf1 +a:www.haiyun.me +ip4:192.168.1.0/24 -all"
#定义www.haiyun.me的A记录IP和192.168.1.0/24网段,其它全部为不信任,+默认可略。

将域名SPF添加到BIND DNS服务器

@       IN      TXT     "v=spf1 a ip4:184.164.141.188 ~all"
#或
www.haiyun.me.      IN      TXT     "v=spf1 a ip4:184.164.141.188 ~all"

测试SPF是否生效:

dig www.haiyun.me txt +short
"v=spf1 a ip4:184.164.141.188 ~all"

也可以发送到gmail邮箱查看SPF验证结果:

Received-SPF: pass (google.com: domain of admin@www.haiyun.me designates 184.164.141.188 as permitted sender) client-ip=184.164.141.188;
Authentication-Results: mx.google.com; spf=pass (google.com: domain of admin@www.haiyun.me designates 184.164.141.188 as permitted sender) smtp.mail=admin@www.haiyun.me

Bind远程管理rndc配置

发布时间:July 12, 2012 // 分类:DNS // No Comments

rndc可以对本地及远程DNS服务器进行管理、控制而不用重启BIND,配置如下:
1.生成rndc key,用于客户端与服务器进行交互验证:

rndc-confgen -a -u named #生成rndc-key并写入/etc/rndc.key文件

Bind服务器配置:

cat /etc/named.con
include "/etc/rndc.key"; #服务器调用rndc.key
controls {
       inet 0.0.0.0 port 953 #如只允许本地rndc管理填写127.0.0.1
               allow { 127.0.0.1; 192.168.1.3; } keys { "rndckey"; }; #允许通过rndc管理此DNS的IP、KEY
};

配置rndc客户端:

cat /etc/rndc.key
options {
        default-key "rndckey";
        default-server 192.168.1.2; #要管理的DNS地址,管理本地DNS为127.0.0.1
        default-port 953;
};
key "rndckey" {  #复制为rndc.key内容
    algorithm hmac-md5;
    secret "QERkt5B5BTsy3Zmg5wDzqw==";
};

如果有多台DNS服务器,定义不同的服务器及key:

server 192.168.1.3 {
       key "testkey";
};

server 192.168.1.2 {
       key "rndckey";
};

连接指定服务器:

rndc -s 192.168.1.2 status

rndc应用参数:

rndc status #显示DNS运行状态
rndc reload #重新加载配置文件
rndc reconfig #重新加载named.conf和新的域配置文件
rndc dumpdb #导出缓存到文件
rndc flush  #清空缓存
分类
最新文章
最近回复
  • opnfense: 谢谢博主!!!解决问题了!!!我之前一直以为内置的odhcp6就是唯一管理ipv6的方式
  • liyk: 这个方法获取的IPv6大概20分钟之后就会失效,默认路由先消失,然后Global IPV6再消失
  • 海运: 不好意思,没有。
  • zongboa: 您好,請問一下有immortalwrt設定guest Wi-Fi的GUI教學嗎?感謝您。
  • 海运: 恩山有很多。
  • swsend: 大佬可以分享一下固件吗,谢谢。
  • Jimmy: 方法一 nghtp3步骤需要改成如下才能编译成功: git clone https://git...
  • 海运: 地址格式和udpxy一样,udpxy和msd_lite能用这个就能用。
  • 1: 怎么用 编译后的程序在家里路由器内任意一台设备上运行就可以吗?比如笔记本电脑 m参数是笔记本的...
  • 孤狼: ups_status_set: seems that UPS [BK650M2-CH] is ...