systemd-resolvedの設定はnetplan設定にどのように影響しますか?

1
Kumar 2020-01-07 00:41.

サーバーがDNSSECとDNS-over-TLSを使用していることを確認したかったので、/ etc / systemd / resolve.confにアクセスして、以下を追加しました。

[Resolve]
DNS=9.9.9.9
FallbackDNS=149.112.112.112
DNSSEC=true
DNSOverTLS=opportunistic

私はQuad9のパブリックDNSサーバー(9.9.9.9と149.112.112.112)を使用しました。これには、DNSSECとDNSOverTLSの両方があります。すべてが正しく機能していることを確認するために、systemdを(を使用してsystemctl restart systemd-resolved.service)再起動してから実行しましたsystemd-resolve --status。これが私の出力の関連部分です:

Global
    DNS Servers: 9.9.9.9

Link 3 [DEVICE_NAME]
      DNSSEC Setting: yes
    DNSSEC Supported: yes
         DNS Servers: 8.26.56.26
                      8.20.247.20

ご覧のとおり、Quad9 DNSはグローバルに表示されますが、からのDNS設定は/etc/netplan/01-netcfg.yamlリンク3の下に表示されます。ネットプランDNSサーバーはComodoであり、この記事の執筆時点ではDNS-over-TLSまたはDNSSECのいずれもサポートしていません。では、なぜsystemd-resolvedはDNSSECがサポートされていると言っているのですか?

とにかく、簡単な解決策は、Quad9 DNSサーバーも使用するように01-netcfg.yamlを更新することですが、同じ設定の2つの場所があり、どちらが(または両方が重要か)わからないため、私はそれが好きではありません。それを理解するには、ローカルキャッシュがない場合にsystemd-resolvedがDNSルックアップを実行する方法を理解する必要があります。ドキュメントを読むことは、グローバルDNSとネットプランDNSを同時にチェックすることを意味しているようです。この場合、Quad9をグローバルDNSとネットプランDNSの両方としてリストすると、ルックアップが重複しませんか?

コメントアウトによって完全に、グローバルDNSを削除する方が良いだろうDNS=9.9.9.9FallbackDNS=149.112.112.112resolved.confに?または、01-netcfg.yamlで宣言されているDNSを削除する方が良いですか(方法がわからない、またはそれが可能かどうかはわかりません)?

1 answers

2
Kumar 2020-02-01 07:41.

systemdの動作を理解するために、いくつかの実験を実行することにしました。まずsudo tcpdump -i [DEVICE_NAME] port not 22、すべてのネットワークトラフィックを監視できるようにすることから始めました(ポート22でのsshセッションを除く)。別のsshターミナルで、nslookup example.comキャッシュを利用しないように毎回異なるWebサイトを使用してを実行しました。次の設定での結果は次のとおりです。

設定1(異なるグローバルおよびデバイスDNSサーバー)

resolve.conf

DNS=9.9.9.9
FallbackDNS=149.112.112.112

01-netcfg.yaml

[DEVICE_NAME]:
...
    nameservers:
        addresses: [8.26.56.26, 8.20.247.20]

結果:

... [SERVER_NAME] > dns9.quad9.net.domain ... A? [EXAMPLE.COM] (63)
... [SERVER_NAME] > ns1.recursive.dnsbycomodo.com.domain ... A? [EXAMPLE.COM] (63)
... dns9.quad9.net.domain > [SERVER_NAME] ... A [IP_ADDRESS] (56)
... [SERVER_NAME] > dns9.quad9.net.domain ... SOA? [EXAMPLE.COM] (63)
... ns1.recursive.dnsbycomodo.com.domain > [SERVER_NAME] ... A [IP_ADDRESS] (108)
... [SERVER_NAME] >  ns1.recursive.dnsbycomodo.com.domain ... SOA? [EXAMPLE.COM] (63)
...

これらは最初の数行であり、さらに多くの要求がありましたが、ご覧のとおり、systemd-resolveはグローバル(Quad9)サーバーとデバイス(Comodo)DNSサーバーの両方からレコードを要求しています。これは重複したアクティビティであるため、デバイスネームサーバーをコメントアウトして、何が起こるかを確認しました。

設定2(グローバルおよびデバイスなしのDNSサーバー)

resolve.conf

DNS=9.9.9.9
FallbackDNS=149.112.112.112

01-netcfg.yaml

[DEVICE_NAME]:
...
    # nameservers:
        # addresses: [8.26.56.26, 8.20.247.20]

結果:

... [SERVER_NAME] > dns9.quad9.net.domain ... A? [EXAMPLE.COM] (59)
... dns9.quad9.net.domain > [SERVER_NAME] ... A [IP_ADDRESS] (52)
... [SERVER_NAME] > dns9.quad9.net.domain ... SOA? [EXAMPLE.COM] (59)
...

それははるかに良いです。今回はグローバルDNSサーバー(Quad9)からのリクエストのみで、エラーはありません。ここで、Quad9をグローバルDNSサーバーとデバイスDNSサーバーの両方として設定するとどうなりますか?

設定3(同じグローバルDNSサーバーとデバイスDNSサーバー)

resolve.conf

DNS=9.9.9.9
FallbackDNS=149.112.112.112

01-netcfg.yaml

[DEVICE_NAME]:
...
    nameservers:
        addresses: [9.9.9.9, 149.112.112.112] #changed this

結果:

... [SERVER_NAME] > dns9.quad9.net.domain ... A? [EXAMPLE.COM] (59)
... [SERVER_NAME] > dns9.quad9.net.domain ... A? [EXAMPLE.COM] (59)
... dns9.quad9.net.domain > [SERVER_NAME] ... A [IP_ADDRESS] A [2nd IP_ADDRESS] RRSIG (363)
... [SERVER_NAME] > dns9.quad9.net.domain ... DNSKEY? [EXAMPLE.COM] (59)
... dns9.quad9.net.domain > [SERVER_NAME] ... A [IP_ADDRESS] A [2nd IP_ADDRESS] RRSIG (363)
... [SERVER_NAME] > dns9.quad9.net.domain ... DNSKEY? [EXAMPLE.COM] (59)
... dns9.quad9.net.domain > [SERVER_NAME] ... DNSKEY, DNSKEY, DNSKEY, DNSKEY, RRSIG (1435)
...

それは続く、最初の2つのA?リクエストの間隔はわずかマイクロ秒でした。さらに下に、通常、レコードタイプごとに2つの要求が表示され、通常は2つの応答が表示されます(ただし、そうでない場合もあります)。これは、デバイスとグローバルのIPアドレスが同じであっても、それらを別々に扱い、レコードのDNSを2回要求することを示唆しています。だから学んだ教訓。そうしないでください。

これらの結果に基づいて、01-netcfg.yaml内のすべてのDNS宣言を削除し、グローバル設定(実験の設定2)のみに依存します。うまくいけば、他の誰かがこれに出くわした場合、この答えは彼らがこれらの実験を行う必要がないようにするでしょう。

Related questions

MORE COOL STUFF

ケイト・ブランシェットは3日間一緒に夫と一緒に寝て、25年経ってもまだ夫と結婚しています

ケイト・ブランシェットは3日間一緒に夫と一緒に寝て、25年経ってもまだ夫と結婚しています

ケイト・ブランシェットは、夫に会ったとき、典型的な交際のアドバイスに逆らいました。

マイケルシーンが非営利の俳優である理由

マイケルシーンが非営利の俳優である理由

マイケルシーンは非営利の俳優ですが、それは正確にはどういう意味ですか?

ホールマークスターのコリンエッグレスフィールドがRomaDramaLiveでスリル満点のファンと出会う![エクスクルーシブ]

ホールマークスターのコリンエッグレスフィールドがRomaDramaLiveでスリル満点のファンと出会う![エクスクルーシブ]

特徴的なスターのコリン・エッグレスフィールドは、RomaDrama Liveでのスリル満点のファンとの出会いについて料理しました!加えて、大会での彼のINSPIREプログラム。

「たどりつけば」をオンラインでストリーミングできない理由

「たどりつけば」をオンラインでストリーミングできない理由

ノーザンエクスポージャーが90年代の最も人気のある番組の1つになった理由を確認するには、Blu-rayまたはDVDプレーヤーをほこりで払う必要があります。

Where in the World Are You? Take our GeoGuesser Quiz

Where in the World Are You? Take our GeoGuesser Quiz

The world is a huge place, yet some GeoGuessr players know locations in mere seconds. Are you one of GeoGuessr's gifted elite? Take our quiz to find out!

バイオニック読書はあなたをより速く読むことができますか?

バイオニック読書はあなたをより速く読むことができますか?

BionicReadingアプリの人気が爆発的に高まっています。しかし、それは本当にあなたを速読術にすることができますか?

ドミニカのボイリング湖:アクセスは簡単ではありませんが、ハイキングする価値があります

ドミニカのボイリング湖:アクセスは簡単ではありませんが、ハイキングする価値があります

ドミニカのボイリング湖は、世界で2番目に大きいボイリング湖です。そこにたどり着くまでのトレッキングは大変で長いですが、努力する価値は十分にあります。

私たちの水をきれいに保つのを助けるためにあなたの髪を寄付してください

私たちの水をきれいに保つのを助けるためにあなたの髪を寄付してください

サロンからのヘアトリミングや個人的な寄付は、油流出を吸収して環境を保護するのに役立つマットとして再利用できます。

これらの22ドルのBluetoothイヤフォンであなたの次のジョギングのコードを切ってください

これらの22ドルのBluetoothイヤフォンであなたの次のジョギングのコードを切ってください

取引を投稿するたびに、これらのMpow Swift Bluetoothイヤフォンを大量にスナップしますが、この時点まで見逃していた場合は、別のチャンスがあります。スマートウォッチを所有していて、近くに電話がなくても音楽を聴きたい場合は、これらは必須ですが、ジョギング、芝刈り、またはその他の取得したくないアクティビティにも最適です。ワイヤーに絡まっています。

オフサイドコールを逃したことで2回目の残業でライトニングウィン

オフサイドコールを逃したことで2回目の残業でライトニングウィン

タンパベイは、モントリオールとのスタンレーカッププレーオフシリーズで1-0のリードを奪い、ライトニングのニキータクチェロフが、ベルセンターでの2回目の延長戦の2分後にネットを見つけ、2-1の最終スコアを獲得しました。しかし、ハブスのファンは、勝った所有物のゾーンにパックを持ち込んだときにタンパベイが明らかにオフサイドだったという事実について当然のことながら騒いでいます:誰もがサドンデスの残業プロセスの欠陥を探すべきではありませんが、これはサドンデスの残業の終焉を求める恐ろしい人が指摘するようなもの。

ホラー:H1Z1の発売の舞台裏

ホラー:H1Z1の発売の舞台裏

ゲームを起動するのは難しいです。では、世界を見て注目を集めるタイトルをリリースし、事態が悪化するとどうなるでしょうか。多くの物。

Be My Eyesは、救いの手を必要とする視覚障害者とボランティアをペアにします

Be My Eyesは、救いの手を必要とする視覚障害者とボランティアをペアにします

iOS:ご想像のとおり、視覚的な手がかりのない最も単純な決定でさえ、非常に困難な場合があります。Be My Eyesは、ライブビデオフィードを通じて、目の見える人と視覚障害者を結び付け、その名前が示すように、目であり、オブジェクトを読んだり、周囲をナビゲートしたりするのに役立ちます。

Plathville の Kim と Olivia Plath が数年ぶりに言葉を交わすことへようこそ

Plathville の Kim と Olivia Plath が数年ぶりに言葉を交わすことへようこそ

イーサン プラスの誕生日のお祝いは、TLC のウェルカム トゥ プラスビルのシーズン 4 のフィナーレで、戦争中の母親のキム プラスと妻のオリビア プラスを結びつけました。

Nicky Hilton Forced to Borrow Paris' 'I Love Paris' Sweatshirt After 'Airline Loses All [My] Luggage'

Nicky Hilton Forced to Borrow Paris' 'I Love Paris' Sweatshirt After 'Airline Loses All [My] Luggage'

Nicky Hilton Rothschild's luggage got lost, but luckily she has an incredible closet to shop: Sister Paris Hilton's!

ケイト・ミドルトンはロンドンの水辺で一日を過ごし、さらにジェニファー・ロペス、ジュリアン・ハフなど

ケイト・ミドルトンはロンドンの水辺で一日を過ごし、さらにジェニファー・ロペス、ジュリアン・ハフなど

ケイト・ミドルトンはロンドンの水辺で 1 日を過ごし、ジェニファー・ロペス、ジュリアン・ハフなども。ハリウッドからニューヨークまで、そしてその間のあらゆる場所で、お気に入りのスターの活躍をご覧ください!

ウィスコンシン川でのナイフ攻撃で 17 歳の少年が刺されて死亡、他の 4 人が負傷したままになっている

ウィスコンシン川でのナイフ攻撃で 17 歳の少年が刺されて死亡、他の 4 人が負傷したままになっている

捜査官は、グループと容疑者が攻撃の前にお互いを知っていたかどうかを調べています

滑走路着陸

滑走路着陸

晩夏と秋はノスタルジックな季節。街灯は雨で濡れた通りに光を放ち、足元の葉 - 夕暮れの影の中で落ち着いた赤オレンジ - は過ぎ去った日々を思い出させます。

実際に変換するコンテンツ戦略を作成することを想像してみてください。それが可能だ。

実際に変換するコンテンツ戦略を作成することを想像してみてください。それが可能だ。

2021 年には、サービスを提供する顧客と顧客に伝えるストーリーについて知っていることをすべて再考することをお勧めします。あとずさりする。

マンモスロスは私の心を愛に開いた

マンモスロスは私の心を愛に開いた

フェリックス ザ キャットの 9 歳の誕生日の日に、大人になってからの最大の損失の 1 つである 2013 年のソフィーを思い出します。私はこのエッセイを書き、2013 年にこのプラットフォームで簡単に共有しました。

あなたがインターネットがあなたに望んでいる人になれないとき

あなたがインターネットがあなたに望んでいる人になれないとき

私は「列車事故」という言葉が嫌いです。人々は自分自身の道徳的羅針盤に安らぎを覚え、そうすることで自分自身が判断を下していることに気づきます。

Language