Comments 36
Кидать «сисадминам» которые не понимают что такое CNAME и куда его прописать, а от MX вообще впадают в ступор, но на ссылку на вики почему-то обежаются.
Увы, но мне лично несколько раз выпадала честь проводить ликбез на пальцах, по телефону, сисадминам достаточно крупных региональных организаций. (Часто они не в курсе как работает то что настроил их предшественник)
А так же видеть некоторых дипломированных(в отличии от меня) сетевых администраторов, с большим самомнением, но имеющих проблемы даже с настройкой статической маршрутизации...
P.S.: Сам я сисадмин веб-студии, и общаюсь обычно по выкладке сайтов и о том что бы при это не отвалилась почта и прочие.
Как такие люди попадают на работу? По знакомству штоле?
Я думаю что, некоторые в силу другой специфики, а админят по совместительству, тут и постыдного ничего нет. Некоторые по блату или красивым дипломам...
Судя по профилю вы старше меня и сами думаю, видели достаточно кадров...
Впрочем и сам я человек без образования, с весьма странным набором навыков, скорее дилетанта широкого профиля чем профессионала. Работаю сисадмином, dev-ops'ом, программером, по чуть чуть...
Лучше поднять у себя сервер, слушающий домен с www на 80 и 443 портах, и переадресовывающий 301 редиректом
# http -> https
server {
server_name example.org;
listen 80;
return 301 https://example.org$request_uri;
}
# www -> non-www
server {
server_name www.example.org;
listen 80;
listen 443 ssl;
ssl_certificate /etc/ssl/example.org.crt;
ssl_certificate_key /etc/ssl/example.org.key;
return 301 https://example.org$request_uri;
}
# main
server {
server_name example.org;
listen 443 ssl http2;
.....
}
Удобно в случае если домен привязывается к Гугл Сайтам или Гугл Блогам, где привязать можно только поддомен.
Поэтому нельзя делать CNAME на корневом домене вроде petekeen.net, потому что обычно там нужны другие записи, например, MX.
Для этого продвинутые ДНС-хостеры (например zilore.com dnsimple.com) придумали ALIAS записи, которые позволяют добавить CNAME запись в корневой домен, а внутри она будет автоматически преобразована в А запись и поддерживаться в актуальном состоянии.
позже, с другим домен хотел сделать тоже самое, а интерфейс Яндекса уже ошибку выдаёт. писал тогда по этому поводу в техподдержку, и тогда-то мне и сказали, что нельзя
может на хост?
Если же новички захотят поднять свой DNS сервер, могут попасть под уязвимость, когда можно послать небольшой запрос, а ответ на него будет уходить целевой жертве, причем весьма большим.
Таким образом, без всяких вирусов, без установки ботнета, просто получив список открытых (неправильно настроенных DNS серверов), можно через них быстро организовать кому-нибудь ddos.
Причина в том, что DNS производит замену таким образом, что все записи того места, куда указывает CNAME, также валидны для CNAME. В нашем примере, записи у www.petekeen.net и web01.bugsplat.info будут совпадать.Мой мозг завернулся в CNAME и перестал отвечать. Серьезно, я вообще не понял, о чем речь. И ведь все статьи такие: получаем адрес по имени, корневые сервера, иерахия, все понятно вроде, и тут херак, и MX запись на AAAA реестр
O_o
поддержал бы автора комментария, вроде немного знаю базы, но прочёл статью - и мало что прояснилось
CNAME - это тип доменного имени, так? А доменное имя - это "элиас" для ключа, он же IP-адрес - так?
Получается, cname - элиас для доменного имени? Элиас для элиаса?
"Каноническое имя связывает одно имя с другим" - одно доменное имя с другим? Каким образом и что это даёт?
Вот в примере выше было видно, что www.petekeen.net. - это cname для web01.bugsplat.info., a web01.bugsplat.info. - это, по факту, имя для А (он же ip-адрес), он же 192.241.250.244. Получается, что cname - элиас второго порядка для ip-aдреса?
И для чего такое можно применить?
Вот у нас еcть ip-адрес с доменным именем, который одновременно и узел, и хост - для чего ему можно применить cname?
Или опять же, есть доменное имя, к которому привязан ip-адрес, который является входящим для виртуальной сети с виртуальными хостами, которые имеют общий ip-адрес, но у каждого своё доменное имя - для них можно как-то применить cname?
Можно ли cname применить для "неявного" редиректа, аналога http 301 или чем может быть полезна эта сущность, привязанная поверх домена?
"Записи cname очень полезны" - почему? если их не будет - что будет?
п.с: никакого негатива, пытаюсь разобраться, для кого-то все эти знания - базовая теория, а кто-то плавает во всём этом и не понимает, зачем нам делать элиас на домен, который вроде как тоже элиас
Лучше делать наоборот.
Вообще, статья не очень удачная. То есть, она неплохо называет основные термины, но создаёт ошибочную иллюзию простоты системы DNS, тогда как она на самом деле фантастически непростая.
Например, там есть инструменты для организации загрузки операционных систем по сети, также там можно хранить данные авторизации, да вообще чего только нельзя хранить.
Ресурсных записей штук 40 всего, а часто используемых из них наберётся с десяток.
Самые ходовые А, АААА (А6), CNAME, PTR, SRV, MX, TXT.
Ну и «технические» NS, SOA
При этом софта, который использует специально оформленные TXT или SRV поля много-много больше и каждый ведёт себя по-разному (и не всегда логично).
Но сложность ли это DNS? Ничуть.
DNSSEC — уже сложнее, но он и куда бОльший функционал несёт, хотя тоже вполне прост и понятен в большинстве случаев.
Чаще всего DNS-запросы никогда не доходят до корневых серверов, потому что их IP-адреса почти никогда не изменяются.
Наверно все таки речь идет о большом TTL для записей в их базе. Если у DNS сервера IP адрес вообще ни разу не изменялся, то это не означает, что его база навечно закеширована.
Most of the time DNS resolution will never touch the root servers because their IP addresses hardly ever change.
Добавил ваше замечание в пост. Спасибо!
В список RFC можно ещё добавить 1912 "Common DNS Operational and Configuration Errors".
Давайте уже разберемся в DNS