查询域名反向解析是否生效可以使用nslookup命令
命令格式: nslookup -qa=ptr xxx.xxx.xxx.xxx
-qa=ptr说明查询类型是PTR也就是反向查询 后面请跟上你要做反向解析的IP地址 (反向解析是从IP查主机名的解析,所以不用与域名的解析混淆)
如下为一个正确PTR解析的输出结果
nslookup -qt=ptr 203.86.5.67
服务器: ns.szptt.net.cn
Address: 202.96.134.133:53
非权威应答:
67.5.86.203.in-addr.arpa name = mail.idcsea.net
如果看到类型最后一行的红色部分说明反向解析已经成功。 Continue reading »
王康 xmw2.blog.chinaunix.net
其他不再赘述,发挥二的性格,我们直奔主题。
用户打开网站的整个流程中,DNS解析时第一环,当用户输入域名并敲回车后,windows系统调用DNS client,寻找到用户配置或者自动分配的DNS IP,之后就开始整个解析过程。
DNS解析,变快有意义吗?
有,呵呵,很多小型网站,DNS解析时间都接近0.5s,甚至我见过一个网站,需要1.2s才可以解析出结果的。这是个非常令人吃惊的数据,因为对于一般网站打开时间超过8s用户即将放弃访问,而对于电子商务网站,4s就是用户忍耐极限。而一般经过优化的小型网站,DNS解析时间都可以控制在200MS左右,而带宽在100M左右的网站,经过优化,DNS解析时间可以控制在50-100ms。
如何优化呢?
首先利用好TTL,因为要尽量多的让用户直接从运营商的DNS缓存中拿到A记录,这样才能保证最快,但是也要保证,当你的服务器出问题时,需要尽快的切换,所以,这个TTL设置也是有一些情况需要综合研究的。
1、 你肯定清楚,自己的服务器有没有多台或者备份。如无备份,那服务器宕机时,你只能生抗,所以,TTL时间对于你来说是越长越好,因为TTL短的目的是服务器发生问题时,可以及时切换,这个对于没有备份的网站基本利用不上。所以,你的TTL设置就是越长越好,当然了,也不能无限长,一般设置TTL 3600即可。
2、 如有备份或者多台服务器,会发生由于服务器宕机需要及时做切换,TTL时间越短,切换越及时,但是TTL时间越短,也就意味着运营商DNS经常缓存不住,一般用户,设置为TTL 600即可,如果对及时切换,要求特别苛刻的网站,设置TTL 120即可。 Continue reading »
ordns.he.net (globally anycasted in 11 countries)
2001:470:20::2
74.82.42.42
bind.odvr.dns-oarc.net (https://www.dns-oarc.net/)
2001:4f8:3:2bc:1::64:20
149.20.64.20
Internode
2001:44b8:1::6
2001:44b8:2::6
google-public-dns-a.google.com
2001:4860:4860::8888
8.8.8.8
google-public-dns-b.google.com
2001:4860:4860::8844
8.8.4.4
f.6to4-servers.net (http://www.isc.org/)
2001:4F8:0:2::14
NTT (good)
x.ns.ntt.net: 2001:418:3ff::53
y.ns.ntt.net: 2001:418:3ff::1:53
OpenDNS (good)
2620:0:ccc::2
2620:0:ccd::2
208.67.222.222
208.67.220.220
Comcast (Anycast based)
2001:558:feed::1
2001:558:feed::2.
Verizon Business
cache00.ns.uu.net: 2600:803:5:1::10
Cogent
eu-res1.dns.cogentco.com: 2001:978:1:1::d
ns.ipv6.uni-leipzig.de
2001:638:902:1::10
139.18.25.34
上海交大
2001:da8:8000:1:202:120:2:101
2001:da8:8000:1:202:120:2:100
202.120.2.101
下一代互联网国家工程中心
首选DNS: 240c::6666
备用DNS: 240c::6644
Quad9
Secure IPv6: 2620:fe::fe , Blocklist, DNSSEC, No EDNS Client-Subnet
Unsecure IPv6: 2620:fe::10 , No blocklist, no DNSSEC, send EDNS Client-Subnet
前一段时间参照这篇在Ubuntu上搭建OpenVPN服务器,并配合Mac和Windows的客户端 (一)在自己的 VPS 上装好 OpenVPN 服务器后使用一直不太正常,这两天花了点时间调试解决,结果总结如下。调试期间多次得到 @yegle @ChandleWEi @Greendamn 和 @FretiaX 等推友的帮助,尤其是 @ChandleWEi 深夜还在我家现场调试 iptables,特此感谢。
MTU 太大造成的连接不稳定
症状
刚连接上 OpenVPN 只用浏览器打开一两个页面时速度很正常,但随着流量加大网络就会开始阻塞,直到完全无法连接任何服务器。而且与 OpenVPN 服务器之间的连接容易自动断开。
解决方案
在 OpenVPN 服务器的 server.conf 里加入 mssfix 1300。此方案由 @yegle 提供。数字应该是他多次测试得出的较优选择,我试过设为 mssfix 1400 自己的 PC 没问题,而朋友的机器会速度奇慢。
DNS 污染造成的部分墙外网站无法访问
症状
连接 OpenVPN 后 Twitter 可以正常访问,被严重 DNS 污染的 Facebook 则会被浏览器提示无法连接。
解决方案
在 OpenVPN 服务器上使用 iptables 强行劫持客户端对任何 DNS 服务器的查询请求,将请求的目标 IP 地址修改为墙外的 DNS 服务器,例如 Google 的公共 DNS 服务器 8.8.8.8 和 8.8.4.4。此方案参照 @yegle 的方案稍作修改,不需要 OpenVPN 服务器自己提供 DNS 服务。iptables 命令如下:
iptables -t nat -A PREROUTING -p udp –dport 53 -j DNAT –to-destination 8.8.8.8 Continue reading »
假设你叫小不点(本地主机),住在一个大院子(本地局域网)里,有很多邻居(网络邻居),门口传达室有个看大门的李大爷,李大爷就是你的网关。当你想跟院子里的某个伙伴玩,只要你在院子里大喊一声他的名字(ping他一下),他听到了就会回应你,并且跑出 来跟你玩。
但是你不被允许走出大门,你与外界的一切联系,都必须李大爷(网关)用电话帮助你联系。假如你想找你的同学小明聊天,小明家住在很远的另外一个院子里(小明和你不在一个局域网),他家的院子里也有一个看门的王大爷(小明的网关)。你不知道小明家的电话号码 ,不过你的班主任老师有一份你们班全体同学的名单和电话号码对照表,你的老师就是你的DNS服务器。于是你在家里拨通了门口李大爷的电话,有了下面的对话:
小不点:李大爷,我想找班主任查一下小明的电话号码行吗?(DNS查询)
李大爷:好,你等着。(接着李大爷给你的班主任挂了一个电话,问清楚了小明的电话)问到了,他家的号码是211.99.99.99(小明家的IP地址)
小不点:太好了!李大爷,我想找小明,你再帮我联系一下小明吧。
李大爷:没问题。(接着李大爷向电话局发出了请求接通小明家电话的请求,最后一关当然是被转接到了小明家那个院子的王大爷那里,然后王大爷把电话给转到小明家(路由) Continue reading »