Ini ialah command deadwood yang boleh dijalankan dalam penyedia pengehosan percuma OnWorks menggunakan salah satu daripada berbilang stesen kerja dalam talian percuma kami seperti Ubuntu Online, Fedora Online, emulator dalam talian Windows atau emulator dalam talian MAC OS.
JADUAL:
NAMA
deadwood - Penyelesai DNS caching rekursif sepenuhnya
DESCRIPTION
Deadwood ialah cache DNS rekursif sepenuhnya. Ini ialah pelayan DNS dengan ciri-ciri berikut:
* Sokongan penuh untuk rekursi DNS dan cache pemajuan DNS
* Saiz kecil dan jejak memori sesuai untuk sistem terbenam
* Pangkalan kod yang ringkas dan bersih
* Reka bentuk selamat
* Perlindungan palsu: Kriptografi kukuh digunakan untuk menentukan ID Pertanyaan dan port sumber
* Keupayaan untuk membaca dan menulis cache ke fail
* Cache dinamik yang memadamkan entri yang tidak digunakan baru-baru ini
* Keupayaan untuk menggunakan entri tamat tempoh dalam cache apabila mustahil untuk menghubungi huluan
pelayan DNS.
* Sokongan IPv6 boleh disusun jika dikehendaki
* Kedua-dua DNS-over-UDP dan DNS-over-TCP dikendalikan oleh daemon yang sama
* Fungsi dnswall terbina dalam
COMMAND LINE HUJAH
Deadwood mempunyai satu hujah baris arahan pilihan: Lokasi konfigurasi
fail yang Deadwood gunakan, dinyatakan dengan bendera "-f". Jika ini tidak ditakrifkan, Deadwood
menggunakan fail "/etc/maradns/deadwood/dwood3rc" sebagai fail konfigurasi.
Dalam erti kata lain, menggunakan Deadwood sebagai kayu mati akan menyebabkan Deadwood digunakan
/etc/maradns/deadwood/dwood3rc sebagai fail konfigurasi; memohon Deadwood sebagai kayu mati -f
foobar akan menyebabkan Deadwood menggunakan fail "foobar" dalam direktori kerja semasa (the
satu direktori ada semasa memulakan Deadwood) sebagai fail konfigurasi.
CONFIGURATION FAIL FORMAT
Fail konfigurasi Deadwood dimodelkan selepas sintaks Python 2. Mana-mana Deadwood yang sah
fail konfigurasi juga harus menghuraikan dengan betul dalam kedua-dua Python 2.4.3 dan Python 2.6.6. Jika
mana-mana fail konfigurasi tidak menghuraikan dengan betul dalam Deadwood tetapi menimbulkan ralat sintaks dalam
Python, ini adalah pepijat yang harus diperbaiki.
Dalam fikiran ini, ruang putih adalah penting; Parameter kayu mati mesti berada di paling kiri
lajur tanpa ruang putih di hadapan. Ini adalah baris yang sah (selagi tiada ruang untuk
kirinya):
recursive_acl = "127.0.0.1/16"
Baris berikut, bagaimanapun, akan menimbulkan ralat parse:
recursive_acl = "127.0.0.1/16"
Perhatikan ruang di sebelah kiri rentetan "recusive_acl" dalam format yang salah
line.
PARAMETER JENIS
Deadwood mempunyai tiga jenis parameter yang berbeza:
* Parameter angka. Parameter berangka tidak boleh dikelilingi oleh petikan, seperti ini
contoh:
penapis_rfc1918 = 0
Jika parameter berangka dikelilingi oleh petikan, mesej ralat "Unknown dwood3rc
parameter rentetan" akan muncul.
* Parameter rentetan. Parameter rentetan mesti dikelilingi oleh petikan, seperti dalam ini
contoh:
bind_address = "127.0.0.1"
* Parameter kamus. Semua parameter kamus mesti dimulakan sebelum digunakan, dan
parameter kamus mesti mempunyai kedua-dua indeks kamus dan nilai untuk indeks tersebut
dikelilingi oleh petikan, seperti dalam contoh ini:
pelayan_hulu = {}
upstream_servers["."]="8.8.8.8, 8.8.4.4"
Semua parameter dwood3rc kecuali berikut adalah parameter berangka:
* bind_address (rentetan)
* cache_file (rentetan)
* chroot_dir (rentetan)
* ip_blacklist (rentetan)
* ipv4_bind_addresses (rentetan)
* fail_biji_rambang (rentetan)
* rekursif_acl (rentetan)
* root_servers (kamus)
* pelayan_hulu (kamus)
DISOKONG PARAMETER
Fail konfigurasi Deadwood menyokong parameter berikut:
bind_address
Ini ialah alamat IP (atau mungkin IPv6) yang kami ikat.
fail_cache
Ini ialah nama fail bagi fail yang digunakan untuk membaca dan menulis cache ke cakera; ini
rentetan boleh mempunyai huruf kecil, simbol '-', simbol '_' dan simbol '/' (untuk
meletakkan cache dalam subdirektori). Semua simbol lain menjadi simbol '_'.
Fail ini dibaca dan ditulis semasa pengguna Deadwood berjalan sebagai.
chroot_dir
Ini ialah direktori program akan dijalankan.
hantarkan_semua
Ini menjejaskan tingkah laku dalam Deadwood 2.3, tetapi tidak mempunyai kesan dalam Deadwood 3. Pembolehubah ini ialah
hanya di sini supaya fail rc Deadwood 2 boleh dijalankan dalam Deadwood 3.
dns_port
Ini adalah pelabuhan yang diikat oleh Deadwood dan didengari untuk sambungan masuk. lalai
nilai untuk ini ialah port DNS standard: port 53
penapis_rfc1918
Apabila ini mempunyai nilai 1, beberapa julat IP berbeza tidak dibenarkan berada dalam DNS A
balasan:
* 192.168.xx
* 172.[16-31].xx
* 10.xxx
* 127.xxx
* 169.254.xx
* 224.xxx
* 0.0.xx
Jika salah satu daripada IP di atas dikesan dalam balasan DNS dan filter_rfc1918 mempunyai nilai 1,
Deadwood akan mengembalikan respons sintetik "hos ini tidak membalas" (rekod SOA dalam
bahagian NS) dan bukannya rekod A.
Sebab untuk ini adalah untuk menyediakan "dnswall" yang melindungi pengguna untuk beberapa jenis
serangan, seperti yang diterangkan di http://crypto.stanford.edu/dns/
Sila ambil perhatian bahawa Deadwood hanya menyediakan kefungsian "dnswall" IPv4 dan tidak membantu
melindungi daripada jawapan IPv6. Jika perlindungan terhadap rekod IPv6 AAAA tertentu diperlukan,
sama ada lumpuhkan semua jawapan AAAA dengan menetapkan reject_aaaa untuk mempunyai nilai 1, atau gunakan an
program luaran untuk menapis jawapan IPv4 yang tidak diingini (seperti program dnswall).
Nilai lalai untuk ini ialah 1
handle_noreply
Apabila ini ditetapkan kepada 0, Deadwood tidak menghantar balasan kembali kepada klien (apabila klien adalah a
Pelanggan TCP, Deadwood menutup sambungan TCP) apabila pertanyaan UDP dihantar ke huluan dan
DNS huluan tidak pernah menghantar balasan.
Apabila ini ditetapkan kepada 1, Deadwood menghantar SERVER FAIL kembali kepada klien apabila pertanyaan UDP
dihantar ke hulu dan DNS huluan tidak pernah menghantar balasan.
Nilai lalai untuk ini ialah 1
handle_overload
Apabila ini mempunyai nilai 0, Deadwood tidak menghantar jawapan apabila pertanyaan UDP dihantar dan
pelayan terlebih beban (mempunyai terlalu banyak sambungan yang belum selesai); apabila ia mempunyai nilai 1,
Deadwood menghantar paket SERVER FAIL kembali kepada penghantar pertanyaan UDP. Nilai lalai
kerana ini adalah 1.
hash_magic_number
Ini pernah digunakan untuk penjana cincang dalaman Deadwood untuk mengekalkan penjana cincang
agak rawak dan kebal terhadap jenis serangan tertentu. Dalam Deadwood 3.0, entropi untuk
fungsi hash dicipta dengan melihat kandungan /dev/urandom (secret.txt pada Windows
mesin) dan cap masa semasa. Parameter ini hanya terdapat di sini konfigurasi yang lebih lama
fail tidak pecah dalam Deadwood 3.0.
ip_blacklist
Ini ialah senarai IP yang kami tidak benarkan untuk menjadi jawapan kepada permintaan DNS. The
sebab untuk ini adalah untuk mengatasi amalan sesetengah ISP untuk menukar "laman web ini
tidak wujud" jawapan DNS ke halaman yang dikawal oleh ISP; ini mengakibatkan kemungkinan
isu keselamatan.
Parameter ini hanya menerima IP individu dan tidak menggunakan topeng jaring.
maradns_uid
Deadwood id pengguna dijalankan sebagai. Ini boleh menjadi sebarang nombor antara 10 dan 65535; lalai
nilai ialah 99 (tiada sesiapa pada pengedaran Linux terbitan RedHat). Nilai ini tidak digunakan pada
sistem Windows.
maradns_gid
Kumpulan-id Deadwood berjalan sebagai. Ini boleh menjadi sebarang nombor antara 10 dan 65535; lalai
nilai ialah 99. Nilai ini tidak digunakan pada sistem Windows.
max_ar_chain
Sama ada putaran rekod sumber didayakan. Jika ini mempunyai nilai 1, rekod sumber
putaran didayakan, jika tidak putaran rekod sumber dinyahdayakan.
Putaran rekod sumber biasanya diingini, kerana ia membenarkan DNS bertindak seperti mentah
pengimbang beban. Walau bagaimanapun, pada sistem yang dimuatkan dengan berat, ia mungkin diingini untuk melumpuhkannya
mengurangkan penggunaan CPU.
Sebab nama luar biasa untuk pembolehubah ini adalah untuk mengekalkan keserasian dengan MaraDNS
fail mararc.
Nilai lalai ialah 1: Putaran rekod sumber didayakan.
max_inflights
Bilangan maksimum pelanggan serentak yang kami proses pada masa yang sama untuk pertanyaan yang sama.
Jika, semasa memproses pertanyaan untuk, sebut, "example.com.", pelanggan DNS lain menghantar kepada
Deadwood pertanyaan lain contohnya.com, bukannya membuat pertanyaan baharu untuk diproses
example.com, Deadwood akan melampirkan klien baharu pada pertanyaan yang sama yang sudah "in
flight", dan hantar balasan kepada kedua-dua pelanggan sebaik sahaja kami mendapat jawapan contohnya.com.
Ini ialah bilangan pelanggan serentak yang boleh dimiliki oleh pertanyaan tertentu. Jika had ini
melebihi, pelanggan berikutnya dengan pertanyaan yang sama ditolak sehingga jawapan ditemui. Jika
ini mempunyai nilai 1, kami tidak menggabungkan berbilang permintaan untuk pertanyaan yang sama, tetapi memberikan setiap satu
meminta sambungannya sendiri.
Nilai lalai adalah 8.
max_ttl
Jumlah masa maksimum kami akan menyimpan entri dalam cache, dalam beberapa saat (juga dipanggil
"TTL Maksimum").
Ini adalah yang paling lama kami akan menyimpan entri dalam cache. Nilai lalai untuk parameter ini ialah
86400 (sehari); nilai minimum ialah 300 (5 minit) dan nilai maksimum yang boleh dimiliki oleh ini
ialah 7776000 (90 hari).
Sebab mengapa parameter ini ada di sini adalah untuk melindungi Deadwood daripada serangan yang mengeksploitasi
terdapat data basi dalam cache, seperti serangan "Nama Domain Hantu".
elemen_cache maksimum
Bilangan maksimum elemen yang dibenarkan untuk dimiliki oleh cache kami. Ini adalah nombor antara 32
dan 16,777,216; nilai lalai untuk ini ialah 1024. Ambil perhatian bahawa, jika menulis cache ke
cakera atau membaca cache daripada cakera, nilai yang lebih tinggi daripada ini akan memperlahankan cache
membaca/menulis.
Jumlah memori yang digunakan oleh setiap entri cache adalah berubah-ubah bergantung pada sistem pengendalian
digunakan dan saiz halaman peruntukan memori yang ditetapkan. Dalam Windows XP, sebagai contoh, setiap satu
entri menggunakan kira-kira empat kilobait memori dan Deadwood mempunyai overhed
kira-kira 512 kilobait. Jadi, jika terdapat 512 elemen cache, Deadwood menggunakan
kira-kira 2.5 megabait memori, dan jika terdapat 1024 elemen cache, Deadwood menggunakan
kira-kira 4.5 megabait memori. Sekali lagi, nombor ini adalah untuk Windows XP dan lain-lain
sistem pengendalian akan mempunyai nombor peruntukan memori yang berbeza.
Sila ambil perhatian bahawa setiap entri root_servers dan upstream_servers mengambil ruang dalam Deadwood's
cache dan maksimum_cache_elements itu perlu ditingkatkan untuk menyimpan sejumlah besar
entri ini.
maxprocs
Ini ialah bilangan maksimum sambungan UDP jauh yang belum selesai yang boleh dimiliki oleh Deadwood. The
nilai lalai untuk ini ialah 1024.
max_tcp_procs
Ini ialah bilangan sambungan TCP terbuka yang dibenarkan. Nilai lalai: 8
num_retry
Bilangan kali kami cuba semula menghantar pertanyaan ke hulu sebelum berputus asa. Jika ini 0, kita
cuba sekali sahaja; jika ini adalah 1, kami mencuba dua kali, dan seterusnya, sehingga 32 percubaan semula. Perhatikan bahawa setiap
cuba semula mengambil masa tamat_saat sebelum kita mencuba semula. Nilai lalai: 5
ns_glueless_type
Jenis RR yang kami hantar untuk menyelesaikan rekod tanpa gam. Ini sepatutnya 1 (A) apabila digunakan terutamanya
IPv4 untuk menyelesaikan rekod. Jika rekod NS tanpa gam mempunyai rekod AAAA tetapi bukan rekod A, dan IPv6 adalah
didayakan, mungkin masuk akal untuk memberikan ini nilai 255 (APA). Jika IPv4 berhenti menjadi
digunakan secara besar-besaran, akhirnya menjadi mungkin untuk menjadikan ini mempunyai nilai 28
(Aaaa).
Nilai lalai ialah 1: Rekod A (IPv4 IP). Parameter ini mempunyai tidak telah diuji; gunakan di
risiko anda sendiri.
fail_biji_rawak
Ini ialah fail yang mengandungi nombor rawak, dan digunakan sebagai benih untuk
penjana nombor rawak yang kuat secara kriptografi. Deadwood akan cuba membaca 256 bait
daripada fail ini (penggunaan RNG Deadwood boleh menerima aliran dengan panjang sewenang-wenangnya).
Ambil perhatian bahawa fungsi pemampatan cincang memperoleh sebahagian daripada entropinya sebelum menghuraikan
mararc, dan dikodkan keras untuk mendapatkan entropi daripada /dev/urandom (secret.txt pada Windows
sistem). Kebanyakan entropi lain yang digunakan oleh Deadwood berasal dari fail yang ditunjuk oleh
fail_biji_rawak.
recurse_min_bind_port
Pelabuhan bernombor terendah Deadwood dibenarkan untuk mengikat; ini adalah nombor port rawak yang digunakan
untuk port sumber pertanyaan keluar, dan bukan 53 (lihat dns_port di atas). Ini adalah
nombor antara 1025 dan 32767, dan mempunyai nilai lalai 15000. Ini digunakan untuk membuat DNS
serangan spoofing lebih sukar.
recurse_number_ports
Bilangan port Deadwood mengikat untuk port sumber untuk sambungan keluar; ini
ialah kuasa 2 antara 256 dan 32768. Ini digunakan untuk menjadikan serangan spoofing DNS lebih banyak
sukar. Nilai lalai ialah 4096.
rekursif_acl
Ini ialah senarai orang yang dibenarkan menggunakan Deadwood untuk melakukan rekursi DNS, dalam "ip/mask"
format. Topeng mestilah nombor antara 0 dan 32 (untuk IPv6, antara 0 dan 128). Sebagai contoh,
"127.0.0.1/8" membenarkan sambungan tempatan.
tolak_aaaa
Jika ini mempunyai nilai 1, jawapan SOA palsu "tidak ada" dihantar apabila pertanyaan AAAA
dihantar ke Deadwood. Dengan kata lain, setiap kali program meminta Deadwood untuk IP IPv6
alamat, bukannya cuba memproses permintaan, apabila ini ditetapkan kepada 1, Deadwood
berpura-pura nama hos yang dimaksudkan tidak mempunyai alamat IPv6.
Ini berguna untuk orang yang tidak menggunakan IPv6 tetapi menggunakan aplikasi (biasanya *NIX command
seperti aplikasi seperti "telnet") yang memperlahankan usaha untuk mencari alamat IPv6.
Ini mempunyai nilai lalai 0. Dalam erti kata lain, pertanyaan AAAA diproses seperti biasa melainkan
ini ditetapkan.
reject_mx
Apabila ini mempunyai nilai lalai 1, pertanyaan MX digugurkan secara senyap dengan IP mereka
dilog. Pertanyaan MX ialah pertanyaan yang hanya dilakukan oleh mesin jika ia ingin menjadi miliknya
pelayan mel menghantar mel ke mesin di internet. Ini adalah pertanyaan desktop biasa
mesin (termasuk yang menggunakan Outlook atau ejen pengguna mel lain untuk membaca dan menghantar
e-mel) tidak akan pernah membuat.
Kemungkinan besar, jika mesin cuba membuat pertanyaan MX, mesin itu dikawal oleh
sumber jauh untuk menghantar e-mel "spam" yang tidak diingini. Dalam fikiran ini, Deadwood tidak akan membenarkan
Pertanyaan MX perlu dibuat melainkan reject_mx ditetapkan secara eksplisit dengan nilai 0.
Sebelum melumpuhkan ini, sila ingat bahawa Deadwood dioptimumkan untuk digunakan untuk web
melayari, bukan sebagai pelayan DNS untuk hab mel. Khususnya, IP untuk rekod MX ialah
dialih keluar daripada balasan Deadwood dan Deadwood perlu melakukan pertanyaan DNS tambahan untuk
dapatkan IP yang sepadan dengan rekod MX, dan ujian Deadwood lebih menjurus untuk web
melayari (hampir 100% carian rekod) dan bukan untuk penghantaran mel (rekod MX yang luas
carian).
reject_ptr
Jika ini mempunyai nilai 1, jawapan SOA palsu "tidak ada" dihantar apabila pertanyaan PTR dibuat
dihantar ke Deadwood. Dengan kata lain, setiap kali program meminta Deadwood untuk "reverse DNS
lookup" -- nama hos untuk alamat IP yang diberikan -- bukannya cuba memproses
permintaan, apabila ini ditetapkan kepada 1, Deadwood berpura-pura alamat IP yang dipersoalkan tidak mempunyai
nama hos.
Ini berguna untuk orang yang mendapat tamat masa DNS yang perlahan apabila cuba melakukan a
carian DNS terbalik pada IP.
Ini mempunyai nilai lalai 0. Dalam erti kata lain, pertanyaan PTR diproses seperti biasa melainkan
ini ditetapkan.
kebangkitan
Jika ini ditetapkan kepada 1, Deadwood akan cuba menghantar rekod tamat tempoh kepada pengguna sebelum memberi
naik. Jika 0, kami tidak. Nilai lalai: 1
root_servers
Ini ialah senarai pelayan akar; sintaksnya adalah sama dengan upstream_servers (lihat di bawah).
Ini ialah jenis perkhidmatan DNS ICANN, contohnya, dijalankan. Ini adalah pelayan yang digunakan yang berfungsi
tidak memberi kami jawapan lengkap kepada soalan DNS, tetapi hanya memberitahu kami pelayan DNS yang mana
sambung ke untuk mendapatkan jawapan yang lebih dekat dengan jawapan yang kami inginkan.
Sila ambil perhatian bahawa setiap entri root_servers mengambil ruang dalam cache Deadwood dan itu
maksimum_cache_elements perlu ditingkatkan untuk menyimpan sejumlah besar entri ini.
tcp_listen
Untuk mendayakan DNS-over-TCP, pembolehubah ini mesti ditetapkan dan mempunyai nilai 1. Lalai
nilai: 0
tamat masa_saat
Ini ialah tempoh masa Deadwood akan menunggu sebelum menyerah dan membuang DNS UDP yang belum selesai
balas. Nilai lalai untuk ini ialah 1, seperti dalam 1 saat, melainkan Deadwood telah disusun dengan
FALLBACK_TIME didayakan.
tamat_saat_tcp
Berapa lama untuk menunggu pada sambungan TCP melahu sebelum menjatuhkannya. Nilai lalai untuk ini
ialah 4, seperti dalam 4 saat.
ttl_age
Sama ada penuaan TTL didayakan; sama ada entri dalam cache mempunyai TTL mereka ditetapkan sebagai
jumlah masa entri telah ditinggalkan dalam cache.
Jika ini mempunyai nilai 1, entri TTL adalah berumur. Jika tidak, mereka tidak. lalai
nilai untuk ini ialah 1.
hulu_pelabuhan
Ini adalah port yang digunakan Deadwood untuk menyambung atau menghantar paket ke pelayan huluan. The
nilai lalai untuk ini ialah 53; port DNS standard.
upstream_servers
Ini ialah senarai pelayan DNS yang akan cuba dihubungi oleh pengimbang beban. Ini adalah
kamus berubah-ubah (tatasusunan diindeks oleh rentetan dan bukannya dengan nombor) bukannya mudah
pembolehubah. Memandangkan upstream_servers ialah pembolehubah kamus, ia perlu dimulakan
sebelum digunakan.
Deadwood akan melihat nama hos yang sedang cuba mencari pelayan huluan
untuk, dan akan sepadan dengan akhiran terpanjang yang boleh ditemuinya.
Contohnya, jika seseorang menghantar pertanyaan untuk "www.foo.example.com" kepada Deadwood, Deadwood akan
mula-mula lihat jika terdapat pembolehubah upstream_servers untuk "www.foo.example.com.", kemudian lihat
untuk "foo.example.com.", kemudian cari "example.com.", kemudian "com.", dan akhirnya ".".
Berikut ialah contoh upstream_servers:
upstream_servers = {} # Mulakan pembolehubah kamus
upstream_servers["foo.example.com."] = "192.168.42.1"
upstream_servers["example.com."] = "192.168.99.254"
upstream_servers["."] = "10.1.2.3, 10.1.2.4"
Dalam contoh ini, apa-apa yang berakhir dengan "foo.example.com" diselesaikan oleh pelayan DNS di
192.168.42.1; apa-apa lagi yang berakhir dengan "example.com" diselesaikan oleh 192.168.99.254; dan
apa-apa yang tidak berakhir dengan "example.com" diselesaikan oleh sama ada 10.1.2.3 atau 10.1.2.4.
penting: nama domain upstream_servers menunjuk ke mesti berakhir dengan "." watak. Ini adalah
OK:
upstream_servers["example.com."] = "192.168.42.1"
Tetapi ini tidak OK:
upstream_servers["example.com"] = "192.168.42.1"
Sebab untuk ini adalah kerana BIND terlibat dalam tingkah laku yang tidak dijangka apabila nama hos
tidak berakhir dengan titik, dan dengan memaksa titik di hujung nama hos, Deadwood tidak mempunyai
untuk meneka sama ada pengguna mahukan tingkah laku BIND atau tingkah laku "biasa".
Jika root_servers mahupun upstream_servers tidak ditetapkan, Deadwood menetapkan root_servers untuk digunakan
pelayan akar ICANN lalai, seperti berikut:
198.41.0.4 a.root-servers.net (VeriSign)
192.228.79.201 b.root-servers.net (ISI)
192.33.4.12 c.root-servers.net (Cogent)
199.7.91.13 d.root-servers.net (UMaryland)
192.203.230.10 e.root-servers.net (NASA Ames)
192.5.5.241 f.root-servers.net (ISC)
192.112.36.4 g.root-servers.net (DOD NIC)
128.63.2.53 h.root-servers.net (ArmyRU)
192.36.148.17 i.root-servers.net (NORDUnet)
192.58.128.30 j.root-servers.net (VeriSign)
193.0.14.129 k.root-servers.net (Reseaux)
199.7.83.42 l.root-servers.net (IANA)
202.12.27.33 m.root-servers.net (LEBAR)
Senarai ini adalah terkini pada 9 Februari 2015 dan kali terakhir ditukar pada 3 Januari 2013.
Sila ambil perhatian bahawa setiap entri upstream_servers mengambil ruang dalam cache Deadwood dan itu
maksimum_cache_elements perlu ditingkatkan untuk menyimpan sejumlah besar entri ini.
verbose_level
Ini menentukan bilangan mesej yang dilog pada output standard; nilai yang lebih besar log lebih banyak
mesej. Nilai lalai untuk ini ialah 3.
ip/topeng format of IP
Deadwood menggunakan format ip/netmask standard untuk menentukan IP. Satu ip adalah dalam perpuluhan bertitik
format, cth "10.1.2.3" (atau dalam format IPv6 apabila sokongan IPv6 disusun dalam).
Netmask digunakan untuk menentukan julat IP. Netmask ialah nombor tunggal antara 1
dan 32 (128 apabila sokongan IPv6 dikompilasi), yang menunjukkan bilangan "1" terkemuka
bit dalam netmask.
10.1.1.1/24 menunjukkan bahawa mana-mana ip dari 10.1.1.0 hingga 10.1.1.255 akan sepadan.
10.2.3.4/16 menunjukkan bahawa mana-mana ip dari 10.2.0.0 hingga 10.2.255.255 akan sepadan.
127.0.0.0/8 menunjukkan bahawa mana-mana ip dengan "127" sebagai oktet pertama (nombor) akan sepadan.
Netmask adalah pilihan, dan, jika tidak ada, menunjukkan bahawa hanya satu IP akan sepadan.
DNS lebih TCP
DNS-over-TCP perlu didayakan secara eksplisit dengan menetapkan tcp_listen kepada 1.
Deadwood mengekstrak maklumat berguna daripada paket DNS UDP yang ditanda dipotong yang hampir
sentiasa mengalih keluar keperluan untuk mempunyai DNS-over-TCP. Walau bagaimanapun, Deadwood tidak menyimpan cache paket DNS
lebih besar daripada 512 bait dalam saiz yang perlu dihantar menggunakan TCP. Selain itu, DNS-over-TCP
paket yang "tidak lengkap" balasan DNS (balasan yang tidak boleh digunakan oleh penyelesai rintisan,
yang boleh sama ada rujukan NS atau balasan CNAME yang tidak lengkap) tidak dikendalikan dengan betul
oleh Deadwood.
Deadwood mempunyai sokongan untuk DNS-over-UDP dan DNS-over-TCP; daemon yang sama mendengar
kedua-dua port UDP dan TCP DNS.
Hanya pertanyaan DNS UDP dicache. Deadwood tidak menyokong caching melalui TCP; ia mengendalikan
TCP untuk menyelesaikan balasan terpenggal yang jarang berlaku tanpa sebarang maklumat berguna atau untuk digunakan
penyelesai DNS TCP sahaja yang tidak mematuhi RFC yang sangat luar biasa. Dalam dunia nyata, DNS-over-TCP adalah
hampir tidak pernah digunakan.
Parsing lain fail
Ada kemungkinan untuk mempunyai Deadwood, sambil menghuraikan fail dwood3rc, membaca fail lain dan
menghuraikannya seolah-olah ia adalah fail dwood3rc.
Ini dilakukan dengan menggunakan execfile. Untuk menggunakan execfile, letakkan baris seperti ini dalam dwood3rc
fail:
execfile("path/to/filename")
Di mana laluan/ke/nama fail ialah laluan ke fail untuk dihuraikan seperti fail dwood3rc.
Semua fail mesti berada di dalam atau di bawah direktori /etc/maradns/deadwood/execfile. Nama fail boleh
hanya mempunyai huruf kecil dan aksara garis bawah ("_"). Laluan mutlak tidak
dibenarkan sebagai hujah untuk execfile; nama fail tidak boleh bermula dengan garis miring ("/")
watak.
Jika terdapat ralat parse dalam fail yang ditunjuk oleh execfile, Deadwood akan melaporkan
ralat sebagai berada di baris dengan perintah execfile dalam fail dwood3rc utama. Untuk mencari
apabila ralat parse berada dalam sub-fail, gunakan sesuatu seperti "Deadwood -f
/etc/maradns/deadwood/execfile/filename" untuk mencari ralat parse dalam fail yang menyinggung perasaan,
di mana "nama fail" ialah fail ke untuk dihuraikan melalui execfile.
IPV6 menyokong
Pelayan ini juga boleh disusun secara pilihan untuk mempunyai sokongan IPv6. Untuk membolehkan IPv6
sokongan, tambahkan '-DIPV6' pada bendera masa kompilasi. Sebagai contoh, untuk menyusun ini untuk membuat a
binari kecil, dan mempunyai sokongan IPv6:
eksport FLAGS='-Os -DIPV6'
membuat
KESELAMATAN
Deadwood ialah program yang ditulis dengan mengambil kira keselamatan.
Selain menggunakan perpustakaan rentetan tahan buffer-overflow dan gaya pengekodan dan SQA
proses yang menyemak limpahan penimbal dan kebocoran memori, Deadwood menggunakan kuat
penjana nombor pseudo-rawak (RadioGatun versi 32-bit) untuk menjana kedua-dua
ID pertanyaan dan port sumber. Untuk penjana nombor rawak selamat, Deadwood memerlukan a
sumber entropi yang baik; secara lalai Deadwood akan menggunakan /dev/urandom untuk mendapatkan entropi ini. Jika
anda menggunakan sistem tanpa sokongan /dev/urandom, adalah penting untuk memastikannya
Deadwood mempunyai sumber entropi yang baik supaya ID pertanyaan dan port sumber sukar dilakukan
meneka (jika tidak, mungkin untuk memalsukan paket DNS).
Port Windows Deadwood termasuk program yang dipanggil "mkSecretTxt.exe" yang mencipta a
Fail rawak 64-bait (512 bit) yang dipanggil "secret.txt" yang boleh digunakan oleh Deadwood (melalui
parameter "random_seed_file"); Deadwood juga mendapat entropi daripada cap masa apabila Deadwood
dimulakan dan nombor ID proses Deadwood, jadi adalah sama untuk menggunakan statik yang sama
fail secret.txt sebagai fail_seed_rawak untuk berbilang seruan Deadwood.
Ambil perhatian bahawa Deadwood tidak dilindungi daripada seseorang pada rangkaian yang sama melihat paket yang dihantar
oleh Deadwood dan menghantar paket palsu sebagai balasan.
Untuk melindungi Deadwood daripada serangan penafian perkhidmatan tertentu, adalah lebih baik jika
Nombor perdana Deadwood yang digunakan untuk elemen pencincangan dalam cache ialah perdana 31-bit rawak
nombor. Program RandomPrime.c menjana perdana rawak yang diletakkan dalam fail
DwRandPrime.h yang dijana semula pada bila-bila masa sama ada program disusun atau perkara-perkara lain
dibersihkan dengan make clean. Program ini menggunakan /dev/urandom untuk entropinya; fail
DwRandPrime.h tidak akan dijana semula pada sistem tanpa /dev/urandom.
Pada sistem tanpa sokongan /dev/urandom langsung, dicadangkan untuk melihat sama ada terdapat a
cara yang mungkin untuk memberikan sistem berfungsi /dev/urandom. Dengan cara ini, apabila Deadwood adalah
disusun, nombor ajaib cincang akan menjadi rawak yang sesuai.
Jika menggunakan binari Deadwood yang telah disusun sebelumnya, sila pastikan bahawa sistem mempunyai /dev/urandom
sokongan (pada sistem Windows, sila pastikan bahawa fail dengan nama secret.txt ialah
dihasilkan oleh program mkSecretTxt.exe yang disertakan); Deadwood, semasa runtime, menggunakan
/dev/urandom (secret.txt dalam Windows) sebagai laluan berkod keras untuk mendapatkan entropi (bersama-sama dengan
cap waktu) untuk algoritma cincang.
DAEMONISASI
Deadwood tidak mempunyai sebarang kemudahan daemonisasi terbina dalam; ini dikendalikan oleh
program luaran Duende atau mana-mana daemonizer lain.
Contoh konfigurasi fail
Berikut ialah contoh fail konfigurasi dwood3rc:
# Ini ialah contoh fail rc deadwood
# Ambil perhatian bahawa ulasan dimulakan oleh simbol cincang
bind_address="127.0.0.1" # IP yang kami ikat
# Baris berikut dilumpuhkan dengan diulas keluar
#bind_address="::1" # Kami mempunyai sokongan IPv6 pilihan
# Direktori tempat kami menjalankan program (tidak digunakan dalam Win32)
chroot_dir = "/etc/maradns/deadwood"
# Pelayan DNS huluan berikut adalah milik Google
# (sehingga Disember 2009) pelayan DNS awam. Untuk
# maklumat lanjut, lihat halaman di
# http://code.google.com/speed/public-dns/
#
# Jika pelayan_akar mahupun pelayan_huluan tidak ditetapkan,
# Deadwood akan menggunakan pelayan akar ICANN lalai.
#upstream_servers = {}
#upstream_servers["."]="8.8.8.8, 8.8.4.4"
# Siapa yang dibenarkan menggunakan cache. baris ini
# membenarkan sesiapa sahaja dengan "127.0" sebagai dua yang pertama
# digit IP mereka untuk menggunakan Deadwood
recursive_acl = "127.0.0.1/16"
# Bilangan maksimum permintaan belum selesai
maxprocs = 2048
# Hantar SERVER FAIL apabila terlebih muatan
handle_overload = 1
maradns_uid = 99 # UID Deadwood berjalan sebagai
maradns_gid = 99 # GID Deadwood berjalan sebagai
unsur_cache maksimum = 60000
# Jika anda ingin membaca dan menulis cache dari cakera,
# pastikan chroot_dir di atas boleh dibaca dan boleh ditulis
# oleh maradns_uid/gid di atas, dan nyahkomen pada
# baris berikut.
#cache_file = "dw_cache"
# Jika pelayan DNS huluan anda menukar "tidak ada" balasan DNS
# ke IP, parameter ini membenarkan Deadwood menukar sebarang balasan
# dengan IP yang diberikan kembali ke IP "tidak ada". Jika mana-mana IP
# yang disenaraikan di bawah adalah dalam jawapan DNS, Deadwood menukar jawapannya
# masuk ke "tidak ada"
#ip_blacklist = "10.222.33.44, 10.222.3.55"
# Secara lalai, atas sebab keselamatan, Deadwood tidak membenarkan IP masuk
# 192.168.xx, 172.[16-31].xx, 10.xxx, 127.xxx,
# 169.254.xx, 224.xxx atau julat 0.0.xx. Jika menggunakan Deadwood
# untuk menyelesaikan nama pada rangkaian dalaman, nyahkomen pada
# baris berikut:
#filter_rfc1918 = 0
Gunakan kayu mati dalam talian menggunakan perkhidmatan onworks.net
