@pretendtobegod 也可以

```
@ IN SOA ns1.main.ccom. mail.main.ccom. (
```

ccom.??? 好好查查这句应该怎么写。

@Kobayashi

国内权威 DNS 解析不存在污染情况，如果需要屏蔽直接就被停止服务了。（参考 cloudxns 被勒令停止未备案域名解析案例）自动
境外权威 DNS 解析有可能无法获得国内 CDN 地址（ baidu.com,taobao.com 等可以获得），这个确实是本方案解决不了的问题。前面也有评论指出这一点，我回复是询问这种场景是什么，能想到的一个例子是苹果的 app store 下载。对于这类情况，附加步骤方法是将相关 CDN 的权威 DNS 服务器地址列入 china 段的 ipset 内（隐含因素是这类 CDN 能够在境内服务，说明它的业务合法），可以由脚本实现自动化，解析出来 ns 地址，加入 set 即可。难点是如何自动处理 ns ip 的变化。

@Kobayashi
对于分流实现的两个问题：
1 ）列表是需要的，但如主贴所述，不需要人工参与编辑。
2 ）你说的正确

相比其他方案，准确性确实略差（举例来说：本站有时候解析到国外，淘宝等解析到国内，一些国外 CDN 是解析到国外，国内 CDN 解析到国内），准确性完全依赖目标站点的权威 DNS 设置。好处是如 @rio 所述，不再需要根据各种情况变化不停变化升级了，一次设定好就完全自动化了。

Unbound 的设定，你的方式也可以的。对于企业内网所用的 unbound，则采用定期自动更新 ROOT DNS 文件方式更稳妥。

netstat -ltnp | grep 80 看一眼。此外 http://localhost 看一下。

现在用 IPS 比较多。此外还有加密通信的广泛采用使得 snort 这类开源软件失去了作用。

国内买个 vps，用 n2n 与你家服务器打通，用于同步视频。然后在这个 vps 上建立视频服务器。家人看视频从国内 vps 上看，最好以 udp 协议。或者就试试直接用 n2n 把你家和你家人家的设备打通。

数据库数据层可以部署在裸设备（块设备）上，文件系统是在裸设备上铺了一层寻址，数据库的这种方式也是铺一层寻址，与文件系统同级。所以是在操作系统之下的。

1 楼已经说了问题。。看我前几天发的帖子可以解决这类问题。

用公共邮箱的都会被鄙视哈哈哈

遇到过这样的情况是用户 shell 故障

自己建一个递归 DNS 就好了，压也是压垮它。网上的递归 DNS 都有一定能力限制的，记得暴风搞垮全国网络的事吧，虽然不标注它的压力，但是技术上确实有。

@zhjits 所以这个不由用户自己控制啊，需要等所有相关服务商都实施了才行。在没有得到这些服务之前，用本文方法不好么？

@zhjits 这事谁干？ CDN 厂商？各个网站？还是用户自己？ 如果不是所有网站都这样做的话，单凭用户自己可以做到么？

@mrzx

基本上是这个思路。

问题主要发生在向各个域的权威 DNS 查询这一步，得到的主机 IP 地址是否准确。[ 实际上，真实的响应并没有变化，只不过路上有错误的响应进行了抢答，由于解析原理是接受第一个返回的响应（ UDP，无验证），所以实际上接受了一个错误的响应内容。]

这种干扰主要针对权威 DNS 设置在国外的网站。那么，对于这种情况，UDP 包走加密通道，就不会有错误的应答进行干扰。

由于国内的网站，权威 DNS 基本上都在国内，因此对其的查询，是直连的，从 DNS 看来，源 IP 来自你的 ISP，所以权威 DNS 如果有设置针对不同来源响应不同 IP 的话，能够给到准确的 IP，有时候，这些 IP 是第三方 CDN 的。

已有的一些方法，向权威 DNS 查询的时候，源 IP 都已经不是本来的（例如各种公共 DNS 作为源向权威 DNS 查询，再例如用 name list 区分一部分域通过 TCP，用另外的主机发起 UDP 查询）。这类方法，对于 CDN 并不能很好适配。

这样说不知是否解释得有条理一些。若还有疑问可以进一步讨论。

@rio 延迟是个问题，所以增加 cache TTL 时间用来尽量减少首次解析的频率。TCP/TLS 并没有禁用，只是不强制使用 TCP 向 ROOT DNS 发起查询。如果强制 TCP，ROOT/TLD DNS 是没有响应的。

@rio 是的，要精简个只用 unbound 的。正在听你的节目…… 看节目下的链接，研究还是比较深入的。