DNS
Roman Neuhauser
neuhauser at bellavista.cz
Tue Dec 9 13:25:26 CET 2003
# dan at obluda.cz / 2003-12-08 14:13:10 +0100:
> Ondra Koutek napsal/wrote, On 12/08/03 13:29:
> >Tak jsem se chtel zeptat - komu teda vlastne moje DNS muze neodpovidat -
> >jedna se o primarni DNS, ktera je pro nasi domenu uvedena na NICu. Ta prece
> >musi odpovidat komukoliv, nebo snad ne?
>
> >> Nikoli, vezmete si napriklad ISP. Ti mohou mit zajem nepretezovat
> >> sve DNS servery a mohou chtit povolit pristup pouze lidem z
> >> vlastnich rad, tedy napriklad pouze svym klientum. Naopak pro sve
> >> vnitrni potreby mohou mit vlastni DNS.
>
> Tomas psal, ze ten DNS server je publikovanym autoritaivnim
> nameserverem pro nejakou domenu - na takovy server musi byt pristup
> zcela vseobecny, prinejmensim, co se tyce "beznych" dotazu, tykajicich
> se teto konkretni domeny.
>
> Varianty "nedovolit kvuli pretezovani" nebo"dovolit jen vlastnim
> lidem" v tomto pripade proste nepripadaji v uvahu.
>
> AXFR uz obecne dovoleno byt nemusi, tam skutecne staci, aby mely
> pristup sekundarni NS.
za predpokladu, ze se data replikuji timto zpusobem, coz nemusi byt
pravda.
> Co lze zakazat bez nebezpeci (respektive, co lze povolit jen
> omezenmu okruhu lidi) jsou "rekurzivni dotazy". Dotazy tykajici se primo
> delegovanych domen se tak vyridi, protoze ty se nevyrizuji rekurzivne,
> ostatni dotazy se vyrozivat nebudou (nebo budou jen pro omezeny okruh lidi).
to je velice spatny napad; zvlast v kombinaci s pochybnych chovanim
BINDu.
minuly tyden jsem resil problem s resolvery publikovanymi Eurotelem
pro svoje GPRS zakazniky. 2. prosince jsem dostal stiznost od
cloveka pripojeneho pomoci Eurotel GPRS, ze mu nefunguje preklad
domen publikovanych mnou spravovanym serverem. zjistil jsem, ze
jeden z Eurotelem publikovanych resolveru, 160.218.10.201, je zrejme
down (nereagoval na DNS dotazy, ani na pingy), a druhy, 194.228.2.1,
nektera jmena preklada normalne (www.seznam.cz), ale:
DNSCACHEIP=194.228.2.1 dnsqr ns bellavista.cz
2 bellavista.cz:
195 bytes, 1+0+6+1 records, response, noerror
query: 2 bellavista.cz
authority: cz 172782 NS ns2.nic.fr
authority: cz 172782 NS sunic.sunet.se
authority: cz 172782 NS ns-ext.vix.com
authority: cz 172782 NS cz.eunet.cz
authority: cz 172782 NS ns.uu.net
authority: cz 172782 NS ns.ripe.net
additional: ns.uu.net 3589 A 137.39.1.3
v nasledne debate s administratorem 194.228.2.1, Pavlem Urbanem
z Telecomu, rychle vyslo najevo, ze vubec nevi o tom, ze by Eurotel
pouzival ten stroj jako dns cache, a ze pro 160.218/16 neposkytuje
rekurzi, takze pokud dostane rekurzivni dotaz z "cizi" ip adresy,
da odpoved, pokud ji ma nacachovanou z drivejska, jinak referal
(ja bych spis rekl cache poison, prip. bandwidth waste).
Tohle chovani je primo vrazedne, protoze podporuje mezi lidmi zmatek
ohledne ruznych roli name serveru (rikejme jednomu server a druhemu
cache, nikdo prece nerika Squidu web server), a muzu se jenom
dohadovat, jakym zpusobem se 194.228.2.1 ocitla na te strance
(nicmene s vetou "to je jedno, dejte si tam treba name servery
volneho" uz jsem se od "pocitacovych odborniku" taky slysel).
BTW, v Eurotelu 3. prosince rano, kdyz jsem se konecne dovolal,
vubec nevedeli (Pavel Safarik) o tom, ze 160.218.10.201 cely den
vubec nejel, nicmene 4. uz na te strance byly jine IP adresy.
> Co se DJBDNS tyce - mozna mam uz zastarale nebi chybne onformace,
> ale mel jsem dojem, ze ono neumi na jednom stroji byt soucasne
> autoritativnim nameserverem pro nejakou domenu a soucasne rekurzivnim
> nameserverem slouzicim koncovym stanicim. Pokud je to pravda, pak muze
> Tomas DJBDNS pouzit jen v pripade, ze zminene DNS nepouzivaji nejaci
> uzivatele jako resolver.
djbdns je balik nekolika demonu, z nichz dva se pripojuji na 53/UDP:
dnscache (rekurzivni cache) a tinydns (autoritativni server). na
jednom stroji muzete mit tolik bezicich tinydns nebo dnscachi, kolik
mate IP adres.
--
If you cc me or remove the list(s) completely I'll most likely ignore
your message. see http://www.eyrie.org./~eagle/faqs/questions.html
More information about the Users-l
mailing list