unbound - libevent / ports ?!?

Dan Lukes dan at obluda.cz
Fri Dec 16 04:49:37 CET 2016


Peter Hodur wrote:
>> Ono je to v zakladnim systemu v podstate prave kvuli tomu, aby v zakladnim
>> systemu byl jednoduchy resolver.

> ano, mas pravdu. Aj ked dalo by sa bavit o tom, ci to je naozaj treba, ked
> vzdy je po ruke nejaky resolver - minimalne ten od Google/Verisign resp. od
> lokalneho ISP.


Jo tak odsud pochazi to zasadni nedorozumeni ...

Totiz:

"minimalne ten od Google/Verisign resp. od lokalneho ISP"

... je rekurzivni resolver.

Rekurzivni resolver je ale v zasade "full sized DNS server", jen bez 
toho, ze by byl autoritativni pro nejakou konkrenti zonu.


Ale v systemu porad potrebujes kod, ktery bude s takovym vzdalenym 
rekurzivnim resolverem "mluvit". A tedy nejmene nerekurzivni resolver.

Kdyz mluvime o resolveru v zakladnim systemu, tak ja mluvim o tomhle a 
vsechno co jsem napsal se tykalo tohohle.

Rekurzivni resolver uz u me spada to te casti "nainstaluj si z portu to, 
co ti nejlepe vyhovuje".

>> BIND

> vsetci sme ho davali prec :)

Ja ne, me vyhovuje. Jak pro male domaci instalace, tak pro slozite a 
velke "podnikove". Asi by mi mohl vyhovovat i nejaky jiny, ale nikdy se 
nenaskytl dostatecny duvod k prechodu.

Tady ale neni vhodne misto na flame o "tom nejlepsim DNS serveru" ;-)

> domain-insecure: 10.in-addr.arpa.
>
> pre vsetky podobne zony. Su to reverzy. Mam tomu rozumiet tak, ze
> .in-addr.arpa. je v koreni podpisana a toto je dolezite, aby pripadne "moje
> reverzy" nastavene cez local-data-ptr  nemuseli byt?

Ne, kvuli tomuhle urcite ne, to musi mit jiny duvod. Takhle DNSSEC 
nefunguje. Ten funguje tak, ze do nadrazene zony umistujes podepsany 
klic zony delegovane.

Podzony 10.in-addr.arpa. jsou nedelegovatelne, takze neni nikdo, kdo by 
do 10.in-addr.arpa. mohl klic delegovane zony predat. Ergo tam zadny 
umisten neni a i v budoucnosti tezko bude.

Takze jedine co me napada je, ze se "pro jistotu" brani proti pomerne 
"divne" situaci, kdy se s notebookem nejprve budes pohybovat v neci 
siti, kde reverzy podepsane budou (proprietarnim klicem s ciste lokalni 
platnosti, jehoz akceptaci sis u sebe v konfiguraci vyslovne zaridil). 
No a pak s tim notebookem, ktery muze mit ve sve DNS cache ulozeno 
ledacos, prijdes nekam jinam, kde maji "normalni konfiguraci", jenze 
tvuj notebook si na zaklade sve cache bude stale myslet, ze konkretni 
reverzy maji byt podepsane ...

Mimochodem, pokud koukam spravne, tak in-addr.arpa podepsana je, ale 
samotna 10.in-addr.arpa uz nikoliv - takze by do ni neslo nadelegovat 
popdepsanou zonu ani technicky (pomineme-li moznost, ze by takova zona 
nebyla delegovana "dle dobrych mravu", z urovne 10.in-addr.arpa, ale 
"prekvapive", z nejake urovne vyssi).

> unblock-lan-zones: yes
>
> ak som spravne pochopil dokumentaciu tak dopyty na reverzy z privatneho
> priestoru unbound implicitne filtruje a rovno vracia lokalne data?

Ano, to je v typickem pripade velmi rozumne chovani - pod 
10.in-addr.arpa. nemohou byt ve verejnem prostoru legitimne nadelegovane 
zadne "podzony", takze nema prakticky smysl, aby se nejaky lokalni 
resolver pokousel reverzni adresy zresolvit posilanim dotazu do 
verejneho prostoru.

> preco by to malo byt povolene a uz vobec nie v default konfigu...

Zrejme prevazil postoj "hlavne aby to vsem fungovalo vsem vsude, i kdyz 
tomu naprosto nerozumi" nad pristupem "radeji at to rozumne funguje v 
typickem prostredi, a pro netypicke si to prislusny odbornik 
prekonfiguruje".


Dan



More information about the Users-l mailing list