unbound - libevent / ports ?!?
Dan Lukes
dan at obluda.cz
Fri Dec 16 04:49:37 CET 2016
Peter Hodur wrote:
>> Ono je to v zakladnim systemu v podstate prave kvuli tomu, aby v zakladnim
>> systemu byl jednoduchy resolver.
> ano, mas pravdu. Aj ked dalo by sa bavit o tom, ci to je naozaj treba, ked
> vzdy je po ruke nejaky resolver - minimalne ten od Google/Verisign resp. od
> lokalneho ISP.
Jo tak odsud pochazi to zasadni nedorozumeni ...
Totiz:
"minimalne ten od Google/Verisign resp. od lokalneho ISP"
... je rekurzivni resolver.
Rekurzivni resolver je ale v zasade "full sized DNS server", jen bez
toho, ze by byl autoritativni pro nejakou konkrenti zonu.
Ale v systemu porad potrebujes kod, ktery bude s takovym vzdalenym
rekurzivnim resolverem "mluvit". A tedy nejmene nerekurzivni resolver.
Kdyz mluvime o resolveru v zakladnim systemu, tak ja mluvim o tomhle a
vsechno co jsem napsal se tykalo tohohle.
Rekurzivni resolver uz u me spada to te casti "nainstaluj si z portu to,
co ti nejlepe vyhovuje".
>> BIND
> vsetci sme ho davali prec :)
Ja ne, me vyhovuje. Jak pro male domaci instalace, tak pro slozite a
velke "podnikove". Asi by mi mohl vyhovovat i nejaky jiny, ale nikdy se
nenaskytl dostatecny duvod k prechodu.
Tady ale neni vhodne misto na flame o "tom nejlepsim DNS serveru" ;-)
> domain-insecure: 10.in-addr.arpa.
>
> pre vsetky podobne zony. Su to reverzy. Mam tomu rozumiet tak, ze
> .in-addr.arpa. je v koreni podpisana a toto je dolezite, aby pripadne "moje
> reverzy" nastavene cez local-data-ptr nemuseli byt?
Ne, kvuli tomuhle urcite ne, to musi mit jiny duvod. Takhle DNSSEC
nefunguje. Ten funguje tak, ze do nadrazene zony umistujes podepsany
klic zony delegovane.
Podzony 10.in-addr.arpa. jsou nedelegovatelne, takze neni nikdo, kdo by
do 10.in-addr.arpa. mohl klic delegovane zony predat. Ergo tam zadny
umisten neni a i v budoucnosti tezko bude.
Takze jedine co me napada je, ze se "pro jistotu" brani proti pomerne
"divne" situaci, kdy se s notebookem nejprve budes pohybovat v neci
siti, kde reverzy podepsane budou (proprietarnim klicem s ciste lokalni
platnosti, jehoz akceptaci sis u sebe v konfiguraci vyslovne zaridil).
No a pak s tim notebookem, ktery muze mit ve sve DNS cache ulozeno
ledacos, prijdes nekam jinam, kde maji "normalni konfiguraci", jenze
tvuj notebook si na zaklade sve cache bude stale myslet, ze konkretni
reverzy maji byt podepsane ...
Mimochodem, pokud koukam spravne, tak in-addr.arpa podepsana je, ale
samotna 10.in-addr.arpa uz nikoliv - takze by do ni neslo nadelegovat
popdepsanou zonu ani technicky (pomineme-li moznost, ze by takova zona
nebyla delegovana "dle dobrych mravu", z urovne 10.in-addr.arpa, ale
"prekvapive", z nejake urovne vyssi).
> unblock-lan-zones: yes
>
> ak som spravne pochopil dokumentaciu tak dopyty na reverzy z privatneho
> priestoru unbound implicitne filtruje a rovno vracia lokalne data?
Ano, to je v typickem pripade velmi rozumne chovani - pod
10.in-addr.arpa. nemohou byt ve verejnem prostoru legitimne nadelegovane
zadne "podzony", takze nema prakticky smysl, aby se nejaky lokalni
resolver pokousel reverzni adresy zresolvit posilanim dotazu do
verejneho prostoru.
> preco by to malo byt povolene a uz vobec nie v default konfigu...
Zrejme prevazil postoj "hlavne aby to vsem fungovalo vsem vsude, i kdyz
tomu naprosto nerozumi" nad pristupem "radeji at to rozumne funguje v
typickem prostredi, a pro netypicke si to prislusny odbornik
prekonfiguruje".
Dan
More information about the Users-l
mailing list