NIC a AXFR (was Re: ACL v BINDU - vyznam...)
Petr Novotny
Petr.Novotny na antek.cz
Pátek Srpen 20 19:28:42 CEST 1999
-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1
> > To je dobre. Jeste by mel udelat kontrolu SMTP, WWW, zjistit,
> > zda nepouziva derave verze programu, atd.
[zvlastni, ze na tohle nikdo nereaguje]
> > Je to hrube nad ramec toho, co ma delat - registrovat domeny.
> > Podminkou registrace (technickou) by mela byt existence
> > funkcnich nameserveru. Zadne RFC _neprikazuje_, aby bylo AXFR
> > povolene, takze nameserver, ktery AXFR nepovoli, neni podle
> > zadneho RFC nefunkcni, a CZ NIC by se tim nemel dale zabyvat.
>
> Tady s tebou ovsem nesouhlasim. Pokud je pri registraci domeny provedena
> zakladni kontrola zaznamu, urcite to prispiva k dobre funkcnosti Internetu
> jako celku. Nevim, jake mas zkusenosti ty, ale ja osobne vim, ze bordel v DNS
> muze zpusobovat (a zpusobuje) mnoho komplikaci, stejne jako nedodrzovani
> mnoha jinych standardu. Navic, CZ NIC odpovida za provoz domeny .cz a jako
> takovy ma podle mne pravo kontrolovat subdomeny v ni.
A co tim AXFR zkontroluje? Bude rekurentne prochazet i
subdomeny, a hledat konzistentnosti v forward<->reverse DNS
lookupech? Bude zkouset, zda stroje, ktere jsou v DNS uvadeny,
existuji? Zkousi vubec, zda nekdo na adrese v SOA cte maily a
rozumi jim? Jestli ne, tak zkouska s AXFR neprinasi zadnou
dodatecnou kontrolu kompetentnosti adminu.
Ostatne NS zaznamy ukazujici na CNAME (ci MX zaznamy
ukazujici na CNAME) mam v logu furt, a to i od domen pomerne
frekventovanych... A nikdo je nerusi.
> CZ NICu bych vytknul mnoho veci, ale zrovna tex AXFR mi nijak zvlast nevadi.
Ale jiste, mne taky nevadi, a to presne do okamziku, kdy mi
odmitne zaregistrovat domenu, ze se jim nepovedlo ls -d v
nslookupu. Pak se nas*ru.
> Na druhou stranu si ale nejsem ani uplne jisty, jestli souhlasit s Martinem a
> povolovat AXFR uplne vsem. Myslim, ze minimalne za urcitych okolnosti neni od
> veci jej zakazat (napriklad kdyz nechci, aby si nekdo vylistoval vsechny
> domeny tretiho radu apod.).
Znovu se ptam: Proc ho vubec povolovat jinym nez sekundarum (a
mozna NICu)? Kdo kdy potrebuje neco vedet o vnitrnostech u me
na siti?
Tohle je teziste me argumentace - ne "Proc zakazat", ale "Proc
povolit". Nazory?
-----BEGIN PGP SIGNATURE-----
Version: PGP 6.0.2 -- QDPGP 2.60
Comment: http://community.wow.net/grt/qdpgp.html
iQA/AwUBN72QSVMwP8g7qbw/EQIfhQCfaaPNw3QQJ6fOsWgsbehKyqbgSZgAoO2p
92dY6x+FVOmkKXyyLRLwb1wl
=Nhe0
-----END PGP SIGNATURE-----
--
Petr Novotny, ANTEK CS
Petr.Novotny na antek.cz
http://www.antek.cz
PGP key ID: 0x3BA9BC3F
-- Don't you know there ain't no devil there's just God when he's drunk.
[Tom Waits]
Další informace o konferenci Linux