NIC a AXFR (was Re: ACL v BINDU - vyznam...)

Dan Lukes dan na fio.cz
Pátek Srpen 27 17:11:26 CEST 1999 

Petr Novotny wrote:

> >       Naprsto ale souhlasim s pozadavkem nadrazeneho registratora,
> > aby smel pred zaregistrovanim domeny skontrolovat jeji korektnost.
...
> > A nejednodusi zpusob jak to okontrolovat je analyzovat kompletni
> > obsah domeny, na coz je AXFR prenos idealni.
> 
> Dobra. V tom pripade musi byt na tom povidani o registraci
> uvedeno "Pro zkontrolovani bude proveden AXFR z ip adresy
> 256.762.32.11. Pokud nerozumite ani slovo, tak se vas tenhle
> odstavec netyka."

	To uz jsme ale debatu hodne posunuli. Ted uz NICu nevycitas,
ze AXFR vyzaduje, ale ze na to explicitne nevyzaduje jeho povoleni.
Dovolim si tedy odkazat na jinou vetev tohoto threadu, kde jsem se
zeptal, jestli OPRAVDU nekdo ozkousel, jestli registrace domeny
neprojde, pokud je AXFR zakazane. Zatim jsou tam dve odpovedi. Jedna
rika, ze ozkousel a domena neprosla. Druhy rika, ze registrace
prosla. Pokud NIC (zatim je to 1:1) AXFR pro registraci nevyzaduje,
je otazka nad cim to tedy vlastne diskutujeme. 
 
> Mam log plny toho, ze isdn.cz IN NS ukazuje na CNAME. A co
> dela registrator? Nic... Ano, muzu si zakazat logovani, nebo koupit
> vetsi disk, ale to neni jadro pudla.

	Registrator zverejnuje kazdy mesic cs.errors - seznam
chyb pri prochazeni domen druhe urovne (ted ma zapakovany cca 130kB).
Zatim ocekava od spravcu, ze jim o jejich domeny jde samotnym,, ze 
se obcas timto souborem proberou a kdyz se tam najdou, tak se opravi.
Nemusite vznaset namitku, ze o tomhle souboru nikdo nevi. Je pravda,
ze o nem vi jen ti nejstarsi pardalove.
	Jeste pred rokem jsem v mesiaskych zachvatech obcas
rozesilal spravcum uvedenych domen upozorneni, ze maji takovou
a takovou chybu a jak ji nejlepe opravit. Podle vetsiny reakci
soudim, ze by to byla zadana sluzba. Jen by nekdo musel napsat
software, ktery by to delal automaticky.
 
> >       Souhlasim. WWW je ciste tvuj problem, jeho nefunkcnost
> > zpusobi problem jen tobe a tvym klientum (to u DNS neplati).

> Ovsem stale jeste: Nemel by taky kontrolovat jine prohresky?
> IN MX ukazuje na CNAME
> IN NS ukazuje na CNAME
> IN A ukazuje na CNAME!!!!! (uz jsem to taky videl)
> A to nejen pri zavedeni.

	Predpokladal jsem, ze vsechny tyto prohresky pri zavedeni
kontroluje. Jiste, i pozdeji by mohl a snad by mel tech-c na chyby
v domenach upozornovat. Realitou ale je, ze nevim o zadnem NIC na
svete, ktery by takovou kontrolu delal. Sice by tohle nemela byt
pro CZ-NIC omluva, ale informace to je.
 
> A nemel by taky kontrolovat konzistentnost reverznich zaznamu?

	Mel.

> Nemel by kontrolovat, zda nejsou v DNS interni zaznamy typu
> 192.168?

	To si nejsem zcela jist.
 
> Porad jeste neshledavam, koho krome sebe "ohrozuju" tim, ze
> mam bordel v DNS, kterou spravuji. Pokud se z me zony nepoblije
> sekundar, tak nevim, proc by mela nekomu vadit. Kdyz ji mam

	"Poblit" jak pekne rikas se z vadneho zaznamu muze nejen
sekundar, ale take jakykoli jiny DNS, ktery reverzne zpracovava
dotaz a nakonec se zepta tebe. Totez plati i pro resolvery
klientu. Jiste. Pokud budou TYTO programy korektne napsane,
tak to nikumu neublizi. Nastesti se ale zatim k podobnym problemum
nepristupuje se sobeckym prohlasenim "maj to blbe, ze jim to na
blby zaznamy blbe reaguje - tak at se staraj". Vseobecne se zatim
uznava oboustrana zodpovednost za funkccnost internetu. Software ma
samozrejme byt napsan dobre. Nikdo by ale nemel mit
cokolivnastaveno mimo platne zvyklosti a provokovat tak tim
problemy u nekoho jineho (i kdyz ten ma vadny software).

> Podminene souhlasim s tim, ze by CZ-NIC mohl kontrolovat
> schopnosti uzivatelu, nez je pusti na sit. Ovsem nevim, proc zrovna
> ze schopnosti nakonfigurovat doprednou domenu se dela veda (a
> ze schopnosti udelat revers - a to konzistentne s doprednou) nikoliv.

	Ano, i ja si myslim, ze testy NICu jsou "mekke". Ja bych
reverzy testoval taky ...
	Obzvlast kdyz vidim, jak jsou mezi nami i nekteri velci ISP
bez poradne nakonfigurovane site.

	Neexistence reverzu je bezohledna, protoze zbytecne zvysuje
zatizeni site (az do doby, kdy se zacaly cacheovat negativni DNS
odpovedi).
 
> A stejne si myslim, ze nejvic bordelu vznikne v pripade, ze to
> nekde nekdo zkuseny nakonfiguruje (kamarad, technik od ISP,
> prodejce, pozdeji-firmu-opustivsi-zamestnanec) a pak se v tom
> zacne hrabat snazivy laik.

Souhlas.

							Dan

-- 

Dan Lukes            tel: +420 2 24102474, fax: +420 2 24102301
root, postmaster (and *master) of FIONet, webmaster of KolejNET
Administrator   of    www.antispam.cz's    spammer    blacklist
AKA: dan na obluda.cz, dan na freebsd.cz, dan na kolej.mff.cuni.cz

Další informace o konferenci Linux