Filtrovaci politika

[Roman Kolbábek]

Preji pekny den

> > > 1.V teto knize se pise, ze pro pristup odpovedi na DNS dotaz je nutne
> > povolit
> > > na vnejsi strane prichozi pakety:
> > > UDP zdrojovy port 53, cilovy port 53
> > > a TCP zdrojovy port 53, cilovy port > 1023
> >
> > TCP bych nepovoloval, pokud nechcete provozovat zonove prenosy. UDP
povolit
> > samozrejme musite.
>
> Zalezi na tom, kterym smerem to TCP mate na mysli.

Samozrejme odpoved jdouci z internetu do intranetu. V mem pripade mame na
intranetu DNS server, ktery obsluhuje nasi interni (neverejnou) domenu. Na
nej smerujeme veskere dotazy a on se pta verejnych DNS na to co sam nezna.
Ale to snad nema na princip funkce vliv. (Server se chova jako kazdy jiny
klient)

> Kdyz je totiz
> DNS paket prilis velky, takze se nevejde do UDP, pak se podle
> UDP s priznakem "truncated" a klient (resolver) polozi dotaz pres
> TCP.
>
> Cas od casu se najde sajt, ktery oversized DNS reply ma; jednu
> dobu to bylo treba i aol.com.

Uz se v tom zacinam vice orientovat. Za vsechny odpovedi dekuji.

--
Kolbis