Dotaz na spravnost DNS zaznamu

Stanislav Meduna stano-cznews na meduna.org
Sobota Březen 29 22:54:37 CET 2003 

On Sat, 29 Mar 2003 19:03:33 +0000 (UTC), Petr Simek wrote:

: Kolegovi, co to taky pouziva, naramne vadilo to mnozstvi radek v logu,
: tak si to prepsal na 554 u reject_unknown_client. Ja o tom taky uvazuji,
: je zbytecne aby se mi to spammer pokousel docpat X krat. Ten problem
: s pripadnou nedostupnosti DNS se da prekousnout, navic kazdy by mel
: mit jeden zalozni.

Viete vobec, kto robi reverzny nameserver vam? A kde je
jeho zaloha? Prave som si urobil traceroute na obidva -
az posledne tri hopy sa lisia, az po nix1-ge.cesnet.cz
je to rovnake a este dalsi hop je na rovnakej sieti
(195.113.157.0, reverz nema :-)). Je to sice lepsie
ako zaloha na rovnakej LAN-ke (aj take byva), ale tych
single points of failure je tam spusta. Takze ked raz
bude router v nix-e chvilkovo pretazeny, podobnym majstrom
neposlete postu. A to mate to stastie, ze si mozete
nameservery pre svoje siete spravovat sami. Bezny
zakaznik providera tu moznost nema.


Pisal som to uz Peakovi, ale vidim, ze to patri aj sem.
Bordel v nameserveroch nad nami uz davno zvitazil. V internete
sa pohybujem uz skoro 15 rokov a co si pamatam, tak to
lepsie nikdy nebolo.

Nad dovodmi sa da spekulovat - osobne povazujem za jeden
z hlavnych to, ze rozdelenie do forward a reverse zon porusuje
zasadu "jedna informacia na jednom mieste". Redundancia
v databaze je prakticky vzdy receptom na chaos. A tento problem
bol v DNS odkedy existuje. "Odpojenie" domen od IP sieti, CIDR
a nasledna situacia "forward u zakaznika, reverz u providera"
to uz len dorazili. Spojte si to so situaciou, ze reverz
vlastne nikto na nic nepotrebuje (na kieho je dobre vediet,
ze to bol dialup5672.akesi-mesto.nejaky-obskurny-provider.cz)
a je jasne, preco to vyzera ako vyzera.

Ludia sa pokusaju pomocou DNS robit nieco, na co nebol mysleny,
a sice security, ochranu proti zneuzitiu atd. Neexistujuci
reverz je dovodom na odmietnutie sluzby rovnako ako napr. to,
ze ma clovek domenu .com a ten server sa mieni bavit len
s .cz a .sk - naozaj vyborna idea.

99% ludi volajucich po konzistencii forwardu a reverzu
vlastne nezaujima reverzny DNS, ale ci je zname,
komu ta siet patri, cize whois informacia, pripadne
kde sa nachadza, co v rade pripadov nejde zistit vobec.

Zdravi
-- 
                                   Stano

Další informace o konferenci Linux