Filip Huška
filip.hu...@coolhousing.net
On Oct 1, 2009, at 11:28 AM, Dan Lukes wrote:
Filip Huška napsal/wrote, On 10/01/09 10:16:
DNS ma 2 ip adresy : primarni a aliasy, dejme tomu A, B jako alias.
Na prvnim aliasu bezi BIND v chrootu, ze zakladni instalace.
listen-on { 127.0.0.1; B; };
...
query-source address B port 53;
Je na okraj, "fixni port" byl nedavno napaden jako konfigurace
zvysujici sanci uspesneho podvrzeni odpovedi.
Ja vim, to uz byla posledni sance jak to dohledat. Jinak je v konfigu
na port *.
Co me trapi, ze kdyz na primaru DNS povolim ipcko B, pak se
sesyncrhonizuji jen nektere zony z IPv6 {cely prenos mezi nimi je
na IPv4}.
Kdyz na primarnim DNS povolim A i B, sesynchronizuji se vsechny zony.
Ty zony se v necem proste lisi. Bohuzel, peclivou snahou
anonymizovat, abychom se nahodou nedozvedeli neco citliveho, se
nemuzeme podivat ani na ty veci, ktere by z nasi strany snadno
zjistitelne byly. Tudiz ej to ciste na tobe.
Vem proste zonu, ze ktere to jde a zonu, ze ktere to nejde, vem
konfigurace z obou stran a k tomu to, jak jsou tyto zony
nadelegovane v nadrazene zone a hledej rozdil. Az ho najdes, mas
odpoved.
Je to tak trocha obdoba toho, co jsem psal pred chvili. Ty
nameservery jsou, podle vseho, zcela verejne delegovane. Komunikuji
s celym svetem. Neptas se nas an nic bezpecnostne citliveho. Tak
nechapu, proc mas potrebu komplikovat nam "moznost poradit" tim, ze
tajis, co se da. Nevim, co by to kdokoliv z nas tady mohl provest
horsiho, nez ti budou mnohokrat denne provadet zcela rutinne
probihajici utocici procesy spustene na mnoha pocitacich celeho sveta.
Mno Ok, ja jen nechtel vystavovat zbytecne IPcka v konferach. Mam 3
nameservery, 2 linux, treti F-BSD. Jen F-BSD to dela.
Zony - nebudu je vypisovat vsechny, IPv6 se zreplikuje, IPv4 ne ...
konfig dle meho stejny :
zone "2.0.0.0.0.f.5.0.1.0.a.2.ip6.arpa" {
type slave;
masters {
87.236.192.5;
};
file "/etc/namedb/slaves/db.2a01.05f0.0002";
};
zone "143.187.89.in-addr.arpa" {
type slave;
masters {
87.236.192.5;
};
file "/etc/namedb/slaves/db.89.187.143";
};
named.conf.options :
acl bogusnet { 0.0.0.0/8; 1.0.0.0/8; 2.0.0.0/8; 10.0.0.0/8;
172.16.0.0/12; 192.168.0.0/16; 192.0.2.0/24; 224.0.0.0/3; };
acl tento_pocitac { 127.0.0.0/24; 193.86.2.211; };
options {
directory "/etc/namedb";
pid-file "/var/run/named/pid";
dump-file "/var/dump/named_dump.db";
statistics-file "/var/stats/named.stats";
listen-on {
127.0.0.1;
193.86.2.211;
};
allow-recursion { tento_pocitac; };
blackhole { bogusnet; };
query-source address 193.86.2.211 port *;
auth-nxdomain no; # conform to RFC1035
};
Sit ...
sk0: flags=8843<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST> metric 0 mtu
1500
options=b<RXCSUM,TXCSUM,VLAN_MTU>
ether 00:0a:5e:5c:a5:e3
inet6 fe80::20a:5eff:fe5c:a5e3%sk0 prefixlen 64 scopeid 0x1
inet 193.86.2.210 netmask 0xfffffff0 broadcast 193.86.2.223
inet 193.86.2.211 netmask 0xfffffff0 broadcast 193.86.2.223
.....
Problem : dotazy na Master na 87.236.192.5 odchazeji z 193.86.2.211 i
z 193.86.2.210. Kdyz povolim jen 211, tak se zreplikuje jen cast IPv6
zaznamu.
Kdyz povolim obe IP na DNS1 primaru, tak se zreplikuji vsechny.
f.
Dan
--
FreeBSD mailing list (users-l@freebsd.cz)
http://www.freebsd.cz/listserv/listinfo/users-l
--
FreeBSD mailing list (users-l@freebsd.cz)
http://www.freebsd.cz/listserv/listinfo/users-l
