Bind a odesilani nekterych dotazu pres primarni IP

Dan Lukes dan at obluda.cz
Thu Oct 1 11:28:12 CEST 2009


Filip Huška napsal/wrote, On 10/01/09 10:16:
> DNS ma 2 ip adresy : primarni a aliasy, dejme tomu A, B jako alias.
> Na prvnim aliasu bezi BIND v chrootu, ze zakladni instalace.
>    listen-on { 127.0.0.1; B; };
...
> query-source address B port 53;

Je na okraj, "fixni port" byl nedavno napaden jako konfigurace zvysujici 
sanci uspesneho podvrzeni odpovedi.


> Co me trapi, ze kdyz na primaru DNS povolim ipcko B, pak se 
> sesyncrhonizuji jen nektere zony z IPv6 {cely prenos mezi nimi je na IPv4}.
> Kdyz na primarnim DNS povolim A i B, sesynchronizuji se vsechny zony.

Ty zony se v necem proste lisi. Bohuzel, peclivou snahou anonymizovat, 
abychom se nahodou nedozvedeli neco citliveho, se nemuzeme podivat ani 
na ty veci, ktere by z nasi strany snadno zjistitelne byly. Tudiz ej to 
ciste na tobe.

Vem proste zonu, ze ktere to jde a zonu, ze ktere to nejde, vem 
konfigurace z obou stran a k tomu to, jak jsou tyto zony nadelegovane v 
nadrazene zone a hledej rozdil. Az ho najdes, mas odpoved.

Je to tak trocha obdoba toho, co jsem psal pred chvili. Ty nameservery 
jsou, podle vseho, zcela verejne delegovane. Komunikuji s celym svetem. 
Neptas se nas an nic bezpecnostne citliveho. Tak nechapu, proc mas 
potrebu komplikovat nam "moznost poradit" tim, ze tajis, co se da. 
Nevim, co by to kdokoliv z nas tady mohl provest horsiho, nez ti budou 
mnohokrat denne provadet zcela rutinne probihajici utocici procesy 
spustene na mnoha pocitacich celeho sveta.

				Dan




More information about the Users-l mailing list