advanced bind

Dan Lukes dan at obluda.cz
Tue Mar 26 21:36:16 CET 2002 

"Tom Z. Meinlschmidt" wrote:

> IMHO ne. pak byste to mel resit dvema DNS servery, kazdy na jimem portu, a podle
> source IP resit redirekt na spravny port.
>
> treba: privatni DNS pobezi na 5053,public na 53
>
> ipchains -p udp -s privatni_sit -d dns_server 52 -j REDIRECT 5053
> ipchains -p tcp -s privatni_sit -d dns_server 52 -j REDIRECT 5053

	Kdyz uz stejne doporucujete separatni DNS servery (to ale znamena
vlastne udrzovani dvou oddelenych zonovych souboru) tak to jde
jednoduseji - i verzi 8.* lze ovladat na jake interface se BIND pripoji
- takze spustite proste oba na portu 53, jenze kazdy na svem interface -
a "vnejsi" si tak bude resit vnejsi dotazy, "vnitrni" si bude resit
vnitrni dotazy.

	Nicmene, na adresu puvodniho tazatele bych rad poznamenal, ze se mi
prilis nezda, ze by opravdu nutne a nepostradatelne potreboval to co
tvrdi ...


> sice DNS beha po UDP pro query,ale jak mam zkusenosti, je lepsi oboji

	DNS sice beha prednostne po UDP, ale spolehnout se na to rozhodne neda.
Jednak klient ma kdykoliv neomezenou moznost se rozhodnout, ze radeji
pouzije TCP, jednak, pokud velikost odpovedi serveru presahne velikost
jednoho paketu, server posle "co se vejde", ale oznaci, ze odpoved je
zkracena a vice-mene se ocekava, ze klient polozi dotaz znovu, pres TCP
kde jiz na limit nenarazi.

	Neni tedy uplne spravne tvrdit, ze kvuli DNS je resit i TCP "lepsi" -
pro korektni funkci DNS je to bezpodminecne NUTNE, protoze bez toho
proste nektere dotazy mohou byt neresitelne.

	Nelze spolehat na to, ze autori aplikaci, budou brat ohled na to, ze
spravci nevedi presne jak DNS funguje a budou pocitat s tim, ze TCP
komunikace je mozna nepruchozi a na zaklade toho se snazit nejak
prizpusobit sve dotazy, aby preci jen prorazili (dela to tak semdnail,
ktery se pta na ANY zaznam, ale pokud nedostane odpoved dojde k zaveru,
ze za to muze prave nejaky ne zcela erudovany spravce co zapomel na TCP
v DNS a zkusi misto toho polozit vetsi mnozstvi specifictejsich dotazu,
kde je pravdepodobnejsi kratsi odpoved a tedy to, ze projde po UDP) ...


							Dan



--
Dan Lukes      tel: +420 2 21914205, fax: +420 2 21914206
root  of FIONet,  KolejNET,  webmaster  of www.freebsd.cz
AKA: dan at obluda.cz, dan at freebsd.cz, dan at kolej.mff.cuni.cz

More information about the net mailing list