[ITNOG] bogon addresses e 109/8
Emanuele (aka Skull)
skull@bofhland.org
Ven 10 Set 2010 11:16:21 CEST
On 9/10/10 11:02 AM, Daniele Orlandi wrote:
> Confermo anch'io, abilitato sul resolver primario, che non ci sono problemi o
> almeno sono difficili da notare.
>
> Tra l'altro sto scrivendo un toolino per il troubleshooting dei DNS e sto
> aggiungendo qualche verifica anche per DNSSEC, appena ho qualcosa di
> usabile/decente la posto qui.
Già che siam sempre sul tema, segnalo che i (comunque pochi) "problemi"
che sta dando l'upgrade a bind 9.7 non sono relativi a DNSSEC quanto al
fatto che è stato reso molto più "schizzinoso" riguardo deleghe DNS
inconsistenti.
Se il record A riportato dalla zona parent per il record NS non batte
con quello fornito dalla zona child, BIND scarta il record NS.
Se una zona ha tutte le deleghe siffatte, il dominio pertanto non risolve.
Dell'introduzione di 'sti meccanismi in BIND ne han parlato per un bel
po' nella ML di OARC (mi pare di rammentare thread riguardo
all'opportunità di introdurre check dello stato delle deleghe in BIND
già 2 anni fa), ma ora si direbbe sia ormai fatta...
Giusto nel caso qualcuno se la sia persa e rischi di sbatterci la testa...
Daniele: notavo che parecchi tool tra quelli che vedo in giro trattano
quella misconfigurazione come "warning"; visto che stai implementando
ora (se ben capisco) qualcosa di simile, direi che alla luce di quanto
sopra il caso è da trattarsi come "critical" ;-)
Bye!
--
Paranoia is a disease unto itself. And may I add: the person standing
next to you may not be who they appear to be, so take precaution.
-----------------------------------------------------------------------------
http://bofhskull.wordpress.com/
Maggiori informazioni sulla lista
itnog