Re: lug-bg: ISC BIND Wildcard filter (Anti VeriSign)
- Subject: Re: lug-bg: ISC BIND Wildcard filter (Anti VeriSign)
- From: Vesselin Kolev <vlk@xxxxxxxxxxxxxxxxx>
- Date: Fri, 17 Oct 2003 10:52:00 +0300
- Organization: Laboratory of Chemical Physics & Engineering, University of Sofia, Bulgaria
-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1
Въпросът никак не е глупав. Мислех да го описвам, но предположих, че
повечето хора са наясно със схемата на делегиране и неприложимостта
на "wildcard" записи в нея.
Първо (това не е обида), това дето си написал няма нищо общо с NS RR.
След NS се поставя пълно квалифицирано име на хост (а не IP адрес).
За да предотвратя въпрос от типа "да, ама аз съм виждал как в master
зоната има запис
domain NS host1
domain NS host2
и host1 и host2 не са пълни квалифицирани имена на хост, поне не и както
са записани", бих казал, че след като записът се извлече от йерархията,
той винаги се връща на клиента като пълни квалифицирано име на хост
(т.е. към него се прибавя съответния $ORIGIN).
Сега директно към темата. Ако се опитате в ISC BIND да направите NS
"wildcard" запис, тогава зоната ви въобще няма да се валидира при
зареждането на локалния кеш. Казано с пример, ако опитате, в syslog
ще получите следното съобщение за грешка:
zone test.tld/IN: loading master file master/domains/test.tld: invalid NS
owner name (wildcard)
Този пример е даден за домейн test.tld, чиито зонален файл се намира
в /var/named/master/domains/test.tld (в syslog съобщението този път е
указан релативно поради това, че в options на named.conf е деклариран
път /var/named).
От друга страна VeriSign не използват ISC BIND. Напротив, за тях ISC BIND
е олицетворение на разбитите им амбиции да наложат своите виждания като
стандарт за системата за имена в Интернет. Софтуерът, който те използват
за обслужване на заявките се нарича Atlas. Под него стой Ingress, който се
грижи за базата данни. За VeriSign понятието "зонален файл", както и
"ресурсен запис" не съществува. Т.е. за тях не може да се говори като за
ползващи RFC документите издадени по проекта за системата за имена на
Интернет. Следвателно горните разсъждения за ISC BIND не се приложими
за софтуерите на VeriSign.
Аз не мога да кажа със 100% сигурност дали VeriSign няма да направят
"wildcard" NS ресурсни записи. Ако те направят това обаче, те ще трябва
(ВНИМАНИЕ в тънкия момент) да делегират всички визможни домейни, което
ще е тотален скандал и тогава ICANN няма да може да защитава VeriSign и
ще им вземе регистърските права. Скандалът може да стане толкова голям,
че операторите на DNS сървърите в Интернет да спрат да обслужват заявки
за TLD COM и NET.
Т.е. до там едва ли нчкога ще се стигне, защото това ще опрочи тотално
цялото доверие в системата за имена.
Поздрави
Весо
>
> Дано въпросът ми да не е глупав, но не може ли в ТЛД зоната да се добави
> 'глобален' запис от тип NS и това да излъже филтрирането? Пример:
>
> $ORIGIN tld.
>
> * NS 111.222.111.222
>
>
> Поздрави,
> Андрей
-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1.0.7 (GNU/Linux)
iD8DBQE/j5+n+48lZPXaa+MRAg/ZAKCTUxceuym3zu8bjVHusxB03+8JAgCeKfew
X4iDn1NKB4zxXCIB9hxNn3k=
=TmI6
-----END PGP SIGNATURE-----
============================================================================
A mail-list of Linux Users Group - Bulgaria (bulgarian linuxers).
http://www.linux-bulgaria.org - Hosted by Internet Group Ltd. - Stara Zagora
To unsubscribe: http://www.linux-bulgaria.org/public/mail_list.html
============================================================================
|