Linux-Bulgaria.ORG

навигация

начало

пощенски списък

архив на групата

По Дата

Re: lug-bg: ISC BIND Wildcard filter (Anti VeriSign)

Subject: Re: lug-bg: ISC BIND Wildcard filter (Anti VeriSign)
From: "Andrei Boyanov" <andrei@xxxxxxxx>
Date: Fri, 17 Oct 2003 12:11:48 +0300

----- Original Message ----- 
From: "Vesselin Kolev" <vlk@xxxxxxxxxxxxxxxxx>
To: <lug-bg@xxxxxxxxxxxxxxxxxx>
Sent: Friday, October 17, 2003 10:52 AM
Subject: Re: lug-bg: ISC BIND Wildcard filter (Anti VeriSign)


> -----BEGIN PGP SIGNED MESSAGE-----
> Hash: SHA1
>
> Въпросът никак не е глупав. Мислех да го описвам, но предположих, че
> повечето хора са наясно със схемата на делегиране и неприложимостта
> на "wildcard" записи в нея.
>
> Първо (това не е обида), това дето си написал няма нищо общо с NS RR.
> След NS се поставя пълно квалифицирано име на хост (а не IP адрес).
>


Да, бе, объркал съм се. Беше късно все пак :)))

Все пак обаче според това, което и ти обясняваш по-долу технически поне
заобикаляне на този филтър е напълно възможно.



Поздрави,

Андрей



> За да предотвратя въпрос от типа "да, ама аз съм виждал как в master
> зоната има запис
>
> domain NS host1
> domain NS host2
>
> и host1 и host2 не са пълни квалифицирани имена на хост, поне не и както
> са записани", бих казал, че след като записът се извлече от йерархията,
> той винаги се връща на клиента като пълни квалифицирано име на хост
> (т.е. към него се прибавя съответния $ORIGIN).
>
> Сега директно към темата. Ако се опитате в ISC BIND да направите NS
> "wildcard" запис, тогава зоната ви въобще няма да се валидира при
> зареждането на локалния кеш. Казано с пример, ако опитате, в syslog
> ще получите следното съобщение за грешка:
>
> zone test.tld/IN: loading master file master/domains/test.tld: invalid NS
> owner name (wildcard)
>
> Този пример е даден за домейн test.tld, чиито зонален файл се намира
> в /var/named/master/domains/test.tld (в syslog съобщението този път е
> указан релативно поради това, че в options на named.conf е деклариран
> път /var/named).
>
> От друга страна VeriSign не използват ISC BIND. Напротив, за тях ISC BIND
> е олицетворение на разбитите им амбиции да наложат своите виждания като
> стандарт за системата за имена в Интернет. Софтуерът, който те използват
> за обслужване на заявките се нарича Atlas. Под него стой Ingress, който се
> грижи за базата данни. За VeriSign понятието "зонален файл", както и
> "ресурсен запис" не съществува. Т.е. за тях не може да се говори като за
> ползващи RFC документите издадени по проекта за системата за имена на
> Интернет. Следвателно горните разсъждения за ISC BIND не се приложими
> за софтуерите на VeriSign.
>
> Аз не мога да кажа със 100% сигурност дали VeriSign няма да направят
> "wildcard" NS ресурсни записи. Ако те направят това обаче, те ще трябва
> (ВНИМАНИЕ в тънкия момент) да делегират всички визможни домейни, което
> ще е тотален скандал и тогава ICANN няма да може да защитава VeriSign и
> ще им вземе регистърските права. Скандалът може да стане толкова голям,
> че операторите на DNS сървърите в Интернет да спрат да обслужват заявки
> за TLD COM и NET.
>
> Т.е. до там едва ли нчкога ще се стигне, защото това ще опрочи тотално
> цялото доверие в системата за имена.
>
>    Поздрави
>       Весо
>
> >
> > Дано въпросът ми да не е глупав, но не може ли в ТЛД зоната да се добави
> > 'глобален' запис от тип NS и това да излъже филтрирането? Пример:
> >
> > $ORIGIN tld.
> >
> > *   NS   111.222.111.222
> >
> >
> > Поздрави,
> > Андрей
> -----BEGIN PGP SIGNATURE-----
> Version: GnuPG v1.0.7 (GNU/Linux)
>
> iD8DBQE/j5+n+48lZPXaa+MRAg/ZAKCTUxceuym3zu8bjVHusxB03+8JAgCeKfew
> X4iDn1NKB4zxXCIB9hxNn3k=
> =TmI6
> -----END PGP SIGNATURE-----
>
>
============================================================================
> A mail-list of Linux Users Group - Bulgaria (bulgarian linuxers).
> http://www.linux-bulgaria.org - Hosted by Internet Group Ltd. - Stara
Zagora
> To unsubscribe: http://www.linux-bulgaria.org/public/mail_list.html
>
============================================================================
>
>


============================================================================
A mail-list of Linux Users Group - Bulgaria (bulgarian linuxers).
http://www.linux-bulgaria.org - Hosted by Internet Group Ltd. - Stara Zagora
To unsubscribe: http://www.linux-bulgaria.org/public/mail_list.html
============================================================================

Във връзка с:
- Re: lug-bg: ISC BIND Wildcard filter (Anti VeriSign)
  - Изпратено от: Vesselin Kolev <vlk@xxxxxxxxxxxxxxxxx>

Относно:
- lug-bg: ISC BIND Wildcard filter (Anti VeriSign)
  - Изпратено от: Vesselin Kolev <vlk@xxxxxxxxxxxxxxxxx>
- Re: lug-bg: ISC BIND Wildcard filter (Anti VeriSign)
  - Изпратено от: Andrei Boyanov <andrei@xxxxxxxx>
- Re: lug-bg: ISC BIND Wildcard filter (Anti VeriSign)
  - Изпратено от: Vesselin Kolev <vlk@xxxxxxxxxxxxxxxxx>

Предишно по дата: Re: lug-bg: Slackware-Live - проблем с мишката
Следващо по дата: Re: lug-bg: traffic control vypros
Предишно по тема: Re: lug-bg: ISC BIND Wildcard filter (Anti VeriSign)
Следващо по тема: Re: lug-bg: ISC BIND Wildcard filter (Anti VeriSign)
Индекс:
- По дата
- По тема

наши приятели

линукс за българи
http://linux-bg.org

FSA-BG
http://fsa-bg.org

OpenFest
http://openfest.org

FreeBSD BG
http://bg-freebsd.org

KDE-BG
http://kde.fsa-bg.org/

Gnome-BG
http://gnome.cult.bg/

проект OpenFMI
http://openfmi.net

NetField Forum
http://netField.ludost.net/forum/

Linux-Bulgaria.ORG