[dns-esp] Filtrado de consultas por ANY
Mauricio Vergara Ereche
mave en cero32.cl
Mie Sep 12 13:26:20 CLST 2012
Hola!
El 12 de septiembre de 2012 12:29, Francisco Obispo <fobispo en isc.org>escribió:
>
> On Sep 12, 2012, at 6:11 AM, Carlos M. martinez <carlosm3011 en gmail.com>
> wrote:
> > filtrar las
> > consultas por 'ANY'.
>
> Hacer esto efectivamente, es costoso y complicado a nivel de FW. por ahi
> hay una regla de iptables que sirve para algunos casos pero no para todos.
>
Creo que Carlos se refería al parche de Vixie para bind, no a un
acercamiento por FW...
http://www.redbarn.org/dns/ratelimits
> > La pregunta para la lista es si conocen algun software que haga un uso
> > legitimo de consultas 'ANY' _en una zona reversa_. A mi no se me ocurre
> > ninguno, pero me gustaria consultar la opinion de uds.
>
> Creo que algunos servidores de correo (qmail), tiene este comportamiento
> [1], pero normalmente clientes no hacen solicitudes de tipo ANY.
>
> [1] http://fanf.livejournal.com/122220.html
>
Cierto!
no creo que sea un grupo muy gigante de implementaciones como qmail las que
ocupan lo de la consulta ANY, pero si se piensa en el parche de ratelimits,
esto sólo serviría para disminuir las consultas ANY en períodos de
"tempestad" por bloques definidos en unas ventanas, que también son
definidas.
O sea, si estoy entiendo bien el funcionamiento del parche, si un resolver
está haciendo las consultas, se limita las consultas al /24 al que
pertenece ese resolver, pero no se bloquean todas las consultas en general
¿no?
Saludos!
--
Mauricio Vergara Ereche
+56 99 1241718
Viña del Mar/Santiago - CHILE
http://mave.cero32.cl
------------ próxima parte ------------
Se ha borrado un adjunto en formato HTML...
URL: https://listas.nic.cl/pipermail/dns-esp/attachments/20120912/afc01279/attachment.html
Más información sobre la lista de distribución dns-esp