[dns-esp] Filtrado de consultas por ANY

Carlos M. martinez carlosm3011 en gmail.com
Mie Sep 12 23:04:05 CLST 2012 

Hola!

gracias a todos por las respuestas, y si conozco el caso de qmail y de
otros MTAs aparentemente, pero en mi caso mis zonas son zonas _reversas_
(hijas de in-addr.arpa y de ip6.arpa), en ese caso es donde no se me
ocurre ningun uso legitimo.

s2

Carlos

On 9/12/12 1:26 PM, Mauricio Vergara Ereche wrote:
> Hola!
> 
> El 12 de septiembre de 2012 12:29, Francisco Obispo <fobispo en isc.org
> <mailto:fobispo en isc.org>> escribió:
> 
>     On Sep 12, 2012, at 6:11 AM, Carlos M. martinez
>     <carlosm3011 en gmail.com <mailto:carlosm3011 en gmail.com>> wrote:
>     >  filtrar las
>     > consultas por 'ANY'.
> 
>     Hacer esto efectivamente, es costoso y complicado a nivel de FW. por
>     ahi hay una regla de iptables que sirve para algunos casos pero no
>     para todos.
> 
> 
> Creo que Carlos se refería al parche de Vixie para bind, no a un
> acercamiento por FW...
> http://www.redbarn.org/dns/ratelimits
>  
> 
>     > La pregunta para la lista es si conocen algun software que haga un uso
>     > legitimo de consultas 'ANY' _en una zona reversa_. A mi no se me
>     ocurre
>     > ninguno, pero me gustaria consultar la opinion de uds.
> 
>     Creo que algunos servidores de correo (qmail), tiene este
>     comportamiento [1], pero normalmente clientes no hacen solicitudes
>     de tipo ANY.
> 
>     [1] http://fanf.livejournal.com/122220.html
> 
> 
> Cierto!
> no creo que sea un grupo muy gigante de implementaciones como qmail las
> que ocupan lo de la consulta ANY, pero si se piensa en el parche de
> ratelimits,
> esto sólo serviría para disminuir las consultas ANY en períodos de
> "tempestad" por bloques definidos en unas ventanas, que también son
> definidas.
> 
> O sea, si estoy entiendo bien el funcionamiento del parche, si un
> resolver está haciendo las consultas, se limita las consultas al /24 al
> que pertenece ese resolver, pero no se bloquean todas las consultas en
> general ¿no?
> 
> Saludos!
> 
> -- 
> Mauricio Vergara Ereche
> +56 99 1241718
> Viña del Mar/Santiago - CHILE
> http://mave.cero32.cl
> 
> 
> _______________________________________________
> dns-esp mailing list
> dns-esp en listas.nic.cl
> https://listas.nic.cl/mailman/listinfo/dns-esp
>

Más información sobre la lista de distribución dns-esp