[dns-esp] [DNS-ES] Consulta sobre query y delegación

Alejandro Acosta alejandroacostaalamo en gmail.com
Vie Oct 18 16:11:33 -03 2019


Hola,

  Ya que hablan de los bits en los queries me acordé que hace mucho
escribí este post:

https://blog.acostasite.com/2010/04/como-capturar-el-bit-recursion-desired.html


  Saludos,


Alejandro,



On 10/18/19 1:29 PM, Miguel Angel Amador wrote:
> Gracias MAVE, en efecto tenia las dudas por la diferencia que implican
> los bits en las querys, entonces cuando yo envio una consulta a un NS 
> que tiene delegado el WWW es distinto que cuando va a un resolver , y
> tenia la sospecha que se podria filtrar eso, en particular porque
> cloudflare nos dejo de responder www.pepito.com
> <http://www.pepito.com> en el dns interno, lo que ademas se evidencio
> en un aumento del valor del client-per-query hasta llegar a
> max-client-per-query, pero esto solo sucedia para las consultas del
> resolver interno (descartando fw, ips/ids, red, etc) ... y con
> cloudflare no tengo como capturar evidencia de su funcionamiento....
> pero tenia que descartar problemas con el dns interno :(. 
>
> ps: lo de la vista interna es un cacho... pero ya fue, >100K endpoint
> es armar la empresa de nuevo...
>
>
>
> El jue., 17 oct. 2019 a las 21:57, Mauricio Vergara Ereche
> (<mave en cero32.cl <mailto:mave en cero32.cl>>) escribió:
>
>     Hola Miguel Angel,
>
>     A mí personalmente no me gusta mucho vivir con vistas internas y
>     externas, pero entiendo la necesidad de varios amigos acá :-)
>     BTW, tu solución no es sucia ni poco elegante, creo que habría
>     hecho eso mismo o habría tratado de configurar un forwarder, pero
>     en esencia es correcta.
>
>     Con respecto a tu consulta, los resolvers externos fuera de tu red
>     buscarán la resolución como corresponde con el bit de recursion RD
>     y contestará con un NOERROR si el dominio está definido en todo el
>     árbol (o sea en los NS de .COM está definido pepito.com
>     <http://pepito.com>. y apuntando a los NS de cloudflare).
>     Internamente tu servidor autoritativo va a enviar el referral con
>     el bit autoritativo AA a los NS externos y de ahí tu resolver se
>     encargará de la siguiente parte.
>
>     Te sugiero que para que veas ese comportamiento, hagas un
>     `dig +trace www.pepito.com <http://www.pepito.com>` desde tu red
>     interna y otro desde tu casa para ver la diferencia en las últimas
>     líneas.
>
>     Saludos!
>
>
>     On Thu, Oct 17, 2019 at 11:48 AM Luciano Minuchin
>     <luciano.minuchin en gmail.com <mailto:luciano.minuchin en gmail.com>>
>     wrote:
>
>         Hola Miguel espero haber entendido tu consulta.
>
>         Hay muchas formas de hacer esto, vos tenes tus DNS
>         autoritativo en Cloudflare para esa zona con lo cual esta bien
>         que ellos respondan tus consultas, podrian tener una
>         resolución local si tenes dns recursivos internos pero te
>         implicará un doble mantenimiento frente a cambios, ahora si
>         tenes recursivos externos o públicos . no tenes otra opcion. 
>         Por lo menos eso pienso si entendi bien. ;)
>
>
>         Saludos.
>         Luciano.
>
>
>
>         El jue., 17 de oct. de 2019 a la(s) 13:00, Miguel Angel Amador
>         (miguel en motd.cl <mailto:miguel en motd.cl>) escribió:
>
>             Estimados
>              Recurro a la lista por un caso puntual a resolver. 
>              en mi vista interna tengo el dominio pepito.com
>             <http://pepito.com> (por dar un ejemplo) ... pero se
>             requiere que www.pepito.com <http://www.pepito.com> apunta
>             hacia cloudflare, donde vive todos los sitios web,
>             entonces lo que se hizo fue crear en el dns interno el
>             registro:
>
>             pepito.com <http://pepito.com>
>             www 3600 IN NS rafe.ns.cloudflare.com
>             <http://rafe.ns.cloudflare.com>.
>             www 3600 IN NS zeus.ns.cloudflare.com
>             <http://zeus.ns.cloudflare.com>.
>
>
>             *
>             *
>             y en cloudflare es autoritativo para pepto.com
>             <http://pepto.com> en internet y en el el registro 
>             www.pepito.com <http://www.pepito.com>  A  200.20.20.20  ,
>             pero a su vez es proxeado por cloudflare.
>
>
>             entonces mi duda es...una consulta en mi dns resolver
>             interno no hace recursion, si no que va y consulta el www
>             directo hacia cloudflare... y esta query es respondida por
>             cloudflare como autoritativo, dando las ip's que el presenta, 
>             ¿La query es diferente a si yo la envio a un resolver de
>             internet que si va a un autoritaritativo directamente? 
>              yo encuentro un poco sucia o poco elegante esa forma,
>             pero no tengo un argumento tecnico de buena practica para
>             decir que no es correcto y es lo que busco... o si es
>             correcto, bueno, aceptarlo.
>
>             Quedo atento.
>             Gracias! 
>              
>             _______________________________________________
>             dns-esp mailing list
>             dns-esp en listas.nic.cl <mailto:dns-esp en listas.nic.cl>
>             https://listas.nic.cl/mailman/listinfo/dns-esp
>
>         _______________________________________________
>         dns-esp mailing list
>         dns-esp en listas.nic.cl <mailto:dns-esp en listas.nic.cl>
>         https://listas.nic.cl/mailman/listinfo/dns-esp
>
>
>
>     -- 
>     Mauricio Vergara Ereche
>     about.me/mave <http://about.me/mave>
>
>     _______________________________________________
>     dns-esp mailing list
>     dns-esp en listas.nic.cl <mailto:dns-esp en listas.nic.cl>
>     https://listas.nic.cl/mailman/listinfo/dns-esp
>
>
> _______________________________________________
> dns-esp mailing list
> dns-esp en listas.nic.cl
> https://listas.nic.cl/mailman/listinfo/dns-esp
------------ próxima parte ------------
Se ha borrado un adjunto en formato HTML...
URL: <https://listas.nic.cl/pipermail/dns-esp/attachments/20191018/28a1d554/attachment-0001.html>
------------ próxima parte ------------
A non-text attachment was scrubbed...
Name: pEpkey.asc
Type: application/pgp-keys
Size: 1782 bytes
Desc: no disponible
URL: <https://listas.nic.cl/pipermail/dns-esp/attachments/20191018/28a1d554/attachment-0001.bin>


Más información sobre la lista de distribución dns-esp