[dns-esp] [DNS-ES] Consulta sobre query y delegación
Alejandro Acosta
alejandroacostaalamo en gmail.com
Vie Oct 18 16:11:33 -03 2019
Hola,
Ya que hablan de los bits en los queries me acordé que hace mucho
escribí este post:
https://blog.acostasite.com/2010/04/como-capturar-el-bit-recursion-desired.html
Saludos,
Alejandro,
On 10/18/19 1:29 PM, Miguel Angel Amador wrote:
> Gracias MAVE, en efecto tenia las dudas por la diferencia que implican
> los bits en las querys, entonces cuando yo envio una consulta a un NS
> que tiene delegado el WWW es distinto que cuando va a un resolver , y
> tenia la sospecha que se podria filtrar eso, en particular porque
> cloudflare nos dejo de responder www.pepito.com
> <http://www.pepito.com> en el dns interno, lo que ademas se evidencio
> en un aumento del valor del client-per-query hasta llegar a
> max-client-per-query, pero esto solo sucedia para las consultas del
> resolver interno (descartando fw, ips/ids, red, etc) ... y con
> cloudflare no tengo como capturar evidencia de su funcionamiento....
> pero tenia que descartar problemas con el dns interno :(.
>
> ps: lo de la vista interna es un cacho... pero ya fue, >100K endpoint
> es armar la empresa de nuevo...
>
>
>
> El jue., 17 oct. 2019 a las 21:57, Mauricio Vergara Ereche
> (<mave en cero32.cl <mailto:mave en cero32.cl>>) escribió:
>
> Hola Miguel Angel,
>
> A mí personalmente no me gusta mucho vivir con vistas internas y
> externas, pero entiendo la necesidad de varios amigos acá :-)
> BTW, tu solución no es sucia ni poco elegante, creo que habría
> hecho eso mismo o habría tratado de configurar un forwarder, pero
> en esencia es correcta.
>
> Con respecto a tu consulta, los resolvers externos fuera de tu red
> buscarán la resolución como corresponde con el bit de recursion RD
> y contestará con un NOERROR si el dominio está definido en todo el
> árbol (o sea en los NS de .COM está definido pepito.com
> <http://pepito.com>. y apuntando a los NS de cloudflare).
> Internamente tu servidor autoritativo va a enviar el referral con
> el bit autoritativo AA a los NS externos y de ahí tu resolver se
> encargará de la siguiente parte.
>
> Te sugiero que para que veas ese comportamiento, hagas un
> `dig +trace www.pepito.com <http://www.pepito.com>` desde tu red
> interna y otro desde tu casa para ver la diferencia en las últimas
> líneas.
>
> Saludos!
>
>
> On Thu, Oct 17, 2019 at 11:48 AM Luciano Minuchin
> <luciano.minuchin en gmail.com <mailto:luciano.minuchin en gmail.com>>
> wrote:
>
> Hola Miguel espero haber entendido tu consulta.
>
> Hay muchas formas de hacer esto, vos tenes tus DNS
> autoritativo en Cloudflare para esa zona con lo cual esta bien
> que ellos respondan tus consultas, podrian tener una
> resolución local si tenes dns recursivos internos pero te
> implicará un doble mantenimiento frente a cambios, ahora si
> tenes recursivos externos o públicos . no tenes otra opcion.
> Por lo menos eso pienso si entendi bien. ;)
>
>
> Saludos.
> Luciano.
>
>
>
> El jue., 17 de oct. de 2019 a la(s) 13:00, Miguel Angel Amador
> (miguel en motd.cl <mailto:miguel en motd.cl>) escribió:
>
> Estimados
> Recurro a la lista por un caso puntual a resolver.
> en mi vista interna tengo el dominio pepito.com
> <http://pepito.com> (por dar un ejemplo) ... pero se
> requiere que www.pepito.com <http://www.pepito.com> apunta
> hacia cloudflare, donde vive todos los sitios web,
> entonces lo que se hizo fue crear en el dns interno el
> registro:
>
> pepito.com <http://pepito.com>
> www 3600 IN NS rafe.ns.cloudflare.com
> <http://rafe.ns.cloudflare.com>.
> www 3600 IN NS zeus.ns.cloudflare.com
> <http://zeus.ns.cloudflare.com>.
>
>
> *
> *
> y en cloudflare es autoritativo para pepto.com
> <http://pepto.com> en internet y en el el registro
> www.pepito.com <http://www.pepito.com> A 200.20.20.20 ,
> pero a su vez es proxeado por cloudflare.
>
>
> entonces mi duda es...una consulta en mi dns resolver
> interno no hace recursion, si no que va y consulta el www
> directo hacia cloudflare... y esta query es respondida por
> cloudflare como autoritativo, dando las ip's que el presenta,
> ¿La query es diferente a si yo la envio a un resolver de
> internet que si va a un autoritaritativo directamente?
> yo encuentro un poco sucia o poco elegante esa forma,
> pero no tengo un argumento tecnico de buena practica para
> decir que no es correcto y es lo que busco... o si es
> correcto, bueno, aceptarlo.
>
> Quedo atento.
> Gracias!
>
> _______________________________________________
> dns-esp mailing list
> dns-esp en listas.nic.cl <mailto:dns-esp en listas.nic.cl>
> https://listas.nic.cl/mailman/listinfo/dns-esp
>
> _______________________________________________
> dns-esp mailing list
> dns-esp en listas.nic.cl <mailto:dns-esp en listas.nic.cl>
> https://listas.nic.cl/mailman/listinfo/dns-esp
>
>
>
> --
> Mauricio Vergara Ereche
> about.me/mave <http://about.me/mave>
>
> _______________________________________________
> dns-esp mailing list
> dns-esp en listas.nic.cl <mailto:dns-esp en listas.nic.cl>
> https://listas.nic.cl/mailman/listinfo/dns-esp
>
>
> _______________________________________________
> dns-esp mailing list
> dns-esp en listas.nic.cl
> https://listas.nic.cl/mailman/listinfo/dns-esp
------------ próxima parte ------------
Se ha borrado un adjunto en formato HTML...
URL: <https://listas.nic.cl/pipermail/dns-esp/attachments/20191018/28a1d554/attachment-0001.html>
------------ próxima parte ------------
A non-text attachment was scrubbed...
Name: pEpkey.asc
Type: application/pgp-keys
Size: 1782 bytes
Desc: no disponible
URL: <https://listas.nic.cl/pipermail/dns-esp/attachments/20191018/28a1d554/attachment-0001.bin>
Más información sobre la lista de distribución dns-esp