<html xmlns:o="urn:schemas-microsoft-com:office:office" xmlns:w="urn:schemas-microsoft-com:office:word" xmlns:m="http://schemas.microsoft.com/office/2004/12/omml" xmlns="http://www.w3.org/TR/REC-html40"><head><meta http-equiv=Content-Type content="text/html; charset=utf-8"><meta name=Generator content="Microsoft Word 15 (filtered medium)"><style><!--
/* Font Definitions */
@font-face
{font-family:"Cambria Math";
panose-1:2 4 5 3 5 4 6 3 2 4;}
@font-face
{font-family:Calibri;
panose-1:2 15 5 2 2 2 4 3 2 4;}
@font-face
{font-family:"Times New Roman \(Cuerpo en alfa";
panose-1:2 2 6 3 5 4 5 2 3 4;}
@font-face
{font-family:Consolas;
panose-1:2 11 6 9 2 2 4 3 2 4;}
/* Style Definitions */
p.MsoNormal, li.MsoNormal, div.MsoNormal
{margin:0cm;
margin-bottom:.0001pt;
font-size:11.0pt;
font-family:"Calibri",sans-serif;}
a:link, span.MsoHyperlink
{mso-style-priority:99;
color:blue;
text-decoration:underline;}
a:visited, span.MsoHyperlinkFollowed
{mso-style-priority:99;
color:purple;
text-decoration:underline;}
pre
{mso-style-priority:99;
mso-style-link:"HTML con formato previo Car";
margin:0cm;
margin-bottom:.0001pt;
font-size:10.0pt;
font-family:"Courier New";}
p.msonormal0, li.msonormal0, div.msonormal0
{mso-style-name:msonormal;
mso-margin-top-alt:auto;
margin-right:0cm;
mso-margin-bottom-alt:auto;
margin-left:0cm;
font-size:11.0pt;
font-family:"Calibri",sans-serif;}
span.HTMLconformatoprevioCar
{mso-style-name:"HTML con formato previo Car";
mso-style-priority:99;
mso-style-link:"HTML con formato previo";
font-family:"Consolas",serif;}
span.EstiloCorreo21
{mso-style-type:personal-reply;
font-family:"Calibri",sans-serif;
color:windowtext;}
.MsoChpDefault
{mso-style-type:export-only;
font-size:10.0pt;}
@page WordSection1
{size:612.0pt 792.0pt;
margin:70.85pt 3.0cm 70.85pt 3.0cm;}
div.WordSection1
{page:WordSection1;}
--></style></head><body lang=ES link=blue vlink=purple><div class=WordSection1><p class=MsoNormal><span lang=ES-TRAD style='font-size:12.0pt;mso-fareast-language:EN-US'>Creo que lo entendí bien …<o:p></o:p></span></p><p class=MsoNormal><span lang=ES-TRAD style='font-size:12.0pt;mso-fareast-language:EN-US'><o:p> </o:p></span></p><p class=MsoNormal><span lang=ES-TRAD style='font-size:12.0pt;mso-fareast-language:EN-US'>Si se bloquea tanto en el firewall como en el servidor DNS cualquier petición que hagas desde un prefijo 6to4, ese usuario (que puede haber configurado su propio DNS con sus direcciones 6to4), no tiene respuesta. Peor según “donde” este ubicado ese firewall y como se haga el bloqueo, podrías estar bloqueando incluso tráfico 6to4 peer-to-peer, que es perfectamente válido.<o:p></o:p></span></p><p class=MsoNormal><span lang=ES-TRAD style='font-size:12.0pt;mso-fareast-language:EN-US'><o:p> </o:p></span></p><p class=MsoNormal><span lang=ES-TRAD style='font-size:12.0pt;mso-fareast-language:EN-US'>Creo que la recomendación tiene que ser cuanto menos matizada, y mucho mejor explicada, pero en cualquier caso creo que estas recomendando matar “moscas a cañonazos”: El problema no es 6to4, es el open resolver.<o:p></o:p></span></p><p class=MsoNormal><span lang=ES-TRAD style='font-size:12.0pt;mso-fareast-language:EN-US'><o:p> </o:p></span></p><p class=MsoNormal><span lang=ES-TRAD style='font-size:12.0pt;mso-fareast-language:EN-US'>Podría llegar a estar de acuerdo contigo si el resultado del estudio fuera que el 95% (o mas) de los 6to4 son open resolvers, pero me indicas que es solo un 33%.<o:p></o:p></span></p><p class=MsoNormal><span lang=ES-TRAD style='font-size:12.0pt;mso-fareast-language:EN-US'><o:p> </o:p></span></p><p class=MsoNormal><span lang=ES-TRAD style='font-size:12.0pt;mso-fareast-language:EN-US'>Por cierto que al no llegar el correo no se si viste la errata que tienes en las conclusiones, estas pidiendo que se bloquee 2001::/16 !<o:p></o:p></span></p><p class=MsoNormal><span lang=ES-TRAD style='font-size:12.0pt;mso-fareast-language:EN-US'><o:p> </o:p></span></p><div><p class=MsoNormal><span lang=ES-TRAD style='font-size:10.5pt;color:black'><br>Saludos,<o:p></o:p></span></p><p class=MsoNormal style='margin-bottom:12.0pt'><span lang=ES-TRAD style='font-size:10.5pt;color:black;mso-fareast-language:EN-US'>Jordi<o:p></o:p></span></p><p class=MsoNormal style='margin-bottom:12.0pt'><span lang=ES-TRAD style='font-size:10.5pt;color:black;mso-fareast-language:EN-US'><o:p> </o:p></span></p></div><p class=MsoNormal><span lang=ES-TRAD style='font-size:12.0pt;mso-fareast-language:EN-US'><o:p> </o:p></span></p><p class=MsoNormal><span lang=ES-TRAD style='font-size:12.0pt;mso-fareast-language:EN-US'><o:p> </o:p></span></p><div style='border:none;border-top:solid #B5C4DF 1.0pt;padding:3.0pt 0cm 0cm 0cm'><p class=MsoNormal style='margin-left:35.4pt'><b><span style='font-size:12.0pt;color:black'>De: </span></b><span style='font-size:12.0pt;color:black'><dns-esp-bounces@listas.nic.cl> en nombre de Alejandro Acosta <alejandroacostaalamo@gmail.com><br><b>Responder a: </b>DNS en español <dns-esp@listas.nic.cl><br><b>Fecha: </b>miércoles, 6 de febrero de 2019, 15:35<br><b>Para: </b><dns-esp@listas.nic.cl><br><b>Asunto: </b>Re: [dns-esp] Un pequeño post sobre direcciones IPv6 6to4 y DNS<o:p></o:p></span></p></div><div><p class=MsoNormal style='margin-left:35.4pt'><o:p> </o:p></p></div><p style='margin-left:35.4pt'>Hola Jordi,<o:p></o:p></p><p style='margin-left:35.4pt'> Gracias por tu comentario. Quizás has entendido mal.<o:p></o:p></p><p style='margin-left:35.4pt'> No digo bloquear el usuario 6to4, digo bloquear los queries recursivos que vienen de servidores DNS en 6to4.<o:p></o:p></p><p style='margin-left:35.4pt'> Usualmente un usuario 6to4 tiene un DNS server de su ISP (que no está en una red 6to4), de hecho muchas veces será un servidor DNS IPv4<o:p></o:p></p><p style='margin-left:35.4pt'><o:p> </o:p></p><p style='margin-left:35.4pt'>Saludos,<o:p></o:p></p><p style='margin-left:35.4pt'><o:p> </o:p></p><p style='margin-left:35.4pt'>Ale,<o:p></o:p></p><p style='margin-left:35.4pt'><o:p> </o:p></p><p style='margin-left:35.4pt'><o:p> </o:p></p><div><p class=MsoNormal style='margin-left:35.4pt'>El 6/2/19 a las 11:23, Hugo Salgado-Hernández escribió:<o:p></o:p></p></div><blockquote style='margin-top:5.0pt;margin-bottom:5.0pt'><pre style='margin-left:35.4pt'>[ Meta-mensaje: no teníamos una política de DMARC en esta lista.<o:p></o:p></pre><pre style='margin-left:35.4pt'>La acabo de habilitar, desde ahora los mensajes desde dominios<o:p></o:p></pre><pre style='margin-left:35.4pt'>con DMARC reject serán "wrapped".<o:p></o:p></pre><pre style='margin-left:35.4pt'><o:p> </o:p></pre><pre style='margin-left:35.4pt'>Abajo va un comentario muy interesante de Jordi que quizás algunos<o:p></o:p></pre><pre style='margin-left:35.4pt'>no recibieron!<o:p></o:p></pre><pre style='margin-left:35.4pt'><o:p> </o:p></pre><pre style='margin-left:35.4pt'>- Hugo ]<o:p></o:p></pre><pre style='margin-left:35.4pt'><o:p> </o:p></pre><pre style='margin-left:35.4pt'>On 14:37 06/02, JORDI PALET MARTINEZ wrote:<o:p></o:p></pre><blockquote style='margin-top:5.0pt;margin-bottom:5.0pt'><pre style='margin-left:35.4pt'>Hola Alejandro,<o:p></o:p></pre><pre style='margin-left:35.4pt'><o:p> </o:p></pre><pre style='margin-left:35.4pt'>Creo que en la conclusión hay una errata con el prefijo a bloquear ...<o:p></o:p></pre><pre style='margin-left:35.4pt'><o:p> </o:p></pre><pre style='margin-left:35.4pt'>Por otro lado, si lo he entendido bien, si bloqueas consultas provenientes del prefijo 6to4, estas causando un daño a cualquier usuario o ISP que este usando 6to4 y haga una consulta donde se este haciendo el bloqueo que recomiendas.<o:p></o:p></pre><pre style='margin-left:35.4pt'><o:p> </o:p></pre><pre style='margin-left:35.4pt'>Estamos de acuerdo que 6to4 no es el mejor mecanismo, pero nos guste o no, hay muchos CEs y sistemas operativos, que si tienen una dirección pública IPv4 y no tienen IPv6 de otro modo "mejor" (nativo, ISATAP o túnel manualmente configurado, por ejemplo), lo usan.<o:p></o:p></pre><pre style='margin-left:35.4pt'><o:p> </o:p></pre><pre style='margin-left:35.4pt'>6to4 es un protocolo estándar y válido. Lo que no es válido es utilizar anycast para descubrir relés 6to4.<o:p></o:p></pre><pre style='margin-left:35.4pt'><o:p> </o:p></pre><pre style='margin-left:35.4pt'>Así que creo que esta recomendación es muy dañina.<o:p></o:p></pre><pre style='margin-left:35.4pt'><o:p> </o:p></pre><pre style='margin-left:35.4pt'>Esta claro que el problema son los open resolver, no que sean 6to4 o que usen otras direcciones. Creo que se debe afrontar de otro modo.<o:p></o:p></pre><pre style='margin-left:35.4pt'><o:p> </o:p></pre><pre style='margin-left:35.4pt'>Saludos,<o:p></o:p></pre><pre style='margin-left:35.4pt'>Jordi<o:p></o:p></pre><pre style='margin-left:35.4pt'> <o:p></o:p></pre><pre style='margin-left:35.4pt'> <o:p></o:p></pre><pre style='margin-left:35.4pt'><o:p> </o:p></pre><pre style='margin-left:35.4pt'>-----Mensaje original-----<o:p></o:p></pre><pre style='margin-left:35.4pt'>De: <a href="mailto:dns-esp-bounces@listas.nic.cl"><dns-esp-bounces@listas.nic.cl></a> en nombre de Alejandro Acosta <a href="mailto:alejandroacostaalamo@gmail.com"><alejandroacostaalamo@gmail.com></a><o:p></o:p></pre><pre style='margin-left:35.4pt'>Responder a: DNS en español <a href="mailto:dns-esp@listas.nic.cl"><dns-esp@listas.nic.cl></a><o:p></o:p></pre><pre style='margin-left:35.4pt'>Fecha: miércoles, 6 de febrero de 2019, 14:19<o:p></o:p></pre><pre style='margin-left:35.4pt'>Para: DNS en español <a href="mailto:dns-esp@listas.nic.cl"><dns-esp@listas.nic.cl></a><o:p></o:p></pre><pre style='margin-left:35.4pt'>Asunto: [dns-esp] Un pequeño post sobre direcciones IPv6 6to4 y DNS<o:p></o:p></pre><pre style='margin-left:35.4pt'><o:p> </o:p></pre><pre style='margin-left:35.4pt'> Hola, muy buenos días,<o:p></o:p></pre><pre style='margin-left:35.4pt'> <o:p></o:p></pre><pre style='margin-left:35.4pt'> Les quería comentar que acabo de publicar el siguiente (muy corto) post:<o:p></o:p></pre><pre style='margin-left:35.4pt'> <o:p></o:p></pre><pre style='margin-left:35.4pt'> <a href="https://labs.lacnic.net/DNS_Bloquear_o_no_bloquear_las_direcciones_IPv6_6to4/">https://labs.lacnic.net/DNS_Bloquear_o_no_bloquear_las_direcciones_IPv6_6to4/</a><o:p></o:p></pre><pre style='margin-left:35.4pt'> <o:p></o:p></pre><pre style='margin-left:35.4pt'> <o:p></o:p></pre><pre style='margin-left:35.4pt'> Basicamente viene de un estudio que venimos realizando en Lacnic que<o:p></o:p></pre><pre style='margin-left:35.4pt'> se llama IPv6 Open Resolvers.<o:p></o:p></pre><pre style='margin-left:35.4pt'> <o:p></o:p></pre><pre style='margin-left:35.4pt'> La conclusión del post es recomendar a los operadores de DNSs<o:p></o:p></pre><pre style='margin-left:35.4pt'> Autoritativos a no permitir consultas desde direcciones IPv6 6to4<o:p></o:p></pre><pre style='margin-left:35.4pt'> (2002::/16) porque > 30% de los servidores en estas direcciones son<o:p></o:p></pre><pre style='margin-left:35.4pt'> servidores abiertos a la recursividad.<o:p></o:p></pre><pre style='margin-left:35.4pt'> <o:p></o:p></pre><pre style='margin-left:35.4pt'> Se escuchan opiniones, quejas y cualquier variante positiva o negativa.<o:p></o:p></pre><pre style='margin-left:35.4pt'> <o:p></o:p></pre><pre style='margin-left:35.4pt'> <o:p></o:p></pre><pre style='margin-left:35.4pt'> Saludos,<o:p></o:p></pre><pre style='margin-left:35.4pt'> <o:p></o:p></pre><pre style='margin-left:35.4pt'> <o:p></o:p></pre><pre style='margin-left:35.4pt'> Alejandro,<o:p></o:p></pre><pre style='margin-left:35.4pt'> <o:p></o:p></pre><pre style='margin-left:35.4pt'> <o:p></o:p></pre><pre style='margin-left:35.4pt'> _______________________________________________<o:p></o:p></pre><pre style='margin-left:35.4pt'> dns-esp mailing list<o:p></o:p></pre><pre style='margin-left:35.4pt'> <a href="mailto:dns-esp@listas.nic.cl">dns-esp@listas.nic.cl</a><o:p></o:p></pre><pre style='margin-left:35.4pt'> <a href="https://listas.nic.cl/mailman/listinfo/dns-esp">https://listas.nic.cl/mailman/listinfo/dns-esp</a><o:p></o:p></pre><pre style='margin-left:35.4pt'> <o:p></o:p></pre><pre style='margin-left:35.4pt'><o:p> </o:p></pre><pre style='margin-left:35.4pt'><o:p> </o:p></pre><pre style='margin-left:35.4pt'><o:p> </o:p></pre><pre style='margin-left:35.4pt'>**********************************************<o:p></o:p></pre><pre style='margin-left:35.4pt'>IPv4 is over<o:p></o:p></pre><pre style='margin-left:35.4pt'>Are you ready for the new Internet ?<o:p></o:p></pre><pre style='margin-left:35.4pt'><a href="http://www.theipv6company.com">http://www.theipv6company.com</a><o:p></o:p></pre><pre style='margin-left:35.4pt'>The IPv6 Company<o:p></o:p></pre><pre style='margin-left:35.4pt'><o:p> </o:p></pre><pre style='margin-left:35.4pt'>This electronic message contains information which may be privileged or confidential. The information is intended to be for the exclusive use of the individual(s) named above and further non-explicilty authorized disclosure, copying, distribution or use of the contents of this information, even if partially, including attached files, is strictly prohibited and will be considered a criminal offense. If you are not the intended recipient be aware that any disclosure, copying, distribution or use of the contents of this information, even if partially, including attached files, is strictly prohibited, will be considered a criminal offense, so you must reply to the original sender to inform about this communication and delete it.<o:p></o:p></pre><pre style='margin-left:35.4pt'><o:p> </o:p></pre><pre style='margin-left:35.4pt'><o:p> </o:p></pre><pre style='margin-left:35.4pt'><o:p> </o:p></pre><pre style='margin-left:35.4pt'><o:p> </o:p></pre><pre style='margin-left:35.4pt'>_______________________________________________<o:p></o:p></pre><pre style='margin-left:35.4pt'>dns-esp mailing list<o:p></o:p></pre><pre style='margin-left:35.4pt'><a href="mailto:dns-esp@listas.nic.cl">dns-esp@listas.nic.cl</a><o:p></o:p></pre><pre style='margin-left:35.4pt'><a href="https://listas.nic.cl/mailman/listinfo/dns-esp">https://listas.nic.cl/mailman/listinfo/dns-esp</a><o:p></o:p></pre><p class=MsoNormal style='margin-left:35.4pt'><br><br><o:p></o:p></p><pre style='margin-left:35.4pt'>_______________________________________________<o:p></o:p></pre><pre style='margin-left:35.4pt'>dns-esp mailing list<o:p></o:p></pre><pre style='margin-left:35.4pt'><a href="mailto:dns-esp@listas.nic.cl">dns-esp@listas.nic.cl</a><o:p></o:p></pre><pre style='margin-left:35.4pt'><a href="https://listas.nic.cl/mailman/listinfo/dns-esp">https://listas.nic.cl/mailman/listinfo/dns-esp</a><o:p></o:p></pre></blockquote></blockquote><p class=MsoNormal style='margin-left:35.4pt'>_______________________________________________ dns-esp mailing list dns-esp@listas.nic.cl https://listas.nic.cl/mailman/listinfo/dns-esp <o:p></o:p></p></div><br>**********************************************<br>
IPv4 is over<br>
Are you ready for the new Internet ?<br>
http://www.theipv6company.com<br>
The IPv6 Company<br>
<br>
This electronic message contains information which may be privileged or confidential. The information is intended to be for the exclusive use of the individual(s) named above and further non-explicilty authorized disclosure, copying, distribution or use of the contents of this information, even if partially, including attached files, is strictly prohibited and will be considered a criminal offense. If you are not the intended recipient be aware that any disclosure, copying, distribution or use of the contents of this information, even if partially, including attached files, is strictly prohibited, will be considered a criminal offense, so you must reply to the original sender to inform about this communication and delete it.<br>
<br>
</body></html>