remos Опубликовано 26 февраля, 2021 · Жалоба 17 часов назад, alibek сказал: Самый простой вариант — указать в памятке абонента новые адреса православных DNS с просьбой использовать их. В конце концов у оператора может вообще не быть своих DNS-серверов. Нет такого в православии батенька) не надо) Не быть DNS не может. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
remos Опубликовано 26 февраля, 2021 · Жалоба 2 часа назад, straus сказал: Пока не указано, но планируется так. Более того, 53 порт всегда заворачивать на чебурнет, не пуская больше ни на какие чужие днсы. Но это озвучат позже, где-то в июне-июле. Вы это сами придумали или инсайты? p.s. представил дата-центр, который заворачивает трафик своих клиентов...:) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
sol Опубликовано 26 февраля, 2021 · Жалоба 43 минуты назад, remos сказал: представил дата-центр, который заворачивает трафик своих клиентов Ну, во первых не "трафик клиентов", а очень даже "служебный трафик". С некоторой натяжкой DNS это примерно ICMP А во вторых, на фильтр РКН заворачивают же... И ничего. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
remos Опубликовано 26 февраля, 2021 (изменено) · Жалоба 10 минут назад, sol сказал: Ну, во первых не "трафик клиентов", а очень даже "служебный трафик". С некоторой натяжкой DNS это примерно ICMP А во вторых, на фильтр РКН заворачивают же... И ничего. В сети клиента дата-центра, авторитетный нс который держит домены клиента, ваши действия? DNS это не служебный трафик, это сервис. Изменено 26 февраля, 2021 пользователем remos Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
sol Опубликовано 26 февраля, 2021 · Жалоба 6 минут назад, remos сказал: ваши действия? Никаких... Зачем в этом случае предпринимать какие либо действия? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
remos Опубликовано 26 февраля, 2021 (изменено) · Жалоба 8 минут назад, sol сказал: Никаких... Зачем в этом случае предпринимать какие либо действия? Так я тоже не понимаю зачем редиректить. По существу просят поднять копию рута, кто не хочет может воспользоваться форвардом, в зоне ответственности своего рекурсора. Изменено 26 февраля, 2021 пользователем remos Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
straus Опубликовано 26 февраля, 2021 · Жалоба 18 минут назад, remos сказал: В сети клиента дата-центра, авторитетный нс который держит домены клиента, ваши действия? DNS это не служебный трафик, это сервис. Заворачивать не "запросы к", а "запросы от". Единственный православный DNS-сервер будет внутри чебурнета, все запросы направлять к нему, он разберётся. Если кто-то особо умный из абонентов поставит у себя 8.8.8.8 - его тоже завернуть на православный. Зачем - вопросы к тому, кто спит и видит полную власть над чебурнетом. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
remos Опубликовано 26 февраля, 2021 · Жалоба 16 минут назад, straus сказал: а "запросы от". Напоминает ружье которое таки во втором антракте выстрелит. По факту TTL сервисов стремится к 1 в этих условиях нужно обезопасить корень, от возможных диверсий, что собственно и предлагается сделать. Нужно будет что-то посмотреть, не переживайте выше сделают редирект с 8.8.8.8, за вас. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
aneye Опубликовано 26 февраля, 2021 · Жалоба Возвращаясь к вопросу о pdns, видимо, действительно проще всего поднять тестовый рекурсор, и просто проверить на нем всю схему. Кстати, в pdns (по крайней мере для centos) нет ни /usr/share/dns, ни самого файла root.hints. Но в любом случае, его можно собрать самостоятельно и указать в конфиге. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
remos Опубликовано 26 февраля, 2021 · Жалоба 6 минут назад, aneye сказал: Возвращаясь к вопросу о pdns, видимо, действительно проще всего поднять тестовый рекурсор, и просто проверить на нем всю схему. Кстати, в pdns (по крайней мере для centos) нет ни /usr/share/dns, ни самого файла root.hints. Но в любом случае, его можно собрать самостоятельно и указать в конфиге. если в root.hints записи "протухнут" то работать не будет. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
straus Опубликовано 26 февраля, 2021 · Жалоба 22 минуты назад, remos сказал: что собственно и предлагается сделать Попутно сделав фильтрацию неугодного контента по DNS, и чтобы её не обошли установкой другого сервера. Дополнительная защита от терроризма, экстремизма и детской порнографии. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
lugoblin Опубликовано 26 февраля, 2021 · Жалоба 6 hours ago, aneye said: в pdns (по крайней мере для centos) нет ни /usr/share/dns, ни самого файла root.hints. Но в любом случае, его можно собрать самостоятельно и указать в конфиге. Я на Debian смотрел, там в отдельный пакет dns-root-data это дело вынесено. Судя по всему, в CentOS так и предлагается скачивать хинты вручную и указывать в конфиге. Например с https://www.internic.net/domain/named.root. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Ivan_83 Опубликовано 26 февраля, 2021 · Жалоба 22 часа назад, straus сказал: Умные абоненты ставят 8.8.8.8 8.8.4.4 1.1.1.1 Нет, умные ставят свой собственный unbound или аналогичный рекурсор. Чужие днс - способ показать дяде из анб куда ты лазаешь в реальном времени. 9 часов назад, snvoronkov сказал: Рекомендую ознакомиться ЧТО придется банить. Результат будет примерно как в первые дни "охоты на Телегу". Даже, наверное, сильно хуже будет. Там не большой список, я уже всё забанил у себя дома :) Чисто с целью чтобы всякие мразотные браузеры и приложения не лазали в инет в обход домашнего unbound на котором некоторые домены заблочены. 6 часов назад, aneye сказал: Возвращаясь к вопросу о pdns, видимо, действительно проще всего поднять тестовый рекурсор, и просто проверить на нем всю схему. Кстати, в pdns (по крайней мере для centos) нет ни /usr/share/dns, ни самого файла root.hints. Но в любом случае, его можно собрать самостоятельно и указать в конфиге. Да закопай ты уже свой pdns, поставь unbound, тоже самое только конфиг текстовый и применяется без пересборки бинарника. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Andrei Опубликовано 26 февраля, 2021 · Жалоба В инструкции написано - реализовать один из вариантов. В п.5 для bind: options { forward first; forwarders { 195.208.4.1; 195.208.5.1; 2a0c:a9c7:8::1; 2a0c:a9c7:9::1;}; }; Если православные ДНС сдохли, то т.к. forward first, то ресоливится будем от рутовых. Их-то пока никто не заставляет блочить/подменять. Да, будет подтормаживать, то ресолвится-то все равно будет. Или я что-то не так понимаю? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Vadic Опубликовано 26 февраля, 2021 · Жалоба Сделал по п.4 для unbound stub-zone: name: "." stub-prime: no stub-addr: 195.208.6.1 stub-addr: 195.208.7.1 stub-addr: 2a0c:a9c7:a::1 stub-addr: 2a0c:a9c7:b::1 Ну и получил ошибку unbound[2184:0] error: second hints for zone . ignored. Думаю дай напишу в ЦМУ и получил ответ. ---- Добрый день, Эта ошибка должна уйти, если закомментировать в конфиге строчку: root-hints: Если это не поможет, то нужно будет взглянуть на файл конфига чтобы иметь возможность воспроизвести проблему. ---- А вы говорите никто не заставит убирать корневые сервера. Шаг влево, шаг вправо - расстрел. Ведь если православный рухнет - это будут крики и иски за не работающий инет от клиентов. P.S. знать бы как они построили свои сервера и сколько их в реале. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Ivan_83 Опубликовано 27 февраля, 2021 · Жалоба 4 часа назад, Vadic сказал: Сделал по п.4 для unbound stub-zone: Там же есть отдельно forward и туда можно и вероятно нужно прописывать форвадинг. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Ilya Опубликовано 28 февраля, 2021 · Жалоба Ну забрал я с указанного РКН IP root зону. Она отдается ровно такая же, как c любого из нормальных root серверов. Пока война не началась, так и будет. А как начнется, нам будет уже пофиг. РКН не регламентирует как часто я должен обновлять root.hints, механизма проверки тоже нет. Идиотизм - да. Опасный ? Не особо. (речь только о варианте c root.hints конечно. Ставить клиентам резолвер от РКН понятное дело на трезвую голову никто не станет. ) Или я чего то не догоняю? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Умник Опубликовано 28 февраля, 2021 · Жалоба 1 час назад, Ilya сказал: РКН не регламентирует как часто я должен обновлять DNS NOTIFY is a mechanism that allows primary servers to notify their secondary servers of changes to a zone’s data. In response to a NOTIFY from a primary server, the secondary checks to see that its version of the zone is the current version and, if not, initiates a zone transfer. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Ilya Опубликовано 28 февраля, 2021 · Жалоба 1 minute ago, Умник said: Оно понятно, но регламента РКН нет. Ну дернули мой DNS, что надо перезагрузить root.hints. Ну мой сервер это проигнорировал. Дальше что ? Как DNS работает я немного понимаю, я не понимаю, как РКН будет это контролировать. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Vadic Опубликовано 28 февраля, 2021 (изменено) · Жалоба В общем тесты показали что не все работает в этой схеме. Перевел один сервер на их работу по п.4 с закоментированным root-hints: в unbound И вот результаты первые. Там где ICANN сервера на запрос домена rage.mp получил ответ Non-authoritative answer: Name: rage.mp Address: 104.27.53.115 Name: rage.mp Address: 104.27.52.115 Name: rage.mp Address: 2606:4700:20::681b:3473 Name: rage.mp Address: 2606:4700:20::681b:3573 На другом сервере который подключен к НСДИ получил. ** server can't find rage.mp: NXDOMAIN Таким образом все клиенты укажут ДНС сервера 8.8.8.8, 8.8.4.4, 1.1.1.1 и будут правы. Если только их не вырежут или не заставят так же подключиться к НСДИ. Изменено 28 февраля, 2021 пользователем Vadic Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Умник Опубликовано 28 февраля, 2021 · Жалоба 3 минуты назад, Vadic сказал: На другом сервере который подключен к НСДИ получил. Если напрямую спрашивать type A или AAAA у 195.208.4.1 или 195.208.5.1, то отвечают. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Ilya Опубликовано 28 февраля, 2021 · Жалоба 3 minutes ago, Vadic said: В общем тесты показали что не все работает в этой схеме. Перевел один сервер на их работу по п.4 с закоментированным root-hints: в unbound И вот результаты первые. Там где ICANN сервера на запрос домена rage.mp получил ответ Non-authoritative answer: Name: rage.mp Address: 104.27.53.115 Name: rage.mp Address: 104.27.52.115 Name: rage.mp Address: 2606:4700:20::681b:3473 Name: rage.mp Address: 2606:4700:20::681b:3573 На другом сервере который подключен к НСДИ получил. ** server can't find rage.mp: NXDOMAIN Таким образом все клиенты укажут ДНС сервера 8.8.8.8, 8.8.4.4, 1.1.1.1 и будут правы. Если только их не вырежут или не заставят так же подключиться к НСДИ. А как при п4 и том факте, что возвращаются все те же root сервера, что и без РКН, могут возникнуть проблемы? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Умник Опубликовано 28 февраля, 2021 · Жалоба 30 минут назад, Ilya сказал: как РКН будет это контролировать. Придумают что-нибудь. Они умеют. Разошлют всем NOTIFY и проверят, кто не забрал. Потом напишут на почту "ваш сервер некорректно работает, в срок до вчера исправить". Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Vadic Опубликовано 28 февраля, 2021 · Жалоба 24 минуты назад, Умник сказал: Если напрямую спрашивать type A или AAAA у 195.208.4.1 или 195.208.5.1, то отвечают. Для п4. используются другие сервера. stub-addr: 195.208.6.1 stub-addr: 195.208.7.1 Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Умник Опубликовано 28 февраля, 2021 · Жалоба 12 минут назад, Vadic сказал: Для п4. используются другие сервера. stub-addr: 195.208.6.1 stub-addr: 195.208.7.1 Хз. Ответ от 6.1 и 7.1 сейчас аналогичен ответу легитимного корня (a.root-servers.net, например). Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...