Перейти к содержимому
Калькуляторы
17 часов назад, alibek сказал:

Самый простой вариант — указать в памятке абонента новые адреса православных DNS с просьбой использовать их.

В конце концов у оператора может вообще не быть своих DNS-серверов.

Нет такого в православии батенька) не надо) Не быть DNS не может. 

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

2 часа назад, straus сказал:

Пока не указано, но планируется так. Более того, 53 порт всегда заворачивать на чебурнет, не пуская больше ни на какие чужие днсы. Но это озвучат позже, где-то в июне-июле.
 

Вы это сами придумали или инсайты? p.s. представил дата-центр, который заворачивает трафик своих клиентов...:)

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

43 минуты назад, remos сказал:

представил дата-центр, который заворачивает трафик своих клиентов

Ну, во первых не "трафик клиентов", а очень даже "служебный трафик". С некоторой натяжкой DNS это примерно ICMP

А во вторых, на фильтр РКН заворачивают же... И ничего.

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

10 минут назад, sol сказал:

Ну, во первых не "трафик клиентов", а очень даже "служебный трафик". С некоторой натяжкой DNS это примерно ICMP

А во вторых, на фильтр РКН заворачивают же... И ничего.

 

В сети клиента дата-центра, авторитетный нс который держит домены клиента, ваши действия? DNS это не служебный трафик, это сервис.

Изменено пользователем remos

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

6 минут назад, remos сказал:

ваши действия?

Никаких... Зачем в этом случае предпринимать какие либо действия?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

8 минут назад, sol сказал:

Никаких... Зачем в этом случае предпринимать какие либо действия?

Так я тоже не понимаю зачем редиректить. По существу просят поднять копию рута, кто не хочет может воспользоваться форвардом, в зоне ответственности своего рекурсора.

Изменено пользователем remos

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

18 минут назад, remos сказал:

В сети клиента дата-центра, авторитетный нс который держит домены клиента, ваши действия? DNS это не служебный трафик, это сервис.


 

Заворачивать не "запросы к", а "запросы от". Единственный православный DNS-сервер будет внутри чебурнета, все запросы направлять к нему, он разберётся. Если кто-то особо умный из абонентов поставит у себя 8.8.8.8 - его тоже завернуть на православный.

Зачем - вопросы к тому, кто спит и видит полную власть над чебурнетом.
 

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

16 минут назад, straus сказал:

а "запросы от".
 

Напоминает ружье которое таки во втором антракте выстрелит. По факту TTL сервисов стремится к 1 в этих условиях нужно обезопасить корень, от возможных диверсий, что собственно и предлагается сделать. Нужно будет что-то посмотреть, не переживайте выше сделают редирект с 8.8.8.8, за вас.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Возвращаясь к вопросу о pdns, видимо, действительно проще всего поднять тестовый рекурсор, и просто проверить на нем всю схему. Кстати, в pdns (по крайней мере для centos) нет ни /usr/share/dns, ни самого файла root.hints. Но в любом случае, его можно собрать самостоятельно и указать в конфиге.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

6 минут назад, aneye сказал:

Возвращаясь к вопросу о pdns, видимо, действительно проще всего поднять тестовый рекурсор, и просто проверить на нем всю схему. Кстати, в pdns (по крайней мере для centos) нет ни /usr/share/dns, ни самого файла root.hints. Но в любом случае, его можно собрать самостоятельно и указать в конфиге.

если в root.hints записи "протухнут" то работать не будет.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

22 минуты назад, remos сказал:

что собственно и предлагается сделать

Попутно сделав фильтрацию неугодного контента по DNS, и чтобы её не обошли установкой другого сервера. Дополнительная защита от терроризма, экстремизма и детской порнографии.
 

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

6 hours ago, aneye said:

в pdns (по крайней мере для centos) нет ни /usr/share/dns, ни самого файла root.hints. Но в любом случае, его можно собрать самостоятельно и указать в конфиге.

Я на Debian смотрел, там в отдельный пакет dns-root-data это дело вынесено. Судя по всему, в CentOS так и предлагается скачивать хинты вручную и указывать в конфиге. Например с https://www.internic.net/domain/named.root.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

22 часа назад, straus сказал:

Умные абоненты ставят

8.8.8.8

8.8.4.4

1.1.1.1

Нет, умные ставят свой собственный unbound или аналогичный рекурсор.

Чужие днс - способ показать дяде из анб куда ты лазаешь в реальном времени.

 

9 часов назад, snvoronkov сказал:

Рекомендую ознакомиться ЧТО придется банить. Результат будет примерно как в первые дни "охоты на Телегу". Даже, наверное, сильно хуже будет.

Там не большой список, я уже всё забанил у себя дома :)

Чисто с целью чтобы всякие мразотные браузеры и приложения не лазали в инет в обход домашнего unbound на котором некоторые домены заблочены.

 

6 часов назад, aneye сказал:

Возвращаясь к вопросу о pdns, видимо, действительно проще всего поднять тестовый рекурсор, и просто проверить на нем всю схему. Кстати, в pdns (по крайней мере для centos) нет ни /usr/share/dns, ни самого файла root.hints. Но в любом случае, его можно собрать самостоятельно и указать в конфиге.

Да закопай ты уже свой pdns, поставь unbound, тоже самое только конфиг текстовый и применяется без пересборки бинарника.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

В инструкции написано - реализовать один из вариантов.

В п.5 для bind:

options {
forward first;
forwarders { 195.208.4.1; 195.208.5.1; 2a0c:a9c7:8::1;
2a0c:a9c7:9::1;};
};

Если православные ДНС сдохли, то т.к. forward first, то ресоливится будем от рутовых. Их-то пока никто не заставляет блочить/подменять. Да, будет подтормаживать, то ресолвится-то все равно будет.

Или я что-то не так понимаю?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Сделал по п.4 для unbound

stub-zone:
    name: "."
    stub-prime: no
    stub-addr: 195.208.6.1
    stub-addr: 195.208.7.1
    stub-addr: 2a0c:a9c7:a::1
    stub-addr: 2a0c:a9c7:b::1
Ну и получил ошибку

unbound[2184:0] error: second hints for zone . ignored.

Думаю дай напишу в ЦМУ и получил ответ.

----

Добрый день,

Эта ошибка должна уйти, если закомментировать в конфиге строчку: root-hints:
Если это не поможет, то нужно будет взглянуть на файл конфига чтобы иметь возможность воспроизвести проблему.

----

 

А вы говорите никто не заставит убирать корневые сервера. Шаг влево, шаг вправо - расстрел. Ведь если православный рухнет - это будут крики и иски за не работающий инет от клиентов.
P.S. знать бы как они построили свои сервера и сколько их в реале. 

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

4 часа назад, Vadic сказал:

Сделал по п.4 для unbound

stub-zone:

Там же есть отдельно forward и туда можно и вероятно нужно прописывать форвадинг.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Ну забрал я с указанного РКН IP root зону. Она отдается ровно такая же, как c любого из нормальных root серверов.
Пока война не началась, так и будет. А как начнется, нам будет уже пофиг. РКН не регламентирует как часто я должен обновлять
root.hints, механизма проверки тоже нет. Идиотизм - да. Опасный ? Не особо. (речь только о варианте c root.hints конечно. Ставить клиентам резолвер от РКН понятное дело на трезвую голову никто не станет. )

 

Или я чего то не догоняю?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

1 час назад, Ilya сказал:

РКН не регламентирует как часто я должен обновлять

DNS NOTIFY is a mechanism that allows primary servers to notify their secondary servers of changes to a zone’s data. In response to a NOTIFY from a primary server, the secondary checks to see that its version of the zone is the current version and, if not, initiates a zone transfer.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

1 minute ago, Умник said:

 

 

Оно понятно, но регламента РКН нет. Ну дернули мой DNS, что надо перезагрузить root.hints. Ну мой сервер это проигнорировал. Дальше что ? Как DNS работает я немного понимаю, я не понимаю, как РКН будет это контролировать.

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

В общем тесты показали что не все работает в этой схеме.

Перевел один сервер на их работу по п.4 с закоментированным root-hints: в unbound

И вот результаты первые. 

Там где ICANN сервера на запрос домена rage.mp получил ответ

Non-authoritative answer:
Name:   rage.mp
Address: 104.27.53.115
Name:   rage.mp
Address: 104.27.52.115
Name:   rage.mp
Address: 2606:4700:20::681b:3473
Name:   rage.mp
Address: 2606:4700:20::681b:3573
 

На другом сервере который подключен к НСДИ получил.

** server can't find rage.mp: NXDOMAIN
 

Таким образом все клиенты укажут ДНС сервера 8.8.8.8, 8.8.4.4, 1.1.1.1 и будут правы. Если только их не вырежут или не заставят так же подключиться к НСДИ. 

Изменено пользователем Vadic

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

3 минуты назад, Vadic сказал:

На другом сервере который подключен к НСДИ получил.

 

Если напрямую спрашивать type A или AAAA у 195.208.4.1 или 195.208.5.1, то отвечают.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

3 minutes ago, Vadic said:

В общем тесты показали что не все работает в этой схеме.

Перевел один сервер на их работу по п.4 с закоментированным root-hints: в unbound

И вот результаты первые. 

Там где ICANN сервера на запрос домена rage.mp получил ответ

Non-authoritative answer:
Name:   rage.mp
Address: 104.27.53.115
Name:   rage.mp
Address: 104.27.52.115
Name:   rage.mp
Address: 2606:4700:20::681b:3473
Name:   rage.mp
Address: 2606:4700:20::681b:3573
 

На другом сервере который подключен к НСДИ получил.

** server can't find rage.mp: NXDOMAIN
 

Таким образом все клиенты укажут ДНС сервера 8.8.8.8, 8.8.4.4, 1.1.1.1 и будут правы. Если только их не вырежут или не заставят так же подключиться к НСДИ. 

 

А как при п4 и том факте, что возвращаются все те же root сервера, что и без РКН, могут возникнуть проблемы?

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

30 минут назад, Ilya сказал:

как РКН будет это контролировать.

 

Придумают что-нибудь. Они умеют. Разошлют всем NOTIFY и проверят, кто не забрал. Потом напишут на почту "ваш сервер некорректно работает, в срок до вчера исправить".

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

24 минуты назад, Умник сказал:

Если напрямую спрашивать type A или AAAA у 195.208.4.1 или 195.208.5.1, то отвечают.

Для п4. используются другие сервера.

    stub-addr: 195.208.6.1
    stub-addr: 195.208.7.1

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

12 минут назад, Vadic сказал:

Для п4. используются другие сервера.

    stub-addr: 195.208.6.1
    stub-addr: 195.208.7.1

Хз. Ответ от 6.1 и 7.1 сейчас аналогичен ответу легитимного корня (a.root-servers.net, например).

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Гость
Ответить в тему...

×   Вставлено в виде отформатированного текста.   Вставить в виде обычного текста

  Разрешено не более 75 смайлов.

×   Ваша ссылка была автоматически встроена.   Отобразить как ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставить изображения напрямую. Загрузите или вставьте изображения по ссылке.