ПРОЕКТЫ 


  АРХИВ 


Apache-Talk @lexa.ru 

Inet-Admins @info.east.ru 

Filmscanners @halftone.co.uk 

Security-alerts @yandex-team.ru 

nginx-ru @sysoev.ru 

  СТАТЬИ 


  ПЕРСОНАЛЬНОЕ 


  ПРОГРАММЫ 



ПИШИТЕ
ПИСЬМА












     АРХИВ :: Inet-Admins
Inet-Admins mailing list archive (inet-admins@info.east.ru)

[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]

Re: [inet-admins] CNAME and OTHER data error




On Mon, 15 Mar 2004, Max Rozhkov wrote:

>
>
> Petr Novopashenniy wrote:
> > Добрый день!
> >
> > On Mon, 15 Mar 2004, Victor Sudakov wrote:
> >
> >
> >>Max Rozhkov wrote:
> >>
> >>>>>Вообще-то ты сам себе положил грабли. $Origin для наглядности раскрою.
> >>>>
> >>>>
> >>>>Ты не понял или я плохо объяснил.
> >>>>
> >>>>
> >>>>
> >>>>>Ситуация с твоим
> >>>>>
> >>>>>compland.tomsk.ru.        IN   NS      ns.compland.tomsk.ru.
> >>>>>и
> >>>>>ns.compland.tomsk.ru.     IN   A       212.192.127.152
> >>>>>и
> >>>>
> >>>>
> >>>>Здесь _мой_ кончается.
> >>>>
> >>>>
> >>>>
> >>>>>ns.compland.tomsk.ru.     IN   CNAME   otherhost.com.
> >>>>
> >>>>^^^^^^^^^^^^^^^^^^^^^^^^^^^^
> >>>>
> >>>>а подчеркнутая запись лежит уже  не у меня, а у клиента.
> >>>>
> >>>>
> >>>
> >>>
> >>>Попробуй у себя прописать
> >>>
> >>>compland.tomsk.ru.        IN   NS      ns-compland.tomsk.ru.
> >>>ns-compland.tomsk.ru.     IN   A       212.192.127.152
> >>>
> >>>и не мучаться.
> >>
> >>Интересная мысль, мне в голову не приходила. Два вопроса:
> >>
> >>1) это ничего, что у клиента в файле зоны compland.tomsk.ru список NS
> >>другой (никакого ns-compland.tomsk.ru там естественно нет) ?
> >
> > Вообще-то это как раз "чего"... Это может привести к кривому делегированию
> > зоны, и некотрые резолверы в результате могут вообще не работать с зоной
> > compland.tomsk.ru.
> >
> > Я как-то натыкался на похожую проблему с зоной fromru.com, которая
> > виделась частью NS'ов через раз, ну и конечно почта на нее ходила
> > соответствующим образом :(.
> >
> > Вобщем для корректного делегирования все равно нужно, чтобы у клиента
> > в зоне была соответствующая строка:
> > ns-compland.tomsk.ru.     IN   A       212.192.127.152
> >
> > А это вновь приводит к началу проблемы...
>
> Собственно мое предложение позволяет избавиться от умерщвление зоны
> "tomsk.ru" при ошибке у клиента. Если клиент ошибся - ошибка
> распространяется на его зону и все. При указании в зоне клиента других
> NS серверов содержащих его зону (compland.tomsk.ru) - его зона будет
> видна. Иначе - нет. После исправления ошибки клиентом - его зона
> появляется обратно. При этом tomsk.ru живет и не умирает.
Вообще-то тут есть тоже свои тонкости, но об этом потом...
В географических доменах принято делегировать зону на ns'ы,
которые указаны в заявке. Будь я клиентом, меня бы смутила такая
самодеятельность... Видимо проблему решать надо несколько иначе...

>
> >
> >
> >>2) почему проблема проявилась только с переходом на 8.3.6-REL-p1
> >>(досталась именно эта версия вместе с RELENG_4_9). На 8.3.3-REL-p1
> >>ругань в логах может и была (сейчас уже не вспомнить), но до режекта
> >>зоны не доходило.
> >
> > Тут ничего прокомментировать не могу... У меня named'ы самосборные,
> > такого эффекта не наблюдал...
>
> Вероятно это из-за того, что записи вида:
>
> ns.compland.tomsk.ru.     IN   CNAME   otherhost.com.
>
> или
>
> ns.compland     IN   CNAME   otherhost.com.
>
> запрещены и должны быть заменены на:
>
> $ORIGIN compland
> ns     IN   CNAME   otherhost.com.

Вообще-то NS записи ссылающиеся на CNAME сильно не желательны....

RFC1912:

   Having NS records pointing to a CNAME is bad and may conflict badly
   with current BIND servers.  In fact, current BIND implementations
   will ignore such records, possibly leading to a lame delegation.
   There is a certain amount of security checking done in BIND to
   prevent spoofing DNS NS records.  Also, older BIND servers reportedly
   will get caught in an infinite query loop trying to figure out the
   address for the aliased nameserver, causing a continuous stream of
   DNS requests to be sent.



>
> Удачи!
>
>
> =============================================================================
> "inet-admins" Internet access mailing list. Maintained by East Connection ISP.
> Mail "unsubscribe inet-admins" to Majordomo@info.east.ru if you want to quit.
> Archive is accessible on http://info.east.ru/rus/inetadm.html
>

Petr Novopashenniy
RUSnet

╖zж² )Л"{^╝w╜iг╡и ┼X╖┌X╛╢ф╒·ж╒²Г[хF╛╢*'²Г-┼┴хHС┼[╖╡ФЛr╦⌡z)ч╣╖f┼{-═фё╒╥h ┬╖~┤ ╡зН┴Э╗╩╖╤з*╨+@╜хb╫Х╛iг╡х⌡∙Й'├шiЪЬ╖~┤ ╡зНЧ╩╛Ч)ч╣╖f├ы╔


 




Copyright © Lexa Software, 1996-2009.