Hola!
gracias a todos por las respuestas, y si conozco el caso de qmail y de otros MTAs aparentemente, pero en mi caso mis zonas son zonas _reversas_ (hijas de in-addr.arpa y de ip6.arpa), en ese caso es donde no se me ocurre ningun uso legitimo.
s2
Carlos
On 9/12/12 1:26 PM, Mauricio Vergara Ereche wrote:
Hola!
El 12 de septiembre de 2012 12:29, Francisco Obispo <fobispo@isc.org mailto:fobispo@isc.org> escribió:
On Sep 12, 2012, at 6:11 AM, Carlos M. martinez <carlosm3011@gmail.com <mailto:carlosm3011@gmail.com>> wrote: > filtrar las > consultas por 'ANY'. Hacer esto efectivamente, es costoso y complicado a nivel de FW. por ahi hay una regla de iptables que sirve para algunos casos pero no para todos.
Creo que Carlos se refería al parche de Vixie para bind, no a un acercamiento por FW... http://www.redbarn.org/dns/ratelimits
> La pregunta para la lista es si conocen algun software que haga un uso > legitimo de consultas 'ANY' _en una zona reversa_. A mi no se me ocurre > ninguno, pero me gustaria consultar la opinion de uds. Creo que algunos servidores de correo (qmail), tiene este comportamiento [1], pero normalmente clientes no hacen solicitudes de tipo ANY. [1] http://fanf.livejournal.com/122220.html
Cierto! no creo que sea un grupo muy gigante de implementaciones como qmail las que ocupan lo de la consulta ANY, pero si se piensa en el parche de ratelimits, esto sólo serviría para disminuir las consultas ANY en períodos de "tempestad" por bloques definidos en unas ventanas, que también son definidas.
O sea, si estoy entiendo bien el funcionamiento del parche, si un resolver está haciendo las consultas, se limita las consultas al /24 al que pertenece ese resolver, pero no se bloquean todas las consultas en general ¿no?
Saludos!
-- Mauricio Vergara Ereche +56 99 1241718 Viña del Mar/Santiago - CHILE http://mave.cero32.cl
dns-esp mailing list dns-esp@listas.nic.cl https://listas.nic.cl/mailman/listinfo/dns-esp