forum.opennet.ru

"Вышел DNS-сервер BIND 9.9.4 с поддержкой RRL для блокировани..."

Форум Разговоры, обсуждение новостей
Версия для распечатки	Пред. тема \| След. тема

Исходное сообщение

[ Отслеживать ]

Присылайте удачные настройки в раздел примеров файлов конфигурации на WIKI.opennet.ru.

. "Вышел DNS-сервер BIND 9.9.4 с поддержкой RRL для блокировани..."	+/–
Сообщение от anonymous (??), 21-Сен-13, 19:11
>> Патамушта БыГыПы > Ну и что Вы хотели сказать? Вы пытаетесь сейчас утверждать что боты > сначала Вам с _клиентского интерфейса по BGP_ впаривают левые сети, а > потом с них начинают слать пакеты "путем отправки запросов с фиктивного > обратного адреса, указывающего на IP жертвы"? Очень смешно :) На самом деле, правильно разделять бордеры (BGP) и BRAS'ы, где терминируются абоненты. Таким образом удается избежать проблем false positives на интерфейсах c BGP-сессиями (т.е. вообще отключить там RPF) и избежать спуфинга адресов, включив его на том интерфейсе, где абонент терминируется. К сожалению, большинство мелких провайдеров имеет одно оборудование, служащее и бордером, и брасом, да еще и биллингом, зачастую.
Ответить \| Правка \| Наверх \| Cообщить модератору

Оглавление

Вышел DNS-сервер BIND 9.9.4 с поддержкой RRL для блокировани..., opennews, 20-Сен-13, 23:09 [смотреть все]

для домашнего пк есть смысл от кэширующего Бинда , MSlinux, 20-Сен-13, 23:09 (1) //
- Конечно есть - во многих случаях задержки на DNS запрос полностью устраняются у, Аноним, 20-Сен-13, 23:42 (6) //
  - и, наверное, и не обновляет их PS выстрел себе даже не в ногу, а прямо в голов, Serge, 20-Сен-13, 23:55 (7) //
    - Обновляет, разумеется , Аноним, 21-Сен-13, 05:42 (19)
    - Моё дело сказать, а вы дальше сами решайте , Eddhie, 21-Сен-13, 14:07 (33)
  - После чего некто будет долго чесать репу а чего это у меня не грузится вон тот , Аноним, 21-Сен-13, 00:09 (9) //
    - Разумеется кэш обновляется , Аноним, 21-Сен-13, 05:43 (20)
  - тогда уж лучше юзать unbound там эта фича есть из коробки prefetch вроде назыв, rost, 22-Сен-13, 20:35 (73)
- когда домашний роутер кэширует то нет, Аноним, 20-Сен-13, 23:58 (8)
- для дома есть Dnsmasq, Аноним, 21-Сен-13, 01:09 (13) //
  - dnsmasq отличная штука жаль только не умеет рекурсивные запросы , rost, 22-Сен-13, 20:39 (74)
- от Djb или unbound-а - есть а вообще для кэширования лучше использовать Отедельн, Аноним, 23-Сен-13, 16:45 (87)
нет, Аноним, 20-Сен-13, 23:16 (2)
конечно нет 8 8 8 8 или 4 2 2 2 отвечают значительно быстрее чем домашний , Аноним, 20-Сен-13, 23:16 (3) //
- неожиданно, 77 88 8 8 отвечает еще быстрее 8 8 8 8 , pansa, 20-Сен-13, 23:38 (5)
- У меня дома unbound, отвечает быстрее 8 8 8 8 и 77 88 8 8 , bircoph, 21-Сен-13, 04:39 (16) //
  - ну дак unbound-у не нужно скидывать данные в АНБ, поэтому и быстрее , rost, 22-Сен-13, 20:48 (75) //
    - кстати, возможно,о связах ISC и NSA давно муссируется в прессе гонконгский созд, Аноним, 23-Сен-13, 16:47 (88)
- 4 2 2 2 - это чей , someone, 21-Сен-13, 05:41 (18) //
  - Начиная с 4 2 2 1 по 4 2 2 6 - публичные DNS Level 3 communications , SirZ, 23-Сен-13, 06:10 (86)
- Если кто из вышеответивших не понял, товарищ Аноним сакразмирует Эта гугловская , Аноним, 21-Сен-13, 05:48 (21) //
  - Внезапно Роскомнадзор блокирует по IP, Ыыы, 21-Сен-13, 19:27 (41) //
    - А вот юшкинкские копирасты - еще и по гуглу , Аноним, 21-Сен-13, 19:44 (46)
    - Роскомнадзор вообще ничего не блокирует Он всего лишь ведет пресловутый реест, Дядя_Федор, 21-Сен-13, 19:59 (48)
      - Блокировка через DNS тоже предусмотрена, и, на мой взгляд, является наиболее гум, anonymous, 21-Сен-13, 22:41 (51)
        
        Для DNS без разницы, какой там path внутри сайта, оно весь домен кроет Другое де, Аноним, 21-Сен-13, 23:41 (52)
        Самой НАИБОЛЕЕ гуманной по отношению к абоненту является блокировка конкретного, Дядя_Федор, 22-Сен-13, 10:34 (59)
        
        Я имел в виду, что ее проще обойти, да Любой абонент может это сделать, просто , anonymous, 22-Сен-13, 11:40 (63)
        
        Профит состоит в том, что мордорнадзор не лишит вас лицензии , Аноним, 22-Сен-13, 16:36 (64)
        
        Ими и разрешено блокировать через DNS, были уже обсуждения, почитайте Так что э, anonymous, 22-Сен-13, 20:23 (72)
Странно RRL вроде уже давно есть в бинде , Дядя_Федор, 20-Сен-13, 23:28 (4) //
- в виде сторонних патчей, тигар, 21-Сен-13, 10:18 (24) //
  - Возможно и так Но в gentoo на моих серверах USE-флаг RRL был уже давно И акти, Дядя_Федор, 21-Сен-13, 19:56 (47) //
    - Это левый патч См, например, bind-9 9 3_p2 ebuild, строчка 51 , Аноним, 21-Сен-13, 23:46 (54)
Замечательно Они изобрелиiptables -I OUPTUT -p udp --sport 53 -m hashlimit --ha, Аноним, 21-Сен-13, 00:26 (10) //
- Хотя, конечно, идеологически более правильно пихать такое в INPUT, чтобы не гру, Аноним, 21-Сен-13, 00:29 (12) //
  - Верно И подобную запись нужно таки сделать Вот только в OUTPUT тоже надо остави, ананим, 21-Сен-13, 13:41 (31)
- подсказка iptables Command not found подсказка2 с rrl этот же конфиг можно буд, тигар, 21-Сен-13, 10:20 (25) //
  - Фу, выбрось каку , Аноним, 21-Сен-13, 11:56 (27)
  - ставить dns-сервер там, где нет iptables ну-ну , Crazy Alex, 21-Сен-13, 13:10 (29) //
    - чел прется от ipfw, анон, 21-Сен-13, 13:30 (30)
      - это понятно вопрос в другом, он хочет сказать, что на ipfw этого нельзя повторит, ананим, 21-Сен-13, 13:42 (32)
        
        у iptables слишко дерьмовый синтаксис, Аноним, 21-Сен-13, 14:26 (34)
        
        То есть ты хочешь сказать, что раз тигер ipfw не осилил, то iptables тем более н, ананим, 21-Сен-13, 14:35 (35)
        Стандартный юниксно-позиксный синтаксис командной строки не нравится Тогда впер, Аноним, 21-Сен-13, 19:29 (42)
        
        покажи ссылку на стандарт , блондинко, тигар, 22-Сен-13, 09:52 (58)
        
        да хоть сто порций 8212 http pubs opengroup org onlinepubs 9699919799 utili, ананим, 22-Сен-13, 11:02 (60)
        Виндузятники не слышали про POSIX Это прискорбно Но закономерно , Аноним, 22-Сен-13, 16:55 (69)
        
        мальчик, в каком месте там написано про caps lock покажи, не скрывай уже , тигар, 22-Сен-13, 22:45 (76)
        
        у это не у iptables синтаксис кривой, это у netflow linux netfilter которым тот , Аноним, 23-Сен-13, 16:49 (89)
        
        Каким боком тут вообще netflow То, о чем Вы говорите - набор утилит для приема, Дядя_Федор, 24-Сен-13, 08:31 (94)
        
        Низя И на pf тоже Там можно ограничить только скорость открытия новых соединен, Аноним, 21-Сен-13, 19:42 (44)
        
        Правда чтоли А как же они с бруфорсом борются то , ананим, 21-Сен-13, 20:50 (49)
        
        Брутфорс обычно идет поверх TCP, там оно кай-как работает Если, конечно, на уро, Аноним, 21-Сен-13, 23:43 (53)
        А вот так объявляют это проблемой прикладного софта Если у в нашем любимом SO, Аноним, 22-Сен-13, 16:46 (68)
        
        щито а вот ниже верно написали - синтаксис у таблиц пидерастовский ну или блонд, тигар, 22-Сен-13, 09:51 (57)
        
        был бы пидерастовский, то тебе бы нравился а так, только лишь соответствует POSI, ананим, 22-Сен-13, 11:07 (61)
        
        мальчик, когда я осознал насколько он пидерастический, я, кщастью, сменил ОС, с , тигар, 22-Сен-13, 22:49 (77)
        
        И ты стал девочкой Понятно С учотом аргументов , ананим, 22-Сен-13, 23:48 (81)
        
        не нужно выдавать желаемое за действительное, йунаша все еще проще, на той работ, тигар, 22-Сен-13, 23:55 (83)
        
        Вы путаете с sendmail cf , Аноним, 22-Сен-13, 16:42 (66)
        Кстати, блондинистые убунтята без проблем нагородили поверх айпистолов pf-подобн, Аноним, 22-Сен-13, 16:45 (67)
        
        чуть выше ты упомянул sendmail cfон чо, тоже для взрослых мужиков , а для блонд, тигар, 22-Сен-13, 22:50 (78)
      - Ну так он намекает подсказками своими - и я намекнул , Crazy Alex, 22-Сен-13, 01:40 (55)
      - Чел убунтенок У них там тоже клуб прущихся по ipfw-синтаксису Скоро они и до co, Аноним, 22-Сен-13, 16:59 (70)
        
        они просто уже успели осознать насколько ущербен синтаксис таблиц, по сравнению , тигар, 22-Сен-13, 22:53 (79)
  - Мои соболезнования Попробуйте поставить нормальную ОС Можно Но зачем , Аноним, 21-Сен-13, 19:30 (43) //
    - О Расскажи какая ОС - нормальная а то тут местные долбое Wспециалисты зачем-то, тигар, 22-Сен-13, 09:49 (56)
      - ага, чтобы решать быдлoкостылями промахи в дизайне стандарта протокола DNS при э, ананим, 22-Сен-13, 11:13 (62)
        
        Ну надо ж как-то оправдаться, что его любимый воннаби-фаервол не умеет базовых ф, Аноним, 22-Сен-13, 17:01 (71)
        поржал, приши еще, специолиздhttp wiki nginx org HttpLimitReqModule тут афтары, тигар, 22-Сен-13, 22:55 (80)
      - Линукс, например Но добое Wблондинки, конечно, не согласятся Не надо пытаться, Аноним, 22-Сен-13, 16:41 (65)
        
        нука-нука, расскажи подробнее, в каком он месте нормальная ОС меня всегда пот, тигар, 23-Сен-13, 00:07 (85)
        
        Ну да, и SSH-клиент у тебя называется putty exe , anonymous, 23-Сен-13, 18:53 (91)
        
        даже когда я использовал виндуз я не юзал это говно в силу того, что telneat she, тигар, 23-Сен-13, 21:33 (92)
        
        Так ты вообще через телнет админил И не стыдно , anonymous, 23-Сен-13, 22:56 (93)
      - Ну ты натурально идиот Действительно - зачем универсальный инстумент, путсь каж, Crazy Alex, 25-Сен-13, 20:31 (95)
        
        к счастью, есть люди у которых есть мозги это я про разработчиков ngx, bind и т, тигар, 25-Сен-13, 21:57 (96)
Что за провайдеры такие, разрешающие спуфинг IP адресов Почему у них ещё не ото, Аноним, 21-Сен-13, 00:27 (11) //
- да у б-ва даже RFC3074 не настроено чего уж о следующих вещал syncookie они не , Аноним, 23-Сен-13, 16:52 (90)
Ага и за внешние ip тогда давайте отбирать лицензию А можно просто за выход пол, Dfox, 21-Сен-13, 10:50 (26) //
- Если у провайдера только подсеть 80 x x x почему из его сети идут пакеты с SRC 9, Аноним, 21-Сен-13, 15:54 (36) //
  - Вы прослушали вопрос админа локалхоста и суппортера ссетки в бухгалтерии Патамуш, продавец_кирпичей, 21-Сен-13, 16:18 (37) //
    - Если не знаете, зачем пишите мусор , Аноним, 21-Сен-13, 16:28 (38)
    - Ну и что Вы хотели сказать Вы пытаетесь сейчас утверждать что боты сначала Вам , Аноним, 21-Сен-13, 17:01 (39)
      - На самом деле, правильно разделять бордеры BGP и BRAS ы, где терминируются або , anonymous, 21-Сен-13, 19:11 (40)
        
        Понятно, спасибо , Аноним, 21-Сен-13, 19:42 (45)
  - Вы просто путаете провайдера с подсетью 80 x x x , Dfox, 21-Сен-13, 21:35 (50)
в этом был бы смысл, если бы оно было включено по-умолчанию, да и то, только в д, Нанобот, 21-Сен-13, 12:23 (28)

Форумы | Темы | Пред. тема | След. тема

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру