CGatePro: Re: Проблема с проверкой домена отправителя, IPv6.

От: Dmitry Akindinov <CGatePro_at_mx_ru>
Дата: Wed 28 Jan 2009 - 11:41:28 MSK

Здравствуйте,

Sergey Chumakov wrote:
> На Tue, 27 Jan 2009 18:08:52 +0600
> "Golota S.V." <CGatePro@mx.ru> записано:
>

>>
>> Dmitry Akindinov пишет:

>>>>>> Такая ситуация получается, когда в кэше сервера имен А-записи
>>>>>> mx1.freebsd.org уже нет (TTL закончился), а АААА-запись еще есть,
>>>>>> соответственно он и выдает только ее в дополнительной секции.
>>>>> Сщмнительно, что такое поведение DNS сервера можносчитать 
>>>>> нормальным. Если уж выдавать записи, то все?
>>>> Это дефолтное поведение серверов имен. Рекурсивным в данном случае
>>>> является только запрос MX-записи, сервер ее честно выдает. Все, что
>>>> отдается в additional section запроса - отдается из кэша, если оно там
>>>> есть. Если его там нет - не отдается, и CGP не считает это странным, не
>>>> так ли?
>>> А смысл выдавать не все записи? Тогда их лучше не выдавать вообще - 
>>> раз надежным способом использовать их не удается. Тогда бы сервер 
>>> пошел за записями A сам.

>
> Т.е. логика резолвера ISC BIND порочна? Что порекомендуете
> использовать вместо?
>
> named в additional section выдает то, что у него есть в кэше. Я не
> нашел, как можно изменить это поведение.

В следующей версии CGPro будет опция, с включением которой сервер будет игнорировать записи в дополнительной секции ответа DNS сервера и будет явно запрашивать A записи.

>>>>>> Ключик --IPv6 NO проблему не решает, а должен бы, по логике.
>>>>> Там попытки соединения по IPv6 в этом случае не происходит. Но 
>>>>> проблемы это не решает: от DNS была получена одна MX запись, да и та 
>>>>> - нерабочая.
>>>>>
>>>> MX-запись была получена рабочая. Если бы CGP запрашивал А-запись этого
>>>> MX-а, он получил бы ее. Но он _не запрашивает_ А-запись.
>>> Да, я неправильно сформулировал. DNS сервер оказал "услугу" и заранее 
>>> разрезолвил MX запись, которую ку него попросили. Но выдал не все 
>>> записи. Вопрос - какой в этом смысл?
>>>
>>>> Отсюда FR: если указан ключ --IPv6 NO - игнорировать АААА-записи DNS.
>>>> Это будет логичным.
>>> Ну было бы там две IPv4 записи. Одна из них - на 127.0.0.1, как это 
>>> сейчас модно "для борьбы со спамом". И вот из двух вернулась только 
>>> одна, эта, нерабочая.

>
> А почему она "нерабочая"? Единственно потому, что указана в "Dummy IP
> Addresses" в настройках DNS Resolver, и CGP должен ее игнорировать, раз она "dummy". Т.е. фактически это означает, что записи нет, и если вдруг named в _additional section_ выдал только такую запись, это равнозначно тому, что он совсем ничего не выдал, с точки зрения CGP.

Хорошо, не 127.0.0.1, а что-нибудь из "серой" сети. Что-то, что не указано в Dummy IPs, но использовано для соединения быть не может.

-- 
Best regards,
Dmitry Akindinov -- Stalker Labs.

Получено Wed Jan 28 08:41:38 2009

Этот архив был сгенерирован hypermail 2.1.8 : Fri 24 Apr 2015 - 16:16:14 MSK