![[personal profile]](https://www.dreamwidth.org/img/silk/identity/user.png){kind=small}
Стандартная ситуация: локальная сеть с маршрутизатором, один публичный IP, для выхода в мир используется NAT. Плюс на маршрутизаторе работает кеширующий DNS-сервер для локальной сети. Всё работает.
Однажды на одном из хостов локальной сети поселяется сервис, которому требуется пробросить статический диапазон портов UDP с внешнего IP. Казалось бы, какие могут быть проблемы?
А ведь DNS-сервер, выполняя запросы к внешним серверам, для исходящих запросов сам использует динамические UDP-порты и ожидает ответ на них. Например, ISC BIND под FreeBSD использует sysctl net.inet.ip.portrange.hifirst и net.inet.ip.portrange.hilast для определения диапазона таких эфемерных портов, по умолчанию это 49152-65535. Пока этот диапазон не пересекается с диапазоном проброшенных внутрь локалки портов, всё будет в порядке. Но стоит лишь пробросить, скажем, порты 40000-65535, и наступает катастрофа. В случае FreeBSD проброс портов "имеет приоритет выше" (выполняется раньше, чем доставка локальным приложениям) и проброс-то работать будет, но DNS-сервер остается без DNS-ответов на свои запросы, которые теперь уходят по пробросу локальному хосту, которому они и не нужны вовсе. И вся локальная сеть остаётся без локального DNS-сервиса.
Решением будет либо изменить диапазон проброшенных портов, если это допустимо для сервера в локальной сети, а если нет - изменить диапазон эфемерных портов для DNS-сервера. Кроме изменения системного дефолта, ISC BIND позволяет задать этот диапазон в собственной конфигурации:use-v4-udp-ports { range 10000 30000; };
Аналогично для IPv6. Для защиты от некоторых типов атак, BIND каждый раз выбирает случайный порт из диапазона и рекомендуется, чтобы диапазон был достаточно большим, минимум 16384 портов (14 бит энтропии).
Hetzner и eDNS
2015-12-17 00:29 Оказалось, что немецкий хостер-лоукостер Hetzner в порядке защиты своей инфраструктуры от атак режет, в частности, входящие фрагментированные пакеты UDP, что в современном интернете частично ломает DNS-сервис. Проблема актуальна только тем, кто держит собственные DNS-серверы на физических или виртуальных серверах в Hetzner.
Детально проблема расписана в базе знаний ISC (наш случай - пункт 4. DNS queries/responses using EDNS are allowed, but UDP fragmentation and reassembly is broken), но решение достаточно простое - настроить свой DNS-сервер сообщать другим серверам не посылать требующие фрагментации ответы. Этакий аналог TCP adjust mss, но для DNS через UDP. Более крупные ответы будут доставляться сразу по TCP вместо UDP.
Для сервера BIND достаточно прописать в секции options:
options {
edns-udp-size 1432;
}Похоже, у NIC.RU кончились деньги: http://nic.ru/dns/reglaments/contr.html?v=3_0&org=2&ch=1
2.9. Исполнитель вправе направлять Заказчику рекламные сообщения по каналам связи, при этом направление рекламных сообщений не производится, если Заказчик отказался от получения подобных сообщений посредством веб-интерфейса Исполнителя в разделе «Для клиентов».
Несколько лет уже пользуюсь услугами австралийского регистратора crazydomains.com.au, оплачивая их картой Visa. Недавно обнаружил, что у них идёт аукцион невиданой щедрости - домены в зоне .info по 2 AUD за год (1 австралийский доллар = 1.0234 доллара США), причём можно оплатить сразу за 10 лет.
Взял себе домен в .info на 10 лет, заплатив $20. Обещали делегировать за 48 часов, реально еле уложились в неделю, заставив немного поволноваться за судьбу двадцатки.
Пламенный привет NIC.RU, берущему за .info по $20 в год, то есть в десять раз больше.
Киберсквоттинг
2011-11-09 17:50Не можешь победить - возглавь.
Назначение и содержание услуги
Услуга регистрации освобождающихся доменов предназначена для того, чтобы помочь клиентам RU-CENTER зарегистрировать домен в день его освобождения.
http://nic.ru/dns/service/backorder_scaledown_descr.html
Регистрация домена второго уровня в зоне .net стоила $7 - меньше 220 рублей, поэтому я принес австралийскому регистратору сразу $14 за два года. Самостоятельно, без партнерских программ.
Продление бывшего GENERIC-домена третьего уровня, безальтернативно переданного в RU-CENTER, будет стоить 360 рублей в год, более чем на 60% дороже, если не через партнеров. А регистрация 450 рублей. Откуда взялись такие цены, мне непонятно.
День X стал известен
2010-12-17 16:28В продолжение темы.
From - Fri Dec 17 16:22:44 2010 <skip> Received: from relay1o1.ripn.net (relay1o1.ripn.net [194.226.74.6]) (using TLSv1 with cipher DHE-RSA-AES256-SHA (256/256 bits)) (No client certificate requested) <skip> Received: from sunkey.ripn.net ([194.85.119.39]) by relay1o1.ripn.net with esmtp (RIPN) id 1PTXPd-000IL3-PE for xxx; Fri, 17 Dec 2010 13:19:45 +0300 Received: from autodbm by sunkey.ripn.net with local-bsmtp (Exim 4.69) (envelope-from ) id 1PTXLe-0001c9-I7 for xxx; Fri, 17 Dec 2010 13:15:38 +0300 To: xxx Subject: .NET.RU, .ORG.RU, и .PP.RU на сопровождение в RU-CENTER Reply-to: RIPN - do not reply this email From: RIPN Date: Fri, 17 Dec 2010 13:15:38 +0300 Уважаемый клиент! РосНИИРОС, как администратор доменов NET.RU, ORG.RU, PP.RU, планирует 27 декабря 2010 года передать деятельность по регистрации и поддержке доменных имен третьего уровня в доменах NET.RU, ORG.RU и PP.RU в компанию RU-CENTER. Выбор компании обусловлен прежде всего тем, что в течение последних пяти лет именно RU-CENTER занимается техническим сопровождением доменов третьего уровня NET.RU, ORG.RU и PP.RU. Уведомляем Вас, что управление доменами будет осуществляться через веб-интерфейс RU-CENTER nic.ru. Инструкция по переносу доменов и данных администраторов из РосНИИРОС в RU-CENTER будет выслана всем владельцам доменов в зонах NET.RU, ORG.RU, и PP.RU на контактные электронные адреса, указанные при регистрации доменного имени для частного лица или организации. Для получения доступа администратору домена будет предложено заключить клиентский договор с компанией RU-CENTER. Регистрация доменов третьего уровня в .NET.RU, .ORG.RU и .PP.RU через веб-интерфейс РосНИИРОС останавливается 20 декабря 2010 года и будет возобновлена 27 декабря 2010 года через веб-интерфейс RU-CENTER на платной основе, при этом ограничение на число заявок будет снято. --- Административно-техническая группа эл. почта: ru-ncc@ripn.net телефоны: +7 (495) 737-06-01 +7 (495) 994-46-01 8 800 100-46-01 (для регионов России)
Big Brother
2010-12-05 15:481. Из named's security.log:05-Dec-2010 15:34:03.723 error: client 193.0.0.63#45773: view external: zone transfer 'A.X.ru/AXFR/IN' denied
И так по всем зонам третьего уровня, для которых сервер прописан в качестве NS, причем не у регистратора какого-нибудь, а просто в зоне второго уровня у меня же.
# host 193.0.0.63 63.0.0.193.in-addr.arpa domain name pointer hostcount.ripe.net.Big Brother watches you everywhere. И тебя посчитают. И меня посчитают.
2. Как настоящий параноик, зарегистрировал
${myzone}.net в австралийском регистраторе. $14 за два года, процедура заняла меньше 5 минут с оплатой по банковской карте. NIC.RU и вообще .ru с .рф могут отдыхать.В продолжение темы.
Помнится, в школе на уроках истории нас учили, что за реформами обычно следуют контрреформы... Но чтобы так быстро? Пришло очередное письмо на тему:
( Уважаемый Администратор географического домена в зоне RU! )
И ещё:
Будет ли платной регистрация доменов третьего уровня в COM.RU, NET.RU, ORG.RU, PP.RU?
Да. О сроках введения платной регистрации и ценах будет объявлено дополнительно. Продление станет платным ориентировочно с февраля 2011 года, цены будут опубликованы предварительно, Администраторам будут направлены соответствующие уведомления.
http://www.nic.ru/dns/service/faq_geo.html#p2.1
Update 17.12.2010: http://dadv.livejournal.com/92306.html
