Am 07.07.2009 08:12, schrieb Thomas Schäfer:
> Am Montag 06 Juli 2009 schrieb Peter Bieringer:
>
>> Den Grund für IPv6 ::1 kann eventuell das Problem mit den alten
>> Resolvern sein, die sonst bei erfolgloser AAAA-Query die Search-Domains
>> anwenden (was "unexpected" und in meine Augen seit langem ein
>> Riesen-Bug/Sicherheitsloch ist), also ist ::1 bei AAAA eher ein
>> Sicherheitsgewinn, siehe auch:
>>
>> http://www.bieringer.de/linux/IPv6/getaddrinfo/
>>
>> Den aktuellen Stand müßte ich mal wieder untersuchen, ich weiß nur, daß
>> bei der brand-aktuellen glibc (Fedora 11?) hier massiv rumgeschraubt
>> wurde, um das Problem mit den Search-Domains abzustellen.
>>
>> Servus,
>> Peter
>
> Meinst Du so etwas:
>
> host 2001:4ca0:4f01::6
> 6.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.1.0.f.4.0.a.c.4.1.0.0.2.ip6.arpa.cis.uni-muenchen.de
>
> has no PTR record
>
> Bei vorhandenen Einträgen läuft die Auflösung richtig.
>
> Bei v4 passiert das nicht:
>
> host 129.187.148.78
> Host 78.148.187.129.in-addr.arpa. not found: 3(NXDOMAIN)
>
> Allerdings ist mir das Problem nur bei Rückwärtsauflösung aufgestoßen.
Nein, wie im Beispiel beschrieben, bei der Vorwärtsauflösung, z.B.
telnet www.domain.example 80
alter Resolver
www.domain.example AAAA -> nix
www.domain.example.search.domain AAAA -> evtl. was (aber nicht
absichtlich) => gewinnt
www.domain.example A wird nicht mehr gefragt
Das ganze ist mir mal aufgefallen, wie ich tcpdump port 53 gemacht habe
und mich gewundert habe, was da für unsinnige Queries so über's Netz
laufen...bzw. an meinem DNS-Server ankamen (von meinen Client-Hosts, die
als Search-Domain bieringer.de drin haben...)
Das kannst für Unfug benutzen, insbesondere bei Public-Zugängen...
Peter
--
ipv6 mailing list
[email protected]
http://listserv.uni-muenster.de/mailman/listinfo/ipv6
