Re: [FRnOG] Re: [TECH] openspf.org est down ou instable
On 31/03/2021 06:44, Stephane Bortzmeyer wrote: On Tue, Mar 30, 2021 at 05:26:40PM -, Pavel Polyakov via frnog wrote a message of 18 lines which said: Juste pour prévenir que depuis au moins le 26 mars, pour certains opérateurs tel noos.fr et tous ceux qui utilisent l'API de openspf : http://www.openspf.net/Why? Et il faut vraiment être con pour le faire... C'est vrai (SPF est entièrement en local et ne nécessite pas l'appel à un service externe). D'un autre côté, des gens qui font n'importe quoi en matière de filtrage de courrier, il y en a beaucoup. Et logiquement c'est totalement en local si on parle de programmes comme postfix-policyd-spf-python par exemple, de mémoire cette URL ne sert qu'à fournir une explication dans les mails envoyés à l'adresse postmaster. Et de toute façon cette URL ne marche plus depuis des années (en tous cas je ne l'ai jamais vu fonctionner). -- Codimp --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] EDNS Client-Subnet et empoisonnement de cache
On 04/12/2020 00:05, Xavier HINFRAY wrote: > As tu essayer de faire un subnet par défaut dans ta base de geoloc > (0.0.0.0/0) ? Oui, j'ai oublié de le préciser mais j'ai essayé et ça fait exactement la même chose en empoisonnant le cache avec cette réponse par défaut. En fait dans ce cas là il semble bien garder en cache le fait que ça soit lié à un subnet mais si je pose une question qui peut correspondre à un subnet /8 et un /24 alors il choisi de répondre la réponse relative à /8, alors que je veux qu'il réponde celle du /24 (je ne comprend pas pourquoi répondre le plus court prefix au lieu du plus long du coup) -- Codimp --- Liste de diffusion du FRnOG http://www.frnog.org/
[FRnOG] [TECH] EDNS Client-Subnet et empoisonnement de cache
Bonjour la liste, je viens aujourd'hui avec un problème qui me prend la tête depuis un moment. J'ai une infrastructure DNS qui gére des zones internes (ici example.com) avec un résolveur Unbound (10.1.0.3) et un serveur faisant autorité Knot (10.1.0.2). Knot est configuré pour servir une zone interne avec le module geoip en mode "subnet" contenant ces données : example.com: - net: 10.1.1.0/24 A: 10.1.1.1 - net: 10.1.2.0/24 A: 10.1.2.1 Et en fallback le fichier de zone de example.com contient ceci : ;; Zone dump (Knot DNS 2.8.5) example.com. 3600 SOA ns.example.com. admin.example.com. 2020060303 43200 900 1209600 60 example.com.3600NS ns.example.com. ns.example.com. 3600A 10.1.0.2 example.com.3600A 127.0.0.1 Du côté de Unbound, j'ai activé EDNS Client-Subnet pour cette zone : server: # Disable DNSSEC validation for internal domains domain-insecure: "example.com" # EDNS-client-subnet module-config: "subnetcache validator iterator" client-subnet-zone: "example.com" # Stub-zones stub-zone: name: "example.com" stub-addr: 10.1.0.2 Avec ce genre de configuration quand j'interroge depuis un subnet renseigné dans le module geoip ça marche bien : $ dig @10.1.0.3 example.com +subnet=10.1.1.0/24 +short 10.1.1.1 $ dig @10.1.0.3 example.com +subnet=10.1.2.0/24 +short 10.1.2.1 Par contre si je demande depuis un subnet qui n'est pas dans ma configuration geoip : $ dig @10.1.0.3 example.com +subnet=10.1.3.0/24 +short 127.0.0.1 $ dig @10.1.0.3 example.com +subnet=10.1.1.0/24 +short 127.0.0.1 $ dig @10.1.0.3 example.com +subnet=10.1.2.0/24 +short 127.0.0.1 il me sert la réponse du fichier de zone ce qui est normal pour la première requête hors configuration geoip, mais le résolveur met cette réponse en cache et la sert à toute autre demande concernant ce domaine sans du coup tenir compte du subnet. Mon cache se trouve comme empoisonné par cette réponse par défaut. J'ai tenté plusieurs choses : dire à Unbound de ne pas faire de cache pour cette stub-zone (stub-no-cache), essayer en forward-zone plutôt que stub-zone, etc mais rien n'y fait. Du coup je me demande si quelqu'un ici connait ce cas et pourrait savoir ce que j'ai pu mal configurer. -- Codimp --- Liste de diffusion du FRnOG http://www.frnog.org/