asi problem s DNS ?

[Majklik]

Jinak ta interakce firewall s DNS v ROSu může vypadat takto:
Do windows si narvu nějaký novější a chytřejší firewall, který rozumí DNS protokolu. Ve woknech DNS namířím na ROS, který má nastavenu max UDP odpověď třeba na ty 4 KiB. Wokna pošlou třeba dotay na http://www.porno.cz a čekají odpověď.... Když ROS klientu pošle zpět něco, co je o moc delší jak 512 bajtů (např je v tom bordel od Ipv6, dlouhá sekce autoritativních serverů nebo víc cyklené CNAME odkazy), tak firewallek při příjmu si všimne, že paketek je delší jak 512 bajtů a také si pamatuje, že wokna při dotazu nevložily žádost o dlouhé UDP pakety (OPT udpsize=X), protože to nepodporují (XPčka) nebo to mají vypnuto (W2K3 a novější) a takovou odpověď zahodí a jen s hodně hledání pak někde v logu najdete, že úspěšně firewall zabránil DNS buffer overflow útoku. A chudál uživatel u svého prohlížeče na akci čeká a čeká....
Je kreténismus, že ROS je ochoten odeslat dlouhé UDP data klientovi, pokud si o ně klient neřekl.
Čili když nastavíte víc jak těch 512 a lidi začnou řvát, že jim to něco neroselvuje, tak na pokus si můžou zkusit vypnout firewall v komplu, pokud to pomůže, tak je to tento případ. V některých firewalech jde hloubková inspekce vypnout. Jiná zrada může být, že stále řada domácích routerů, pokud je mají narvané v cestě a DNS prohání přes ně, se s tím dlouhým UDP také nevyrovná už z principu, případně se důsledně drží doporučení pro DNS proxiny a likvidují to taktéž, pokud už dotaz neměl podporu dlouhých UDP zapnutou.

[radek1]

dobrý shrnutí, díky!

[Daxxim]

pouzivejte root servers a mate po problemech a nee nejaky dns , ktery zitra nemusi existovat

ty si mylíš, že něco jako google tipne svoje open dns servery? dovol abych se zasmál