forum.opennet.ru

Составление сообщения

Исходное сообщение

"Обратные зоны прописаны, а нужно ли прямые прописывать?"
Отправлено lavr, 01-Июн-05 13:17

>Озадачился я с этими зонами наблюдая логи почтовика:
>Jun  1 14:10:14 host postfix/smtpd[15501]: warning: ххх.yyy.zzz.226: hostname gw-clien.domain.ru verification failed:
>hostname nor servname provided, or not known
>
>Потом тут смотрел http://www.dnsstuff.com/ Reverse DNS lookup, увидел
>Answer:
>ххх.yyy.zzz.226 PTR record: xxx-yyy-zzz-266.domain.ru. [TTL 3600s] [A=None] *ERROR* A record does not
>point back to original IP.
>
>Почитал я на RIPE по прямым и по обратным, там как везде
>по отдельности... И в доках везеде по отдельности глава про обратную
>и глава про прямую. А вместе не догоню как связываются. поэтому
>и прошу помочь расставить точки над Ё

теория за тобой...
Если зашел разговор о практике:
1) обратная зона ТОЖЕ требует регистрации, зачем и почему - понятно и
прозрачно (остается теорией на твоей совести)
2) обратную зону регистрирует ПОЛУЧАТЕЛЬ сети, по правилам ТОГО где он
получал класс/ы сетей, LIR, AS
3) в чем особенность обратной зоны? В том что там ОДНОЗНАЧНОЕ соответствие, ОДНОМУ IP строго соответствует одно ИМЯ (FQDN).
В прямой же зоне у нас масса FQDN может иметь один и тот же IP адресс:
RR=A или RR=CNAME
Почему многие в ряде сервисов проверяют наличие РЕВЕРСА? Ранее лишь
чтобы избежать спуфинга, подмен. Могу ошибаться, но не помню RFC по
которым важные сервисы требуют наличия РЕВЕРСА, касательно SMTP такого
точно нет.
Однако это не может запретить администратором отпинывать соединения
с машин без реверса, потому как это, тем не менее метод.
Как проверяют?
- одним достаточно НАЛИЧИЕ реверса как такого
- другие проверяют СООТВЕТСТВИЕ прямой и обратной зоны, например это
используют в MTA (плохо это или хорошо - другой вопрос, 50% можно
набрать "ЗА" и 50% "ПРОТИВ")
Пример: допустим у меня есть nameserver который держит ПРЯМЫЕ и ОБРАТНУЮ
зону. Допустим у меня есть ОДНА машина которая имеет МНОГО IP и FQDN
в разных зонах:
[unix1]~ > hostname
unix1.jinr.dubna.su
[unix1]~ > nslookup -q=a unix1.jinr.dubna.su.
Server:  sunct0.jinr.ru
Address:  159.93.17.130
Name:    unix1.jinr.dubna.su
Address:  159.93.44.57
[unix1]~ > nslookup -q=a unix1.jinr.ru.
Server:  sunct0.jinr.ru
Address:  159.93.17.130
Name:    unix1.jinr.ru
Address:  159.93.44.57
[unix1]~ > nslookup -q=a xnc.dubna.su.
Server:  sunct0.jinr.ru
Address:  159.93.17.130
Name:    xnc.dubna.su
Address:  159.93.44.59
[unix1]~ >
Допустим я еще держу несколько зон на этом NS. Теперь посмотрим RR=MX:
[unix1]~ > nslookup -q=ptr 159.93.44.57
Server:  sunct0.jinr.ru
Address:  159.93.17.130
57.44.93.159.in-addr.arpa       name = unix1.jinr.ru
93.159.IN-ADDR.ARPA     nameserver = ns1.jinr.ru
93.159.IN-ADDR.ARPA     nameserver = ns1.dubna.ru
93.159.IN-ADDR.ARPA     nameserver = ns2.jinr.ru
ns1.jinr.ru     internet address = 159.93.17.7
ns1.dubna.ru    internet address = 62.84.100.7
ns2.jinr.ru     internet address = 159.93.14.7
[unix1]~ >
имен у машины с IP=159.93.44.57 МНОГО, а реверс ОДИН с однозначным
соответствием, см выше RR=PTR:
57.44.93.159.in-addr.arpa       name = unix1.jinr.ru
Исходя из этого я для ВСЕХ остальных зон почту которых обслуживает ЭТА машина, БУДУ в качестве mail сервера:
RR=MX указывать unix1.jinr.ru
например:
[unix1]~ > nslookup -q=a unix1.jinr.ru.
Server:  sunct0.jinr.ru
Address:  159.93.17.130
Name:    unix1.jinr.ru
Address:  159.93.44.57
[unix1]~ > nslookup -q=a blues.dubna.su.
Server:  sunct0.jinr.ru
Address:  159.93.17.130
Name:    blues.dubna.su
Address:  159.93.44.57
[unix1]~ > nslookup -q=mx blues.dubna.su.
Server:  sunct0.jinr.ru
Address:  159.93.17.130
blues.dubna.su  preference = 10, mail exchanger = sunct0.jinr.dubna.su
blues.dubna.su  preference = 1, mail exchanger = unix1.jinr.dubna.su
blues.dubna.su  nameserver = ns.dubna.su
blues.dubna.su  nameserver = ns2.dubna.su
sunct0.jinr.dubna.su    internet address = 159.93.17.130
unix1.jinr.dubna.su     internet address = 159.93.44.57
ns.dubna.su     internet address = 159.93.17.130
ns2.dubna.su    internet address = 159.93.17.13
[unix1]~ >
Делаю это исходя из соображений СООТВЕТСТВИЯ прямой и обратной зоны
КОНКРЕТНО для ПОЧТЫ. Есть случаи КОГДА можно идти ОТ ОБРАТНОГО.
Соответственно, если Я САМ РУЛЮ обратными зонами, а ПРЯМЫЕ ОТДАЮ клиентам,
тогда РЕВЕРС я прописываю ТОТ КОТОРЫЙ нужен КЛИЕНТУ, обычно строгое
соответствие для RR=NS и/или RR=MX, остальные IP в обратной зоне я
не использую до тех пор пока КЛИЕНТ не ПОПРОСИТ.
Это всего лишь пример, метод подхода, вариации, варианты - возможны
по ситуациям.
Надеюсь понятно, ничего там сложного и завумного нет. Возможны заморочки
лишь с round-robin.

Исходное сообщение
"Обратные зоны прописаны, а нужно ли прямые прописывать?" Отправлено lavr, 01-Июн-05 13:17
>Озадачился я с этими зонами наблюдая логи почтовика: >Jun 1 14:10:14 host postfix/smtpd[15501]: warning: ххх.yyy.zzz.226: hostname gw-clien.domain.ru verification failed: >hostname nor servname provided, or not known > >Потом тут смотрел http://www.dnsstuff.com/ Reverse DNS lookup, увидел >Answer: >ххх.yyy.zzz.226 PTR record: xxx-yyy-zzz-266.domain.ru. [TTL 3600s] [A=None] ERROR A record does not >point back to original IP. > >Почитал я на RIPE по прямым и по обратным, там как везде >по отдельности... И в доках везеде по отдельности глава про обратную >и глава про прямую. А вместе не догоню как связываются. поэтому >и прошу помочь расставить точки над Ё теория за тобой... Если зашел разговор о практике: 1) обратная зона ТОЖЕ требует регистрации, зачем и почему - понятно и прозрачно (остается теорией на твоей совести) 2) обратную зону регистрирует ПОЛУЧАТЕЛЬ сети, по правилам ТОГО где он получал класс/ы сетей, LIR, AS 3) в чем особенность обратной зоны? В том что там ОДНОЗНАЧНОЕ соответствие, ОДНОМУ IP строго соответствует одно ИМЯ (FQDN). В прямой же зоне у нас масса FQDN может иметь один и тот же IP адресс: RR=A или RR=CNAME Почему многие в ряде сервисов проверяют наличие РЕВЕРСА? Ранее лишь чтобы избежать спуфинга, подмен. Могу ошибаться, но не помню RFC по которым важные сервисы требуют наличия РЕВЕРСА, касательно SMTP такого точно нет. Однако это не может запретить администратором отпинывать соединения с машин без реверса, потому как это, тем не менее метод. Как проверяют? - одним достаточно НАЛИЧИЕ реверса как такого - другие проверяют СООТВЕТСТВИЕ прямой и обратной зоны, например это используют в MTA (плохо это или хорошо - другой вопрос, 50% можно набрать "ЗА" и 50% "ПРОТИВ") Пример: допустим у меня есть nameserver который держит ПРЯМЫЕ и ОБРАТНУЮ зону. Допустим у меня есть ОДНА машина которая имеет МНОГО IP и FQDN в разных зонах: [unix1]~ > hostname unix1.jinr.dubna.su [unix1]~ > nslookup -q=a unix1.jinr.dubna.su. Server: sunct0.jinr.ru Address: 159.93.17.130 Name: unix1.jinr.dubna.su Address: 159.93.44.57 [unix1]~ > nslookup -q=a unix1.jinr.ru. Server: sunct0.jinr.ru Address: 159.93.17.130 Name: unix1.jinr.ru Address: 159.93.44.57 [unix1]~ > nslookup -q=a xnc.dubna.su. Server: sunct0.jinr.ru Address: 159.93.17.130 Name: xnc.dubna.su Address: 159.93.44.59 [unix1]~ > Допустим я еще держу несколько зон на этом NS. Теперь посмотрим RR=MX: [unix1]~ > nslookup -q=ptr 159.93.44.57 Server: sunct0.jinr.ru Address: 159.93.17.130 57.44.93.159.in-addr.arpa name = unix1.jinr.ru 93.159.IN-ADDR.ARPA nameserver = ns1.jinr.ru 93.159.IN-ADDR.ARPA nameserver = ns1.dubna.ru 93.159.IN-ADDR.ARPA nameserver = ns2.jinr.ru ns1.jinr.ru internet address = 159.93.17.7 ns1.dubna.ru internet address = 62.84.100.7 ns2.jinr.ru internet address = 159.93.14.7 [unix1]~ > имен у машины с IP=159.93.44.57 МНОГО, а реверс ОДИН с однозначным соответствием, см выше RR=PTR: 57.44.93.159.in-addr.arpa name = unix1.jinr.ru Исходя из этого я для ВСЕХ остальных зон почту которых обслуживает ЭТА машина, БУДУ в качестве mail сервера: RR=MX указывать unix1.jinr.ru например: [unix1]~ > nslookup -q=a unix1.jinr.ru. Server: sunct0.jinr.ru Address: 159.93.17.130 Name: unix1.jinr.ru Address: 159.93.44.57 [unix1]~ > nslookup -q=a blues.dubna.su. Server: sunct0.jinr.ru Address: 159.93.17.130 Name: blues.dubna.su Address: 159.93.44.57 [unix1]~ > nslookup -q=mx blues.dubna.su. Server: sunct0.jinr.ru Address: 159.93.17.130 blues.dubna.su preference = 10, mail exchanger = sunct0.jinr.dubna.su blues.dubna.su preference = 1, mail exchanger = unix1.jinr.dubna.su blues.dubna.su nameserver = ns.dubna.su blues.dubna.su nameserver = ns2.dubna.su sunct0.jinr.dubna.su internet address = 159.93.17.130 unix1.jinr.dubna.su internet address = 159.93.44.57 ns.dubna.su internet address = 159.93.17.130 ns2.dubna.su internet address = 159.93.17.13 [unix1]~ > Делаю это исходя из соображений СООТВЕТСТВИЯ прямой и обратной зоны КОНКРЕТНО для ПОЧТЫ. Есть случаи КОГДА можно идти ОТ ОБРАТНОГО. Соответственно, если Я САМ РУЛЮ обратными зонами, а ПРЯМЫЕ ОТДАЮ клиентам, тогда РЕВЕРС я прописываю ТОТ КОТОРЫЙ нужен КЛИЕНТУ, обычно строгое соответствие для RR=NS и/или RR=MX, остальные IP в обратной зоне я не использую до тех пор пока КЛИЕНТ не ПОПРОСИТ. Это всего лишь пример, метод подхода, вариации, варианты - возможны по ситуациям. Надеюсь понятно, ничего там сложного и завумного нет. Возможны заморочки лишь с round-robin.

Ваше сообщение

Имя*:

EMail:

Для отправки новых сообщений в текущей нити на email укажите знак ! перед адресом, например, !user@host.ru (!! - не показывать email).
Более тонкая настройка отправки ответов производится в профиле зарегистрированного участника форума.

Заголовок*:

Сообщение*:

При общении не допускается: неуважительное отношение к собеседнику, хамство, унизительное обращение, ненормативная лексика, переход на личности, агрессивное поведение, обесценивание собеседника, провоцирование флейма голословными и заведомо ложными заявлениями. Не отвечайте на сообщения, явно нарушающие правила - удаляются не только сами нарушения, но и все ответы на них. Лог модерирования.

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру