[Sysadmins] DNS

[Денис Смирнов]

On Sat, Apr 14, 2007 at 03:18:24PM +0400, Nick Gavrikov wrote:

> NG>> т.е. для RIPN достаточно 53/udp? А 53/tcp я могу смело закрывать на
> NG>> файрволе для всех кроме slaves?
>> Этого делать не нужно никогда.
NG> Почему? Тормозить будет? Возможно, тогда можно сделать REJECT вместо DROP?
NG> Несколькими письмами раньше говорили, что tcp используется только для
NG> получения всей зоны. Никому кроме slaves и вероятного противника она
NG> понадобиться не может, так?

tcp используется:
а) тогда, когда этого захотел клиент;
б) клиент этого хочет всегда, если ответ не влезает в один пакетик, обычно
это как раз происходит при ответе на IXFR-запрос, поэтому эти ответы
всегда идут по tcp;

Соответственно смысла резать tcp нет никакого, а вот смысл зарезать IXFR
есть.

-- 
С уважением, Денис

http://freesource.info
----------------------------------------------------------------------------
Если это ничего не испортит, то надо сделать update.
		-- ldv in devel@