Curieusement, plein de réponse sur le fait qu'il soit conforme ou pas aux bonnes pratiques de faire du filtrage DNS sur les RR qui pointent vers des adresses RFC1918, mais très peu de réponse sur la pratique en amont : celle de la publication - dans le DNS public - de telles ressources.
Il y a plus de 9 ans cette dernière pratique avait été identifiée comme source de problèmes, pour en dire le moins. Un draft (très largement expiré, mais que j'exhume ici) y était consacré : https://datatracker.ietf.org/doc/draft-ietf-dnsop-dontpublish-unreachable/ Ce draft n'avait pas débouché sur un RFC (essentiellement manque de volontaires et divergence sur la hiérachisation des arguments entre "unreachable" et "ambiguous" et non par manque d'intérêt pour cette idée). Je le dis donc tout de suite, je n'invoque pas comme RÉFÉRENCE NORMATIVE ! Pour ceux qui sont curieux de savoir les raisons : http://www.ietf.org/mail-archive/web/dnsop/current/msg03010.html Moralité, publier des adresses ambiguës et/ou inaccessible est en soi un problème qui représente une cause à traiter, avant de passer au traitement de la conséquence avec les multiples dispositifs aussi complexes les uns que les autres :-) Mohsen. On 08 Dec, Salim Gasmi wrote: | Bonjour, | | Je viens de tomber sur un truc bizarre. | A ce que je constate, les resolvers de free ne répondent pas a une query | de type A quand la réponse est une ip privée. | | Démonstration en interrogeant le grand 8.8.8.8: | | ----------------------------------------------------------------- | [salim@dedix ~]# dig switch48.sdv.fr. @8.8.8.8 | ; <<>> DiG 9.3.6-P1-RedHat-9.3.6-16.P1.el5 <<>> switch48.sdv.fr. @8.8.8.8 | ;; global options: printcmd | ;; Got answer: | ;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 47131 | ;; flags: qr rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 0, ADDITIONAL: 0 | | ;; QUESTION SECTION: | ;switch48.sdv.fr. IN A | | ;; ANSWER SECTION: | switch48.sdv.fr. 86169 IN A 172.20.1.48 | | ;; Query time: 82 msec | ;; SERVER: 8.8.8.8#53(8.8.8.8) | ;; WHEN: Thu Dec 8 16:12:29 2011 | ;; MSG SIZE rcvd: 49 | ----------------------------------------------------------------- | | On voit bien que Google a répondu 172.20.1.48, ce qui est correct. | Posons la même question a dns1.proxad.net: | | ----------------------------------------------------------------- | [salim@dedix ~]# dig switch48.sdv.fr. @dns1.proxad.net | | ; <<>> DiG 9.3.6-P1-RedHat-9.3.6-16.P1.el5 <<>> switch48.sdv.fr. | @dns1.proxad.net | ;; global options: printcmd | ;; Got answer: | ;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 41696 | ;; flags: qr rd ra; QUERY: 1, ANSWER: 0, AUTHORITY: 0, ADDITIONAL: 0 | | ;; QUESTION SECTION: | ;switch48.sdv.fr. IN A | | ;; Query time: 9 msec | ;; SERVER: 212.27.40.240#53(212.27.40.240) | ;; WHEN: Thu Dec 8 16:13:53 2011 | ;; MSG SIZE rcvd: 33 | ----------------------------------------------------------------- | | La réponse est vide. | J'ai testé avec plusieurs IP privées dans plusieurs domaines, cela | semble généralisé. | | Question subsidiaire : Combien de RFC ce comportement viole t'il ? | | Cordialement, | | Salim | | -- | Salim Gasmi -- Directeur Technique -- SdV Plurimedia --------------------------- Liste de diffusion du FRnOG http://www.frnog.org/
