[caiu] falha na consulta ao DNS reverso para a faixa 200

Rubens Kuhl rubensk em gmail.com
Ter Fev 14 11:09:45 BRST 2017


2017-02-14 10:59 GMT-02:00 Jessian Ferreira Cavalcanti <jessian em unesp.br>:

> bom dia a todos
>
> temos notado falha na consulta ao DNS reverso em alguns blocos /24 no
> Brasil
>
> parece estar vinculado ao DNSSEC das zonas reversas para blocos dentro do
> 200.0.0.0/8 ou algo assim
>
> por exemplo:
>
> dig 91.245.200.in-addr.arpa soa: SERVFAIL
> dig 205.244.200.in-addr.arpa soa: SERVFAIL
> dig 217.244.200.in-addr.arpa soa: SERVFAIL
>
> um problema gerado por essa falha e' a dificuldade na verificacao de DNS
> reverso para servidores de email que estejam nessas faixas
>
> seria o caso do pessoal do LACNIC reassinar a zona "200.in-addr.arpa" ?
>
> alguem tem uma experiencia para compartilhar conosco?
>

Até o 200.in-addr.arpa está OK, vide
http://dnsviz.net/d/91.245.200.in-addr.arpa/dnssec/ .

Mas o DNSViz está mostrando um comportamento exótico dos autoritativos
desse /24: rejeitar conexões UDP e aceitar TCP, quando um servidor DNS deve
aceitar conexões UDP e TCP.
Agora, se o seu recursivo tiver o comportamento errado oposto, de só
aceitar UDP e bloquear TCP, vai dar meleca, Capitão.


Rubens


Mais detalhes sobre a lista de discussão caiu