[GTER] Fwd: DNSCurve
Durval Menezes
durval at tmp.com.br
Wed Sep 3 15:04:51 -03 2008
On Wed, Sep 03, 2008 at 01:00:47PM -0300, Rubens Kuhl Jr. wrote:
> > Com certeza da' para fazer com varios IPs na mesma maquina e fica ate'
> > melhor. O problema e' a flexibilidade quando voce quer migrar uma
> > maquina que ja' roda BIND autoritativo/recursivo para o NSD/Unbound...
> > ate' da' para alocar mais um endereco para colocar cada servico em um
> > IP diferente, mas o diabo e' o trabalho que isso da' (ou voce altera o
> > IP em todos os clientes que utilizam a parte recursiva, no caso de mover
> > o recursivo para o novo IP, ou voce altera o IP em todos os servidores
> > "slave" e na interface do "parent" para os subdominios delegados para os
> > quais o servidor em questao e' autoritativo, no caso ser este a ser
> > movido. De uma forma ou de outra, da' uma mao-de-obra grande...
>
> Alterar nos slave e parents não deveria ser difícil, pois se tratam de
> poucas entradas, e não de vários resolvers... eu ainda sinto que uma
> correta organização de DNS vai sempre permitir que isso funcione.
A questao e' sempre o legado... temos por exemplo um servidor que e'
secundario de varias dezenas de dominios, residentes em servidores
primarios distintos; a configuracao de "allow-transfer" em cada um
destes servidores teria de ser alterada para permitir o novo endereco.
Ai' ja' viu, ne'?
> > Ja' pensei em alterar o codigo do NSD e do Unbound para que o NSD, quando
> > receber uma query para o qual ele nao e' autoritativo, repassa-la em um
> > pacote especial para um Unbound rodando em outro IP (ate' mesmo localhost
> > na propria maquina), o qual entao checaria ACLs e etc e faria uma resolucao
> > recursiva, devolvendo o resultado ao NSD que entao responderia com o dito
> > cujo diretamente ao cliente que fez a query original. Isso resolveria
> > o problema (a meu ver) de forma elegante.
>
> Não precisa alterar o código, o Unbound tem stub-zone/stub-addr, que
> pode ser usado para redirecionar a resolução para um DNS em outra IP
> ou porta. Se você combinar com um DNAT para IPs externos usarem a
> porta alternativa do NSD, dá para manter o mesmo IP com resolução
> externa somente autoritativa e resolução interna recursiva.
1) Nao seria melhor usar forward-zone/forward-addr, neste caso?
2) Nao tinha pensado na solucao usando DNAT; boa ideia! Entretanto,
voce nao acha que depender de um DNAT e' pouco elegante? Afinal,
trata-se quase de um "Deux -x machina"... :-)
[... Sobre o Curve25519...]
> Esse é o tipo de função de biblioteca para escrever em ASM e
> fortemente otimizada a recursos dos processadores... a referência C é
> um bom ponto de partida, certamente.
O qhasm que o DJB usou para produzir a implementacao dele e' pouco
mais que um ASM... mas minha questao e' que teria sido melhor ele
produzir uma referencia em "C" e (sendo o caso) versoes otimizadas
em ASM, khasm ou seja la' o que for. Na situacao atual, nao existe
uma implementacao de "referencia" C, pois o DJB nao se deu a este
trabalho, e a implementacao que temos em "C" e' de um terceiro.
Alem disso o DJB tambem nao publicou (que eu tenha visto) test vectors
oficiais para o Curve25519, de forma que nao ha' como ter certeza que
a implementacao de terceiros e' de fato equivalente `a "oficial".
> No caso eu estava apostando em uma maior cooperação do lado online da
> Microsoft (assinando com DNS-Curve os servidores DNS de msn.com,
> hotmail.com, microsoft.com etc.) e que esse pessoal fizesse uma
> campanha interna com o lado sistemas operacionais para implementar
> logo... talvez seja muito otimismo, mas... "I Want to Believe".
Entendi. Bem, vamos torcer ;-)
Um Grande Abraco,
--
Durval Menezes (durval AT tmp DOT com DOT br, http://www.tmp.com.br/)
More information about the gter
mailing list