LINUX.ORG.RU
решено ФорумAdmin

Резолвинг доменов неподдерживающие edns

 , edns,


0

2

isc bind 9.16 умеет при получении ошибки FormErr перезапрашивать без edns.

В 9.18 это не происходит.

Есть ли способ попросить bind выполнять запрос повторно без куков?

Да, для борьбы с этим можно явно указывать адреса серверов с опцией «send-cookie no», но это ручная работа.

★★★★★

Последнее исправление: vel (всего исправлений: 1)

Доменов не так много. Из того что насобиралось за 12 часов (домены второго уровня)

e5.sk.
chungshingelectronic.com.
vgtrk.com.
1gb-panel.com.
1gb-ru.com.
x5.ru.
rea.ru.
5ka.ru.
sutd.ru.
parking.ru.
vkrugudruzei.ru.
perekrestok.ru.
itshop.ru.
interiorexplorer.ru.
moscowbooks.ru.
kommersant.ru.
usfeu.ru.
tsu.ru.
nnov.ru.
belta.by.
bru.by.
bsu.by.

забавно, что в некоторых случаях на разных NS серверах одного домена edns настроен по-разному.

dig @relay.moscowbooks.ru. moscowbooks.ru A +edns +norec
дает FormErr
dig @ns.macomnet.RU. moscowbooks.ru A +edns +norec
дает ответ

vel ★★★★★
() автор топика

Вроде, к проблеме относится это из чейнджлога:

Previously, named accepted FORMERR responses both with and without an OPT record, as an indication that a given server did not support EDNS. To implement full compliance with RFC 6891, only FORMERR responses without an OPT record are now accepted. This intentionally breaks communication with servers that do not support EDNS and that incorrectly echo back the query message with the RCODE field set to FORMERR and the QR bit set to 1. [GL #2249]

Получается, что проблемные сервера не просто не поддерживают EDNS, а отвечают не правильно, поэтому разработчики решили с этим боротся и игнорить их.

Так, что, ИМХО, опции, включающей старое поведение нет и не будет. https://gitlab.isc.org/isc-projects/bind9/-/issues/2249

Ещё пишут, что если bind встречает «плохой» сервер, он не просто не переспрашивает его, а совсем обижается и не пытается отправить запрос к другим, отвечающим за зону, серверам.

mky ★★★★★
()
Ответ на: комментарий от mky

Как-то радикально :) И пяти лет не прошло с момента «DNS Flag Day»

Значит придётся пока остаться на 9.16.

В части этих доменов все NS отвечают ошибкой, т.ч, если перейти на свежую версию, то доступ к домену будет невозможен. При том, что публичные dns-сервера продолжают резолвить такие домены.

vel ★★★★★
() автор топика
Ответ на: комментарий от vel

Значит придётся пока остаться на 9.16.

У меня давно был подобный случай когда пришлось остаться на старой версии, причину уже не помню, помню только что в новой версии поломали то, что я использовал. :)

anc ★★★★★
()

Народ пожаловался, что письмо в @unesco.org не ушло, начал разбираться и обнаружил, что DNS отвечает сообщением FormErr без OPT.

Выяснилось, что *.mail.protection.outlook.com. не умеет EDNS !

Кто-то из буржуев в 2020 году спрашивал, когда на outlook.com будет DNSSEC, а им ответили, что там до сих пор EDNS не поддерживается, а без него DNSSEC не может работать.

Список серверов не поддерживающих EDNS и не поддерживающих RFC 6891 всё пополняется и пополняется.

vel ★★★★★
() автор топика