Если сетевки x710/xl710 http://www.intel.com/content/www/us/en/embedded/products/networking/qsfp-configuration-utility-quick-usage-guide.html

whois as47541

Коммунити появились?

Есть кто из Медиасетей (virgin connect)?

http://www.rbc.ru/rbcfreenews/57d126a69a7947368db8ed0a

Господа, Рroxmox только на голое железо ставится? Мне не показалось в документации?

можно в квм

на проксмоксе

спасибо..

кто проходит тест http://dnssec.vs.uni-due.de/ ? :)

Yes, your DNS resolver validates DNSSEC signatures.

кто проходит тест http://dnssec.vs.uni-due.de/ ? :)

у меня на роутере DNSSEC заворачивается принудительно, но на сайте не проходит

у меня на роутере DNSSEC заворачивается принудительно, но на сайте не проходит

принудительно - это как?

у наших резолверов вот включен validator

Господа, Рroxmox только на голое железо ставится? Мне не показалось в документации?

можно на дебиан пакетами, есть у них в вики

случился прикол с сайтом одним, как-то всплыл вопрос

и после моего обращения включили DNSSEC-validator на dns.ix.ru! говорят я первый, кто попросил :)

принудительно - это как?

это значит что обращения ко всем днс серверам внешним принудительно заворачивается на роутер, а роутер по днссек резолвит

можно на дебиан пакетами, есть у них в вики

А вот это уже интересно, на серваке как раз дебиан крутится. Спасибо!

Как вообще proxmox можно им vmWare заменить? Диллетантский вопрос конечно, но в общих чертах если.

это значит что обращения ко всем днс серверам внешним принудительно заворачивается на роутер, а роутер по днссек резолвит

ну раз тест не проходит - значит не проверяет.

ну раз тест не проходит - значит не проверяет.

да какбе и пофиг, главное что днски не подменят мне

dnscrypt и тд

да какбе и пофиг, главное что днски не подменят мне

вот и не пофиг, надо чтобы проверялся DNSSEC

вот и не пофиг, надо чтобы проверялся DNSSEC

зачем?

dnscrypt-proxy[862]: Chosen certificate #1463092899 is valid from [2016-05-13] to [2017-05-13]

оно проверяет серты сервера

записи передаются в шифрованном виде

их не подменить и не прочитать DPI

как-раз можно подменить

не до роутера, а после

не до роутера, а после

как ты их подменишь?

перед днс-сервером, к которому ты обратишься, например

перед днс-сервером, к которому ты обратишься, например

http://c2n.me/3C1K8gg.png

так дойдет?

dig sigok.verteiltesysteme.net @127.0.0.1 (should return A record) dig sigfail.verteiltesysteme.net @127.0.0.1 (should return SERVFAIL)

так дойдёт?

после твоего роутера ещё масса вариантов подменить есть

https://dnscrypt.org/

как ты подменишь его?

да-да, почитай

как, как

куда по твоему обращаются сервера эти? к обычным серверам, которые держат зону

так вот эти запросы и можно легко подменять

тем же способом, что ты сейчас показал

куда по твоему обращаются сервера эти? к обычным серверам, которые держат зону

если начнут корневые подменять - тебя ничего не спасет уже

можешь файлик hosts генерить

а мне важно чтоб на пути между роутером и корневым ничего не подменялось и не читали мои запросы

ну читай сайт то, который прислал?

|---— Most vulnerable to attacks —----| |— Most vulnerable to modification —| dnscrypt client dnscrypt server Laptop/workstation/phone/tablet —------> home router —------> ISP —------> the Internet |--------- Secured by DNSCrypt —-------| |------------- Secured by DNSSEC —------------|

самый последний пункт у тебя не работает

Secured by DNSSEC

попадает под Most vulnerable to modification

ну если до dnscrypt server не vulnerable то в чем проблемы

у меня роутер конектится к dnscrypt server

значит данные между ним и сервером валидные

dnscrypt server это один из тех что я выбрал

опенднс какойто

в данном случае на роутере у меня поднят клиент который резолвит уже мне в локалку

о чём и речь - не тот выбрал

почему не тот то

Google Public DNS, dns.ix.ru - проверяют DNSSEC

тот, что выбрал ты - не проверяет

то есть подделать легко

если на пути между моим ротуером до dnscrypt server нельзя подменить имена

то в чем проблема то не пойму

в том, что их можно подменять дальше

http://c2n.me/3C1MPqY.png

простой тест: sigok.verteiltesysteme.net должен резолвиться, а sigfail.verteiltesysteme.net - нет. Если sigfail.verteiltesysteme.net резолвится, значит проверка DNSSEC не работает и можно подделывать.

красным помечена безопасная зона

в том, что их можно подменять дальше

если дальше будет подменять на корневых - какбе насрать уже

правильно, а почему правая часть у тебя не защищена, как написано - DNSSEC?

каких корневых, это резолвер кривой у тебя выше

сам же сказал "какой-то opendns"

правильно, а почему правая часть у тебя не защищена, как написано - DNSSEC?

а смысл? там в роде сервера выступают уже чуть ли не корневые

не важно что там, если нет проверки DNSSEC

https://github.com/jedisct1/dnscrypt-proxy/blob/master/dnscrypt-resolvers.csv

что хочешь, что и подделывай - никакой криптографии там нет

если этим нельзя доверять - то забей вообще

из этого списка только два со словом DNSSEC, остальные бесполезны :)

ну больше чем два

там yes колонка

а, да, не увидел

так вот без yes - не используй :)

Яндекс.DNS не проверяет к примеру

Яндекс яб не стал

Как и ua

да какая разница, тот что ты выбрал сейчас - не проверяет.

у тебя резолвится sigfail.verteiltesysteme.net

а не должен :)

а не должен :)

почему?

у меня на роутере забит хост

ну это тест так сделан, специально неправильно подписано доменное имя, чтобы понять работает у тебя DNSSEC или нет.

т.е. когда я обращаюсь на устройстве за роутером к восьмеркам - роутер возвращает то что на него забито

iptables -t nat -I PREROUTING 1 -i br0 -p udp --dport 53 -j DNAT --to-destination 192.168.12.1:53 iptables -t nat -I PREROUTING 1 -i br0 -p tcp --dport 53 -j DNAT --to-destination 192.168.12.1:53

и? он спрашивает у серверов из того списка, что ты скинул. Ты выбрал не тот резолвер из списка, там у столбца DNSSEC стоит "no", а должен быть "yes"

и? он спрашивает у серверов из того списка, что ты скинул. Ты выбрал не тот резолвер из списка, там у столбца DNSSEC стоит "no", а должен быть "yes"

нет, он сначала дергает локальный резолвер

потом уже если в нем хоста нет - дергает из того списка

мне неважно что там у тебя и как, по факту - проверки DNSSEC у тебя нет

DNSSEC защищает только от подмены, а от просмотра содержимого запроса человеком посредине - нет