a DNS resolver or server that is sending a non-zone-transfer query MUST send a UDP query first.
This requirement is hereby relaxed. Stub resolvers and recursive resolvers MAY elect to send either TCP or UDP queries depending on local operational reasons. TCP MAY be used before sending an
FWどーすんの? (スコア:0)
UDPなんて家庭用の簡易ルータでもデフォルトでリジェクトじゃない?
Re:FWどーすんの? (スコア:1)
full cone natでも自分がパケット投げた先からそのまままっすぐパケット帰ってくる分には通りますよ
UDPというもの全般をデフォルトで落としてる家庭用ルーターってのはむしろ聞かない
Re: (スコア:0)
full coneじゃねえや逆だ逆。symmetric natだ
Re: (スコア:0)
RTXシリーズのコンフィグが頭にある関係で、UDPは通す設定をしないと通らない物だと思ってたけど、家庭用ルーターだとその辺ザルなのか。(例えば、NTPで通信しようと思うとfilterにNTPを通す設定をしておかないと通信できないよね)
Re: (スコア:0)
RTXシリーズもYAMAHAの公式サイトのサンプルのせいで
送信側については下記の行が付いていること多いですけどね。
ip filter XXX pass * *
ip filter dynamic YYY * * udp
http://jp.yamaha.com/products/network/solution/internet/opticalfiber_c... [yamaha.com]
まぁ、デフォルトにしておいてくれればいいのに、
考えなしにこんなルール追加されていると、ちょっと気持ち悪いですよね。
Re: (スコア:0)
開けるのがデフォルトになるのを待つぐらい、じっくり腰据えて普及させていくつもりなんでは。
今のうちからQUIC使いたい人は設定変えて開けるでしょうし。
Re: (スコア:0)
ルーターのリゾルバを使わないDNSクエリを通さない家庭用ルーターって具体的にどこのメーカー?
Re: (スコア:0)
デフォルトリジェクトなら、Google DNS(8.8.8.8)に切り替えた人は続々通信不可能になって
大問題なはずだけど、そんな話は聞かないけどねぇ
Re:FWどーすんの? (スコア:1)
普通のDNSって、TCP53でも応答する気がするんだけど、Google DNS は違うの?
Re:FWどーすんの? (スコア:1)
googleの挙動以前の問題として、家庭用ルータのDNS forwarderはTCP非対応の製品が多いんだよね。
Re: (スコア:0)
TCP53ってDNSサーバー同士でゾーン転送する場合でなくて?
最近は一般のクライアントからの名前解決の問い合わせもUDPが使えない場合はTCPで送り直すとか発展してるのかしら?
Re:FWどーすんの? (スコア:1)
UDPにTCPで返事するってのはわからないけど、最初からTCPで問い合わせることはできる(rudeな振る舞いかもしれないが)と思うんだ。
Re:FWどーすんの? (スコア:1)
UDPだと512オクテットまでしか送れない決まりなので、それ以上になることが最初から想定されるなら別にTCPでリクエストしてもいいのよ?
#DNSSECっていまだに普及してないんだなと感じるひととき
Re:FWどーすんの? (スコア:1)
最初は常にUDPで問い合わせる必要がある(RFC1123)。応答が一定のサイズを超えると
TCPにフォールバックされる仕様。一定のサイズはRFCの発行時期によって512~4096 Byte。
最初からTCPで問い合わせていいわけじゃない。
DNSSECも一緒
ところで、UDPの戻りのパケットもACL書かないと動かない機械なんて
今日日聞かないですよね
Re: (スコア:0)
qmailでの不具合を思い出したわ…
Re:FWどーすんの? (スコア:1)
> 最初は常にUDPで問い合わせる必要がある(RFC1123)。
RFC7766で、最初からTCPで問い合わせても桶になりました
https://tools.ietf.org/html/rfc7766 [ietf.org]
Re: (スコア:0)
えー初耳と思ったら、RFC7766って今年の3月か・・・
いや、正直まだ見てなかったです。
ちなみに該当の項目ってどこらへんでしょうかね
下記の部分で良い?
https://tools.ietf.org/html/rfc7766#section-6.1.1 [ietf.org]
5. Transport Protocol Selection
a DNS resolver or server that is sending a non-zone-transfer query MUST send a UDP query first.
This requirement is hereby relaxed. Stub resolvers and recursive resolvers MAY elect to send either TCP or UDP queries depending on local operational reasons. TCP MAY be used before sending an
Re:FWどーすんの? (スコア:1)
さすがにUDP53は通すでしょ
その他不特定多数のポートは弾かれちゃうんじゃないかって疑問なんじゃないの?
セッション(?)IDみたいなのを見てサーバーからの応答パケットも通せるようになるとは思うけど
Re: (スコア:0)
たとえばでいいから、メーカー名と機種名を挙げてみてくれないか
個人的にはそんなのお目にかかったことない
Re: (スコア:0)
iptablesですら、UDPをステートフルとして扱っているのに
今更UDPの戻りパケットを意識しなきゃいけないのって・・・
製品としてありますか?
例えばCentOS6のiptablesにデフォルトで記載されている
下記の行はUDPに対しても有効
-A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
これをTCPだけに変更したらNTPやDNSの戻りを書かなければならなくなるため
大変面倒なことになる。
-A INPUT -m state --state ESTABLISHED,RELATED -m tcp -p tcp -j ACCEPT
# やって挙動がおかしくなっても責任は持ちませんのであしからず