IPv6 rDNS PTR records voor volledige adres van hosts

Is er een kans dat Freedom op volledig IPv6 address PTR records mogelijk gaat maken? Of liever nog, kan ik mijn eigen rDNS server opzetten en mijn eigen PTR records binnen het /48 subnet beheren??

Hoi @FranK-11. Flauwe antwoord: Kansen zijn er altijd. :slight_smile:

Serieuze antwoord:
Voor nu zijn de mogelijkheden die er zijn m.b.t. reverse DNS instellen hier benoemd: Reverse DNS instellen | Freedom

We willen natuurlijk wel mogelijk maken om de reverse DNS records gewoon zelf te kunnen beheren in de MIJNfreedom omgeving, zonder dat we hiervoor handmatig dingen moeten doen. Alleen heb ik hier nog geen datum/planning/tijdspad voor wat ik je door kan geven.

Dat zeiden ze 10 jaar geleden bij XS4ALL ook :slight_smile: (of is het 15 jaar geleden)
We hebben het nooit mogen meemaken dat dit ook gerealiseerd werd, dus je hoeft je niet te haasten om het sneller voor elkaar te krijgen!

Het liefst zou ik eigenlijk hebben dat ze de mogelijkheid bieden om de reverse lookups van m’n IPv6 en IPv4 adressen delegeren naar m’n eigen DNS’en. Dan heb je het helemaal in eigen controle en heb je geen “gedoe” met mailen naar de helpdesk (ze doen serieus hun best, bedankt daarvoor!).

Het enige waarbij ik dat ooit gehad heb was toen de IPv6-over-IPv4 tunnel van XS4ALL in de experimentele fase was, toen kon je de reverse van je subnet delegeren naar zelf geconfigureerde DNS’en :slight_smile:

2 likes

Ja maar later toen IPv6 native werd bij XS4ALL toen kon dat niet meer. En ik weet ook niet of je er nou zo blij van wordt om een open DNS server op je thuismachine te draaien. Je zult die in ieder geval goed dicht moeten timmeren anders ben je in no-time een DDoS ezel.

1 like

Klopt dat het met native IPv6 niet gedaan is. Dat neemt nog steeds niet weg dat het wel een erg fijne feature is/was :slight_smile:, zeker als je de DNS’en al hebt. Het was voor mij reden om pas vrij laat over te gaan van de tunnel naar native.

Ik draai al jarenlang een redundant paartje DNS’en voor m’n eigen domeinen en zoals iedere service die je publiek open zet moet je die uiteraard beveiligen, zorgen dat je geen open resolver bent is er daar een van. Mijn ervaring is dat het meeste misbruik nog zit op open tcp poortjes (ongeacht welke) waar alleen een SYN naartoe gestuurd wordt, je reageert immers met een aantal SYN/ACK’s dus dat is mooie amplificatie.

Gelukkig valt de hoeveelheid verkeer daarvan wel mee. In ieder geval als je het vergelijkt met een DNS vraag (over UDP) en dan een DNSSEC ondertekend antwoord. Stuur een query van 64 bytes en krijg een antwoord van ~3600 bytes. Dit is 56 keer zoveel.

Uiteraard, daarom wil je ook vooral geen open resolver zijn :slight_smile:. Een eigen domein serveren heeft hier nog nooit problemen gegeven.