Dear dnsdist-ers,<div>Hope this email finds you in good health!</div><div><br></div><div>Please see my comments below, inline...<br><br>Le mardi 7 juin 2022, Adrian Kägi via dnsdist <<a href="mailto:dnsdist@mailman.powerdns.com">dnsdist@mailman.powerdns.com</a>> a écrit :<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">Hi<br>Maybe i did not understand correct, </blockquote><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><br></blockquote><div><br></div><div><br></div><div>Hi Adrian,</div><div>Thanks for your email, brother.</div><div><br></div><div> </div><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><br></blockquote><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><br></blockquote><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">but the AXFR zone transfer from primary to secondary should not be routed via DNSdist. </blockquote><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><br></blockquote><div><br></div><div><br></div><div>Exactly! it *should not*...see below, please:</div><div><br></div><div><paste1></div><div><p dir="ltr">"AXFR, IXFR and NOTIFY¶<br>
When dnsdist is deployed in front of a primary authoritative server, it might receive AXFR or IXFR queries destined to this primary. There are two issues that can arise in this kind of setup:</p>
<p dir="ltr">• If the primary is part of a pool of servers, the first SOA query can be directed by dnsdist to a different server than the following AXFR/IXFR one, which might fail if the servers are not perfectly synchronised.<br>• If the primary only allows AXFR/IXFR based on the source address of the requestor, it might be confused by the fact that the source address will be the one from the dnsdist server."<br></p></div><div></paste1></div><div><a href="https://dnsdist.org/advanced/axfr.html#:~:text=AXFR%2C%20IXFR%20and,the%20dnsdist%20server.">https://dnsdist.org/advanced/axfr.html#:~:text=AXFR%2C%20IXFR%20and,the%20dnsdist%20server.</a><br></div><div><br></div><div><br></div><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><br></blockquote><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><br></blockquote><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">from my point of view, makes no sense.<br><br></blockquote><div><br></div><div><br></div><div>...imho! it's not that it *must not* be routed through</div><div>dnsdist.</div><div>Maybe you should see if you want to do the </div><div>implement following two solutions:</div><div><br></div><div><paste2></div><div>"</div><div><p dir="ltr">• The first issue can be solved by routing SOA, AXFR and IXFR requests explicitly to the primary:</p>
<p dir="ltr"><code1>newServer({address="<a href="http://192.168.1.2">192.168.1.2</a>", name="primary", pool={"primary", "otherpool"}})<br>
addAction(OrRule({QTypeRule(DNSQType.SOA), QTypeRule(DNSQType.AXFR), QTypeRule(DNSQType.IXFR)}), PoolAction("primary"))<code1><br><br></p><p dir="ltr">
• The second one might require allowing AXFR/IXFR from the dnsdist source address and moving the source address check to dnsdist’s side:</p>
<p dir="ltr"><code2>addAction(AndRule({OrRule({QTypeRule(DNSQType.AXFR), QTypeRule(DNSQType.IXFR)}), NotRule(makeRule("<a href="http://192.168.1.0/24">192.168.1.0/24</a>"))}), RCodeAction(DNSRCode.REFUSED))</code2><br></p></div><div>"</div><div></paste2></div><div><a href="https://dnsdist.org/advanced/axfr.html#:~:text=The%20first%20issue,.REFUSED))">https://dnsdist.org/advanced/axfr.html#:~:text=The%20first%20issue,.REFUSED))</a><br></div><div><br></div><div></div><div><br></div><div>Hope this helps!</div><div><br></div><div>Shalom,</div><div>--sb.</div><div><br></div><div> </div><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><br></blockquote><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><br></blockquote><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">Cheers<br><br><br>On Tue. 7. June 2022 10:02 CEST, Lucas Rolff via dnsdist <<a href="mailto:dnsdist@mailman.powerdns.com" target="_blank">dnsdist@mailman.powerdns.com</a>> wrote:<br> <blockquote type="cite" cite="http://4569092C-A032-450B-8964-8E674425F730@lucasrolff.com">[...]</blockquote></blockquote></div><br><br>-- <br><p>Best Regards !<br>__<br>baya.sylvain[AT cmNOG DOT cm]|<<a href="https://cmnog.cm/dokuwiki/Structure">https://cmnog.cm/dokuwiki/Structure</a>><br>Subscribe to Mailing List: <<a href="https://lists.cmnog.cm/mailman/listinfo/cmnog/">https://lists.cmnog.cm/mailman/listinfo/cmnog/</a>><br>__<br>#‎LASAINTEBIBLE‬|#‎Romains15‬:33«Que LE ‪#‎DIEU‬ de ‪#‎Paix‬ soit avec vous tous! ‪#‎Amen‬!»<br>‪#‎MaPrière‬ est que tu naisses de nouveau. #Chrétiennement‬<br>«Comme une biche soupire après des courants d’eau, ainsi mon âme soupire après TOI, ô DIEU!»(#Psaumes42:2)<br><br></p>