Vlákno názorů k článku
CZ.NIC se chystá vypnout původní otevřené rekurzivní DNS servery
od unknown - proc ty ip nemuzou zustat zachovany a jen...
-
proc ty ip nemuzou zustat zachovany a jen by na nich bezela nova varianta... to abych presel na google/cloudflare, kdyz s tim CZ.NIC bez znovuzprovozneni na stejny ip zasibuje a kdo vi, kdy to udela znovu s novejma; u google/cloudflare neocekavam, ze svoje hezky cisla zrusej, ale zas to ma nevyhody jiny.... docela dost mne to stve....
-
Závislost na jakékoliv třetí straně je riziková. Internetové zařízení je vždy závislé na svém ISP - ten většinou své místní DNS servery nemění a když už, tak to bývá doprovázeno masivnějším přečíslováním. Podle mě dává smysl používat DNS svého ISP, případně si provozovat vlastní rekurentní DNS. Užívat DNS CZ.NICU nebo Googlu mi přijde jako z nouze ctnost, ne jako dobrá praktika.
-
Dobrý den, pane Vítku, zdravím vás z Whalebone. Vidím, že vás nasazení u vašeho poskytovatele úplně nepotěšilo. Jste ve zlomku koncáků, kteří to vůbec zaznamenali. A jsem moc rád, že můžeme podiskutovat. Snad to tu ještě zkontrolujete.
Ano, jsme mladá firma. Ale jdeme trošku jinou cestou, než běžné startupy. Startup akcí se moc neúčastníme, spíše pracujeme na tom, aby naše služby byly skutečně pro potřeby zákazníků. Pokud byste k nám měl jakýkoliv dotaz, klidně se ptejte. Jsme velmi otevření.
Data, která máme k dispozici, využíváme jen a pouze k bezpečnostní části naší činnosti. Rozhodně je například neprodováváme třetím stranám např. z marketingového prostředí. Jsme čistě bezpečnostní projekt a za tím si stojíme.
Pokud máte pocit, že občas něco neresolvuje, prosím pojďme to prozkoumat konkrétně. Občas se objevují problémy (namátkou třeba špatná konfigurace F5, která způsobila nefuknčnost EET, problémy s některými zařízeními pro on-line televize), ty ale vždycky řešíme a (bude to znít jako klišé), velmi často se zjistí, že jsou mimo nás. My používáme čistý Knot Resolver, který má to specifikum, že je poměrně striktní, takže i s ním by podobné problémy byly. Ostatně mrkněte na https://youtu.be/rEMw_7jS_d4, kde o tom mluvíme. Kažopádně pokud budete konkrétnější, rádi se na to podíváme podrobně. Klidně mi napište na petr.soukenik@whalebone.io nebo i volejte na 777 002 674.
Co se týče falešných blokací: ano, to se může stát. Snažíme se je minimalizovat k nule a děje se to i v tom obrovském objemu zákazníků, kteří přes nás jedou, velmi málo a pokud se ukáže, že jde skutečně o false-positive, obratem je globálně whitelistován. Navíc by brzy ISP měla mít možnost po vzoru našeho nasazení u O2 jako O2 Security, využít možnost bypassu blokace ze strany zákazníka.
Díky a těším se na případnou reakci a hlubší diskuzi.
-
To byste se divil. Nedavno prestal fungovat peering mezi CentralNic a Google v Asii (Singapursky NIX) a z Internetu zmizelo asi 30 gTLD domen. Resp. asijsky Google je prestal resolvovat.
Jak se ukazalo tak 8.8.8.8 je hrozne popularni, a spousta ISP ani vlastni rekurzory neprovozuje a rovnou dodava zakaznikum modemy s predkonfigurovanym Google public DNS. -
Já bych řekl že v ČR je výběr ISP obvykle relativně široký, alespoň ve městech, ale chápu že DNS u mnohých nebude mít takovou (marketingovou) prioritu. A nakonec je pravda, že zvolit jiné servery není ani pro laiky tak obtížné.
Spíš bych se bál, že pokud se tomu ISP rozbíjí DNS, tak i čisté IP bude mít relativně často potíže a to prostě neobejdete...
-
Martin X (neregistrovaný)
Asi pred 5 rokmi sa mi spomalilo DNS a zistil som, ze sa premavka z Bratislavy na primarny DNS server vo Viedni (ktory posielalo DHCP) routuje cez Londyn. Poslal som traceroute na UPC heldesk a dostal som nasledovnu odpoved :-)
"Zdravim Vas, routovanie je upravene od minuleho tyzdna. Zmente si prosim DNS napr. na google – 8.8.8.8 Maria " -
Martin X (neregistrovaný)
Tu som to riesil aj cez root.cz forum:
https://forum.root.cz/index.php?topic=9781.msg106764 -
Nemohou vzít existující IP a začít je routovat anycastově do internetu. Nejmenší rozsah co Vám nesežerou filtry na routerech je /24 a lze předpokládat že v původním rozsahu ty DNS servery nebyly samy, navíc je otázkou zda aby ten /24 šlo vyjmout ze nějakého většího rozsahu. Změna IP z důvodu přechodu na anycast je prostě opodstatněná a validní. Souběh nové a staré služby byl zajištěn poměrně dlouhou dobu. A pak bych si dovolil připomenout, že ta služba je bezplatná ... je určitě hrozně motivující pro další práci něco udělat líp, nedostat za to ( od klientů ) peníze a ještě slyšet jak je to špatně. Takže kluci z CZ.NICu .... díky že děláte internetový svět lepším.
-
No pokud ta změna IP je tak zásadní vlastnost...
Pokud půjdete ke Cloudflare, dával bych si ve Vašem případě pozor, protože rozsah 1.1.1.1 si pouze vypůjčili od APNIC, prozatím na "pouhých" pět let, tedy je dobře možné že už za méně než čtyři roky v této podobě skončí. Stávající ODVR adresy byly jistě v provozu značně déle než je v tuto chvíli 1.1.1.1. (Můj odhad stáří ODVR se zhruba blíží 8.8.8.8.)
Tohle je čistě můj osobní názor. Jsem teď s ODVR značně spjatý, takže z principu nemůžu být 100% objektivní.
