Bit-Popler schrieb am 20. Oktober 2014 00:17
> iMil schrieb am 19. Oktober 2014 17:50
>
> > und wenn die antwort für die DDNS-abfrage des unbekannten hostst am
> > proxy ankommt, macht der was mit?
>
> Und wieso sollte ein *Client* mit so einer Anfrage nach extrem
> dürfen?
>
weil es nicht verboten wurde?
übrigens:
für den clients, also das zahlungsterminal, ist das keine anfrage
nach "extern"
> > hier geht es nicht ums browsen.
>
> Genau, dann erzähle mal welche Kommunikation Deiner Meinung nach
> legitim für Embedded Geräte wie Zahlungsterminals sind? Irgendwelche
> DNS-Requests für externe Namen sind es nicht -> geblockt -> keine
> veruntreute Information!
genau um dieses geht es doch:
es wird bei den konfigurationen eben nicht unetreschieben, ob es eine
zahlungsterminal oder irgend ein anderer rechner ist.
und wenn man das nicht macht, wird von internen DNS-server eine
anfage an eine unbekannte adresse eben zu einem DNS-server im
internet weitergeleitet
> > was aber schon zu spät ist, da alleine die anfrage am für die
> > angefragte domäne zuständigen DNS der datentransport ist.
>
> Nope, wieso sollte der Proxy die Namensauflösung anstoßen *bevor* die
> Authorisierung geprüft ist?
nochmals:
der client macht eine DNS-abfrage.
wenn die erlaubt ist, wird sie ohne weitere behandlung durch den
DNS-server weiter "nach oben" geleitet.
ud die antwort kommt zurück.
da die anfrage aber die datenübertragung ist, ist eine vom DNS
irgendwie bearbeitete antwort vollkommen unwichtig.
>
> Wenn ein SMTP-Proxy nur für bestimmte Ziel-Domains zustellen soll,
> dann wird die Ziel-Domain geprüft bevor eine Auflösung über den DNS
> erfolgt, alles andere ist absolut unsinnig.
und genau da ist doch das problem:
alleine die anfrage beim DNS ist die datenübertragung.
es wird zum zielsystem keinerleit verbindung aufgebaut.
die datenübertragung findet via DNS-namensauflösung von client zum
DNS-server statt.
nicht zu dem system, dessen IP von DNS-server zurückgeleiefert wird.
>
> Aber vielleicht erklärst Du mal Dein Szenario genauer bei dem eine
> DDNS-Anfrage (DynDNS?) zu einem unbekannten Ziel eine Rolle spielt.
> Es geht hier um Zahlungssysteme die mit einer Zentrale
> (Firmenzentrale oder Zahlungsdienstleister) kommunizieren müssen und
> nicht um Deinen OwnCloud Wald und Wiesen-PC!
warum DynDNS?
der client fargt, zur datenübertragug, immer wieder andere
servernamen per DNS ab.
de für die domäne zuständige DNS-server liefert die namen der
abgefragten subdomänen zurück.
aber alleine der name der sub-domäne ist schon die datenübertragung.
das hat mit dDNS überhaupt NICHTS zu tun.
> iMil schrieb am 19. Oktober 2014 17:50
>
> > und wenn die antwort für die DDNS-abfrage des unbekannten hostst am
> > proxy ankommt, macht der was mit?
>
> Und wieso sollte ein *Client* mit so einer Anfrage nach extrem
> dürfen?
>
weil es nicht verboten wurde?
übrigens:
für den clients, also das zahlungsterminal, ist das keine anfrage
nach "extern"
> > hier geht es nicht ums browsen.
>
> Genau, dann erzähle mal welche Kommunikation Deiner Meinung nach
> legitim für Embedded Geräte wie Zahlungsterminals sind? Irgendwelche
> DNS-Requests für externe Namen sind es nicht -> geblockt -> keine
> veruntreute Information!
genau um dieses geht es doch:
es wird bei den konfigurationen eben nicht unetreschieben, ob es eine
zahlungsterminal oder irgend ein anderer rechner ist.
und wenn man das nicht macht, wird von internen DNS-server eine
anfage an eine unbekannte adresse eben zu einem DNS-server im
internet weitergeleitet
> > was aber schon zu spät ist, da alleine die anfrage am für die
> > angefragte domäne zuständigen DNS der datentransport ist.
>
> Nope, wieso sollte der Proxy die Namensauflösung anstoßen *bevor* die
> Authorisierung geprüft ist?
nochmals:
der client macht eine DNS-abfrage.
wenn die erlaubt ist, wird sie ohne weitere behandlung durch den
DNS-server weiter "nach oben" geleitet.
ud die antwort kommt zurück.
da die anfrage aber die datenübertragung ist, ist eine vom DNS
irgendwie bearbeitete antwort vollkommen unwichtig.
>
> Wenn ein SMTP-Proxy nur für bestimmte Ziel-Domains zustellen soll,
> dann wird die Ziel-Domain geprüft bevor eine Auflösung über den DNS
> erfolgt, alles andere ist absolut unsinnig.
und genau da ist doch das problem:
alleine die anfrage beim DNS ist die datenübertragung.
es wird zum zielsystem keinerleit verbindung aufgebaut.
die datenübertragung findet via DNS-namensauflösung von client zum
DNS-server statt.
nicht zu dem system, dessen IP von DNS-server zurückgeleiefert wird.
>
> Aber vielleicht erklärst Du mal Dein Szenario genauer bei dem eine
> DDNS-Anfrage (DynDNS?) zu einem unbekannten Ziel eine Rolle spielt.
> Es geht hier um Zahlungssysteme die mit einer Zentrale
> (Firmenzentrale oder Zahlungsdienstleister) kommunizieren müssen und
> nicht um Deinen OwnCloud Wald und Wiesen-PC!
warum DynDNS?
der client fargt, zur datenübertragug, immer wieder andere
servernamen per DNS ab.
de für die domäne zuständige DNS-server liefert die namen der
abgefragten subdomänen zurück.
aber alleine der name der sub-domäne ist schon die datenübertragung.
das hat mit dDNS überhaupt NICHTS zu tun.