έτσι ήταν παλιά. μετά ήρθε το EDNS0 στην ζωή μας και μας μεγάλωσε το UDP. <a href="https://en.wikipedia.org/wiki/Extension_mechanisms_for_DNS">https://en.wikipedia.org/wiki/Extension_mechanisms_for_DNS</a><div><br></div><div>
Δεν εξηγείς τι θες να είσαι βέβαια, authoritative ή recursor; Ξεχωριστά ζητήματα ο καθένας...</div><div><br></div><div>Αν είσαι recursor, το #2 σου σχετικά με το DNSSEC είναι λίγο (είδες ευγένεια;) άτοπο μιας και δεν έχει σημασία τι κάνεις εσύ με το DNSSEC αλλά τι κάνει ο απέναντι. Αν αυτός έχει DNSSEC records.</div>
<div>Για παράδειγμα: <br></div><div>$ dig <a href="http://isc.org">isc.org</a> any -> πάρε 3Kb απάντηση. </div><div>Θα σου πει όμως πάνω πάνω (γιατί το dig βάζει μικρό buffer):</div><div><div>;; Truncated, retrying in TCP mode.</div>
</div><div><br></div><div>Για δοκίμασε αυτό τώρα:</div><div>$ dig +bufsize=4096 <a href="http://isc.org">isc.org</a> any <br></div><div>(αν ο recursor σου είναι καλό παιδί, και δεν παρεμβάλεται κανένα ανώμαλο firewall, θα πάρεις μια τεράστια απάντηση σε UDP)</div>
<div><br></div><div>Αν θες να στέλνεις απαντήσεις σε όλους ανεξαιρέτως τους clients που σε ρωτάνε, ανεξαρτήτως πόσο σπασμένοι είναι αυτοί ή το firewall που έχουν μπροστά τους πρέπει να υποστηρίζεις και tcp γιατί κάποια βλαμμένα firewalls κόβουν τα UDP replies από nameservers αν είναι μεγαλύτερα από 512bytes. Για να μην βάλουμε καν στο παιχνίδι τι μπορεί να γίνει με τα UDP fragments + firewalls όταν το reply size είναι μεγαλύτερο από το MTU...πάρτυ!<br>
</div><div><br></div><div>Οπότε με μία πρόταση: μην κόβεις το tcp, χρειάζεται.</div><div>--<br></div><div>Γιώργος Καργιωτάκης</div><div><br></div>