<html>

  <head>

    <meta http-equiv="Content-Type" content="text/html; charset=UTF-8">

  </head>

  <body text="#000000" bgcolor="#FFFFFF">

    <p><br>

    </p>

    <div class="moz-cite-prefix">08.03.2019 00:18, Joe Abley пишет:<br>

    </div>

    <blockquote type="cite"

      cite="mid:5FDD3F9D-3E4F-43E5-90F5-57D19B9D6DF5@hopcount.ca">

      <pre class="moz-quote-pre" wrap="">Hi Yuri,

On 7 Mar 2019, at 11:19, Yuri via Unbound-users <a class="moz-txt-link-rfc2396E" href="mailto:unbound-users@nlnetlabs.nl"><unbound-users@nlnetlabs.nl></a> wrote:

</pre>

      <blockquote type="cite">

        <blockquote type="cite">

          <pre class="moz-quote-pre" wrap="">2. explain why you need it in Unbound.

</pre>

        </blockquote>

        <pre class="moz-quote-pre" wrap="">

WCCP supports not only 80 port, but also 53 (and any arbitrary port) ans

very useful for transparent interception any traffic and locally cache

it on separate server.

Thus, technology can drastically reduce outboud internet traffic and/or

increases LAN security.

</pre>

      </blockquote>

      <pre class="moz-quote-pre" wrap="">

I was an early beta-tester of cisco's original cache engine back in the 90s, back when I think the programme was being run by Barry Greene out of Singapore. Transparent caching of web objects made a lot of sense for us since we were severely bandwidth-constrained in New Zealand in advance of southern cross being lit. There were all kinds of bandwidth-conserving shenanigans going on at the time.</pre>

    </blockquote>

    <span class="tlid-translation translation"><span title="" class="">Saving

        bandwidth makes sense in all cases when Internet traffic is sold

        in batches (in fact, truly unlimited traffic, if it exists,

        costs absolutely impossible money).</span></span>

    <blockquote type="cite"

      cite="mid:5FDD3F9D-3E4F-43E5-90F5-57D19B9D6DF5@hopcount.ca">

      <pre class="moz-quote-pre" wrap="">

However, I don't know that the same advantages would have existed (or do exist, today) for the DNS.

DNS is not generally a significant contributor to traffic volume so long as the DDoS klaxons are not sounding, so the "reduce outbound internet traffic" argument is not especially compelling (nor inbound; I'm not sure why you call out outbound). Increasing LAN security is even more dubious, I think.</pre>

    </blockquote>

    <br>

    <div class="text-wrap tlid-copy-target">

      <div class="result-shield-container tlid-copy-target"><span

          class="tlid-translation translation"><span title="">In fact, I

            meant both types of traffic.</span> <span title="">Both

            incoming and outgoing.</span> <span title="">Imagine a

            business center (building), with two dozen companies (not

            users).</span> <span title="">At the moment we have one

            Internet channel 10 Mbit.</span> <span title="" class="">To

            all consumers.</span></span><span

          class="tlid-translation-gender-indicator

          translation-gender-indicator"></span></div>

      <div class="result-shield-container tlid-copy-target"><br>

      </div>

      <div class="result-shield-container tlid-copy-target">By our CIsco

        statistics, we're have up to 10-20% DNS requests overall

        bandwith. So, you already see, yes? This is why we're uses only

        Unbound, this is why we're intercepting 53 port (whenever user

        devices settings).<br>

      </div>

    </div>

    <blockquote type="cite"

      cite="mid:5FDD3F9D-3E4F-43E5-90F5-57D19B9D6DF5@hopcount.ca">

      <pre class="moz-quote-pre" wrap="">

In general, DNS involves a number of subtly different protocols, all co-specified but not the same. Transparently proxying a query intended for an authoritative server to a resolver can cause problems (e.g. with RD and AA signalling). Delivering a DNS UPDATE message to the wrong server is going to break the intended behaviour. The only really safe way to avoid these kinds of pitfalls is to not do transparent proxying at all.</pre>

    </blockquote>

    <p>Our solution (with PBR interception) works approx. from 2011

      year. No issues you describing. <br>

    </p>

    <p><span class="tlid-translation translation"><span title="">Since

          the DNS traffic is taken from our cache with a pure content,

          we guarantee the absence of provider hijacking (which is

          always performed in our country).</span> <span title="">In

          addition, we completely control Internet traffic by blocking

          some of the advertising (and malware) in the local area of

          Unbound.</span> <span title="">For security this is directly

          related.</span> <span title="" class="">This is an obvious

          application, on my opinion.</span></span></p>

    <blockquote type="cite"

      cite="mid:5FDD3F9D-3E4F-43E5-90F5-57D19B9D6DF5@hopcount.ca">

      <pre class="moz-quote-pre" wrap="">

If the goal was to use WCCP as a clustering technique without transparent proxying, hashing the (QNAME, QCLASS, QTYPE) tuple across a set of origin servers in order to minimise cache misses, that might be interesting, but it's not clear to me that WCCP is the right way to do that (but perhaps I'm not thinking hard enough about it).</pre>

    </blockquote>

    <p><span class="tlid-translation translation"><span title=""

          class="">I have already described the goals above. DNS

          failover is completely enough for HA. But - I repeat - WCCP

          performs on control plane, instead PBR, which performs on CPU

          <i>and sometimes eats it up.</i></span></span></p>

    <p><span class="tlid-translation translation"><span title="">This is

          the reason why I would like to see support for this protocol.</span>

        <span title="" class="">As far as I know, SQUID has support for

          both versions of this protocol for over 10 years (we are

          actively using it now).</span> <span title="" class="">I see

          no reason why this support could not be realized in Unbound.</span></span></p>

    <p><span class="tlid-translation translation"><span title=""

          class="">Actually, I do not insist.</span> <span title=""

          class="">I just asked a question.</span> <span title=""

          class="">I was not going to give lectures or teach anyone at

          all.</span> <span title="" class="">In principle, I do not

          care enough whether there will be support or not.</span> <span

          title="" class="">I just think that "it would be nice to have"

          rather than "we will never do it, because personally we do not

          see <b>strong enough</b> reason for doing this."</span> <span

          title="" class=""><br>

        </span></span></p>

    <p><span class="tlid-translation translation"><span title=""

          class="">That’s all.</span></span></p>

    <p><span class="tlid-translation translation"><span title=""

          class="">Thank you.</span></span><br>

      <span class="tlid-translation translation"><span title="" class=""></span></span></p>

    <p><span class="tlid-translation translation"><span title=""

          class=""></span></span></p>

    <blockquote type="cite"

      cite="mid:5FDD3F9D-3E4F-43E5-90F5-57D19B9D6DF5@hopcount.ca">

      <pre class="moz-quote-pre" wrap="">

Joe

</pre>

    </blockquote>

    <pre class="moz-signature" cols="72">-- 

"C++ seems like a language suitable for firing other people's legs."

*****************************

* C++20 : Bug to the future *

*****************************</pre>

  </body>

</html>