<div dir="ltr"><div class="gmail_extra"><div><div class="gmail_signature" data-smartmail="gmail_signature"><br></div></div><div class="gmail_quote">On Wed, Nov 16, 2016 at 8:00 AM, Florian Weimer <span dir="ltr"><<a href="mailto:fweimer@redhat.com" target="_blank">fweimer@redhat.com</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><span class="">On 10/29/2016 11:06 AM, Phil Regnauld wrote:<br>
<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">
Mark Andrews (marka) writes:<br>
<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">
<br>
Thanks.  Firewall are the biggest problems at the moment.<br>
</blockquote>
<br>
        Firewalls in front of DNS servers still puzzle me.<br>
</blockquote>
<br></span>
If you want to run BIND, a packet filter in front of it currently is the only way to switch off processing of DNS UPDATE messages in BIND, so I can see why people do this.<span class="HOEnZb"><font color="#888888"><br>
<br>
Florian</font></span><div class="HOEnZb"><div class="h5"><br></div></div></blockquote><div><br></div><div>Why not just:</div><div>      allow-update { none; };</div><div>in BIND?</div><div>I would expect that to be not much work processing than what the firewall has to do, and less because of the overhead of the firewall.  And definitely less likely to break things - the filter in the firewall in likely to mis-categorize some packets it has not thought of.</div><div><br></div><div>-- </div><div>Bob Harold </div></div><br></div></div>