[lacnog] [LAC-TF] CloudFlare Automatic IPv6 Gateway

[Eduardo Trápani]

> ¿Que opinan de la parte donde indican: "This allows us to route
> potentially malicious traffic to your site through our advanced
> filtering network and stop attackers before they reach your server"?

Leído dentro de esa pregunta se ve raro, porque uno piensa en tráfico 
de DNS.  Y para DNS se me hace medio raro el filtrado avanzado y 
reruteado del tráfico malicioso, porque de hecho contestan ellos.  A mí 
también se me levanta una ceja.

Pero están explicándole a otros usuarios, tal vez menos técnicos.  En 
lugar de contestar simplemente "lo necesitamos para resolver tus IPs a 
nuestra nube de proxies reversos" tienen que hacer esa otra cháchara.  
Entonces dicen: yo soy autoritativo, entonces mando todo el tráfico a 
mis súper servidores y contesto desde ahí, yendo a los servidores sólo 
si es necesario/deseable y ahorrándote tráfico y dolores de cabeza (como 
un buen proxy reverso con caching). Suena más tentador que el 
entrecomillado y refuerzan la idea de para qué sirve.

Como dice Carlos, debe ser mucho más mantenible recibir los DNS 
autoritativos que pedir a la gente que cambien en sus servidores los 
A/AAAA o CNAME, esperar a que se propague y estar respondiendo mientras 
tanto por qué no anda.  O sea, en ese contexto yo también pediría 
volverme autoritativo.

En resumen no hay nada raro.  Aunque esté en la pregunta de DNS el 
tráfico malicioso al que hacen referencia y el que van a filtrar y 
redirigir es el tráfico *web*.  Aunque obviamente, al resolver ellos por 
nosotros, si alguien intenta un DDos contra los servidores DNS van a 
estar atacándolos ellos y no a nosotros.  Eso viene de yapa, pero no 
creo que sea de lo que están hablando.

Eduardo.