<div dir="ltr"><div dir="ltr"><br></div><br><div class="gmail_quote"><div dir="ltr" class="gmail_attr">On Fri, Feb 11, 2022 at 10:21 AM Tim Daneliuk via bind-users <<a href="mailto:bind-users@lists.isc.org">bind-users@lists.isc.org</a>> wrote:<br></div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex"><br>
After some months of poking around, we are now certain that our so-called "Business"<br>
service from Comcast is compromising our DNS servers because of their<br>
execrable "Security Edge" garbage.  (They are willing to remove this 'service'<br>
only if we are willing to incur a higher monthly recurring fee.)<br>
<br></blockquote><div><br></div><div>According to "the Internet" (aka, some random reddit thread), there is a way to disable this:</div><div><a href="https://www.reddit.com/r/networking/comments/fl0ujm/xfinity_secureedge_for_business_transparently/">https://www.reddit.com/r/networking/comments/fl0ujm/xfinity_secureedge_for_business_transparently/</a><br></div><div><br></div><div>It did not *look* like this required changing service / a higher fee, but ...</div><div><br></div><div>W</div><div> </div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex">
Our master is in the wild and works fine, but the slave is behind the compromised<br>
Comcast pipe.  The effect of having Security Edge in place is that the<br>
slave cannot get updates from the master and is also unable to resolve<br>
anything outside our own zone.   Comcast is apparently hijacking all port<br>
53 requests and doing unspeakable things with them.<br>
<br>
Is there a way to have these servers work as usual, listening to resolution<br>
request on port 53, but have the slave update AND forward requests to the<br>
master over a non-standard port, so as to work around the Comcast madness?<br>
<br>
TIA,<br>
Tim<br>
<br>
P.S. My guess is that this so-call "security" service is no such thing, or at<br>
      least its not the only thing.  They are probably harvesting DNS lookups<br>
      to sell as marketing data, or at least that would be my first guess.<br>
-- <br>
Visit <a href="https://lists.isc.org/mailman/listinfo/bind-users" rel="noreferrer" target="_blank">https://lists.isc.org/mailman/listinfo/bind-users</a> to unsubscribe from this list<br>
<br>
ISC funds the development of this software with paid support subscriptions. Contact us at <a href="https://www.isc.org/contact/" rel="noreferrer" target="_blank">https://www.isc.org/contact/</a> for more information.<br>
<br>
<br>
bind-users mailing list<br>
<a href="mailto:bind-users@lists.isc.org" target="_blank">bind-users@lists.isc.org</a><br>
<a href="https://lists.isc.org/mailman/listinfo/bind-users" rel="noreferrer" target="_blank">https://lists.isc.org/mailman/listinfo/bind-users</a><br>
</blockquote></div><br clear="all"><div><br></div>-- <br><div dir="ltr" class="gmail_signature"><div dir="ltr">The computing scientist’s main challenge is not to get confused by the<br>complexities of his own making. <br>  -- E. W. Dijkstra</div></div></div>