<html><head>
<meta content="text/html; charset=ISO-8859-1" http-equiv="Content-Type">
</head><body bgcolor="#FFFFFF" text="#000000">...<br>
<br>
nudge wrote:
<blockquote 
cite="mid:1360689326.12212.140661190436713.0802FF59@webmail.messagingengine.com"
 type="cite">
  <pre wrap="">...
</pre>
  <pre wrap=""><!---->
I'd gotten the impression that you were against basic firewall
rate-limiting in front of DNS servers for some reason.</pre>
</blockquote>
<br>
i'm opposed to treating that as a solution to the problem rrl solves, 
but i'm not otherwise or fundamentally opposed to doing it.<br>
<br>
<blockquote 
cite="mid:1360689326.12212.140661190436713.0802FF59@webmail.messagingengine.com"
 type="cite">
  <pre wrap="">So if a DNS server is considered capable of handling X qps it's useful
to firewall rate limit qps to X as protection from overload when it's
directly attacked. This higher limit doesn't affect RRL during
reflection or amplification attacks on others, the two being completely
different issues and rates. In some cases basic firewall rate limiting
may also be usefully applied to limit qps from an IP address block
without DNS response awareness and without affecting RRL functionality.
How am I doing ?
</pre>
</blockquote>
<br>
that's the stuff.<br>
<br>
paul<br>
</body></html>