Heres how it was done at my place or work by one of our engineers.<div><br></div><div><a href="http://users.on.net/~rmibus/pymds/">http://users.on.net/~rmibus/pymds/</a><br dir="ltr"><br>On Tuesday, September 25, 2012, Marco d&#39;Itri  wrote:<br>
<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">On Sep 25, Tony Finch &lt;<a href="javascript:;" onclick="_e(event, &#39;cvml&#39;, &#39;dot@dotat.at&#39;)">dot@dotat.at</a>&gt; wrote:<br>

<br>
&gt; &gt; With BIND you can easily limit non-authenticated updates to the IP<br>
&gt; &gt; itself or to the network. This is not perfect, but it may be good enough<br>
&gt; &gt; for consumer networks.<br>
&gt; In particular the tcp-self option is relatively tricky to spoof.<br>
&gt; <a href="ftp://ftp.isc.org/isc/bind9/cur/9.9/doc/arm/Bv9ARM.ch06.html#dynamic_update_policies" target="_blank">ftp://ftp.isc.org/isc/bind9/cur/9.9/doc/arm/Bv9ARM.ch06.html#dynamic_update_policies</a><br>
It is provably impossible to spoof if your network is designed correctly<br>
(customers are not able to spoof other customers and no packets from<br>
your own address space are accepted from the outside).<br>
The problem with self-ip authorization is that on multiuser systems<br>
any unautorized non-priviledged user could change the rDNS unless<br>
precations (UID-based filtering) are taken.<br>
But I believe that this is a reasonable tradeoff for consumer networks.<br>
<br>
--<br>
ciao,<br>
Marco<br>
</blockquote></div><span></span>