Heres how it was done at my place or work by one of our engineers.<div><br></div><div><a href="http://users.on.net/~rmibus/pymds/">http://users.on.net/~rmibus/pymds/</a><br dir="ltr"><br>On Tuesday, September 25, 2012, Marco d'Itri  wrote:<br>
<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">On Sep 25, Tony Finch <<a href="javascript:;" onclick="_e(event, 'cvml', 'dot@dotat.at')">dot@dotat.at</a>> wrote:<br>

<br>
> > With BIND you can easily limit non-authenticated updates to the IP<br>
> > itself or to the network. This is not perfect, but it may be good enough<br>
> > for consumer networks.<br>
> In particular the tcp-self option is relatively tricky to spoof.<br>
> <a href="ftp://ftp.isc.org/isc/bind9/cur/9.9/doc/arm/Bv9ARM.ch06.html#dynamic_update_policies" target="_blank">ftp://ftp.isc.org/isc/bind9/cur/9.9/doc/arm/Bv9ARM.ch06.html#dynamic_update_policies</a><br>
It is provably impossible to spoof if your network is designed correctly<br>
(customers are not able to spoof other customers and no packets from<br>
your own address space are accepted from the outside).<br>
The problem with self-ip authorization is that on multiuser systems<br>
any unautorized non-priviledged user could change the rDNS unless<br>
precations (UID-based filtering) are taken.<br>
But I believe that this is a reasonable tradeoff for consumer networks.<br>
<br>
--<br>
ciao,<br>
Marco<br>
</blockquote></div><span></span>