[linux] vhodny dns server pre organizaciu

riki phobie na axfr.org
Čtvrtek Říjen 1 20:59:34 CEST 2015 

Ahoj,

oddelil by som rekurzor od autoritativneho servera, ak pojde nejaky utok 
cez/alebo na tvoje rekurzory tak autoritativne budu fungovat normalne. 
Oddelit na samostatne procesy velakrat staci.

Ako interny master je celkom funkcna kombinacia 
poweradmin/powerdns-authoritative. Zony si dalej vies rozdistribuovat 
cez standardny notify/axfr(ixfr) mechanizmus.

Split horizon ako je naimplementovany v binde nie je dobry napad kvoli 
tomu ze sa vylucuje z DNSSEC, resp. takuto zonu doveryhodne nepodpises.

Mozes pouzit http://dnsdist.org/ ktorym nasmerujes cez poolRule podla 
zdrojovych adries requesty na ktore chces servovat ine view na taky 
server ktory ho ma spravne (staci ked je takato instancia na inom porte 
na existujucom rekurzore).

Ako autoritativny server vies potom pouzit kludne aj KnotDNS, je 
napisany celkom pekne (ak je BIND benchmark, vsetko je napisane pekne).

Ak chces dalsie napady, poklikaj si v tomto benchmarku, mozno najdes 
nieco dalsie co ti vyhovuje

https://www.knot-dns.cz/pages/benchmark.html

Ak chces performance reporting z rekurzorov, tak sa ti vyber celkom zuzi :).

r.


On 10/01/2015 12:03 PM, Martin Kyrc wrote:
> Ahojte,
> stojim pred ulohou vyberu vhodneho DNS riesenia pre vacsiu organizaciu
> (radovo 100-ky/1000-ky pouzivatelov vo wan) s nasledovnymi poziadavkami:
> - opensource, free, nie mrtvy projekt
> - Autoritativny DNS urceny pre vsetky domeny podriadenych organizacii,
> radovo 10-ky az 100-ky domen (master v primarnom dc, slave v sekundarnom
> dc)
> - Split DNS (rozne odpovede na zaklade zdroja poziadavky)
> - Recursing + Cache
> - DNSSEC (volitelne)
> - IPv6 (volitelne)
>
> ine poziadavky ktore su preferovane:
> - ako backend preferujem mysql
> - web gui s moznostou riadenia pristupu/zmene udajov pre adminov na
> urovni domeny
> - rad by som cital nejake data z prevadzky dns sluzby do reportingu
> (napr. cez snmp)
>
> do uzsieho vyberu som dostal:
>
> BIND9
> - klasika. vie to vsetko co potrebujem akurat...
> - performance je o cosi horsia (mozno to nemusim riesit).
> - neviem ako je to s mysql backendom a web gui. nikdy som doteraz
> nepotreboval. poradte.
>
> PowerDNS
> - vysoka performance, minimalne zatazujuci systemove zdroje
> - mysql, webgui (poweradmin)
> - nevie Split DNS (aspon som nenasiel ze to vie, v backend databaze som
> nenasiel ziadnu tabulku ktora by davala moznost ze by to pdns mal vediet)
>
> ostatne ktore som pozeral maju nejake obmedzenie.
> cele to bude prevadzkovane na aktualnej distr. ubuntu server lts, v
> dvoch nezavislych dc.
>
> ktore riesenie by ste mi doporucili? s cim mate dobre skusenosti?
> (nemusi byt nutne bind/pdns)
>
> dakujem,
> martin
>
> _______________________________________________
> https://lists.linux.sk/mailman/listinfo/linux
> Meta FAQ: http://www.sklug.sk/lists/linux/metafaq.html

Další informace o konferenci linux