[linux] vhodny dns server pre organizaciu

[Martin Kyrc]

dakujem riki za tip(y). oddelit autoritativny od rekurzora je v celku 
rozumne riesenie, hoc len nad roznymi procesmi (priznam, nenapadlo ma). 
dnsdist je to co potrebujem. prilis vysoky performance vzhladom na 
prepokladany ucel nebude potrebny, tak mam na vyber :).

este raz dik,
mk

riki wrote on 1.10.2015 20:59:
> Ahoj,
>
> oddelil by som rekurzor od autoritativneho servera, ak pojde nejaky utok
> cez/alebo na tvoje rekurzory tak autoritativne budu fungovat normalne.
> Oddelit na samostatne procesy velakrat staci.
>
> Ako interny master je celkom funkcna kombinacia
> poweradmin/powerdns-authoritative. Zony si dalej vies rozdistribuovat
> cez standardny notify/axfr(ixfr) mechanizmus.
>
> Split horizon ako je naimplementovany v binde nie je dobry napad kvoli
> tomu ze sa vylucuje z DNSSEC, resp. takuto zonu doveryhodne nepodpises.
>
> Mozes pouzit http://dnsdist.org/ ktorym nasmerujes cez poolRule podla
> zdrojovych adries requesty na ktore chces servovat ine view na taky
> server ktory ho ma spravne (staci ked je takato instancia na inom porte
> na existujucom rekurzore).
>
> Ako autoritativny server vies potom pouzit kludne aj KnotDNS, je
> napisany celkom pekne (ak je BIND benchmark, vsetko je napisane pekne).
>
> Ak chces dalsie napady, poklikaj si v tomto benchmarku, mozno najdes
> nieco dalsie co ti vyhovuje
>
> https://www.knot-dns.cz/pages/benchmark.html
>
> Ak chces performance reporting z rekurzorov, tak sa ti vyber celkom zuzi
> :).
>
> r.
>
>
> On 10/01/2015 12:03 PM, Martin Kyrc wrote:
>> Ahojte,
>> stojim pred ulohou vyberu vhodneho DNS riesenia pre vacsiu organizaciu
>> (radovo 100-ky/1000-ky pouzivatelov vo wan) s nasledovnymi poziadavkami:
>> - opensource, free, nie mrtvy projekt
>> - Autoritativny DNS urceny pre vsetky domeny podriadenych organizacii,
>> radovo 10-ky az 100-ky domen (master v primarnom dc, slave v sekundarnom
>> dc)
>> - Split DNS (rozne odpovede na zaklade zdroja poziadavky)
>> - Recursing + Cache
>> - DNSSEC (volitelne)
>> - IPv6 (volitelne)
>>
>> ine poziadavky ktore su preferovane:
>> - ako backend preferujem mysql
>> - web gui s moznostou riadenia pristupu/zmene udajov pre adminov na
>> urovni domeny
>> - rad by som cital nejake data z prevadzky dns sluzby do reportingu
>> (napr. cez snmp)
>>
>> do uzsieho vyberu som dostal:
>>
>> BIND9
>> - klasika. vie to vsetko co potrebujem akurat...
>> - performance je o cosi horsia (mozno to nemusim riesit).
>> - neviem ako je to s mysql backendom a web gui. nikdy som doteraz
>> nepotreboval. poradte.
>>
>> PowerDNS
>> - vysoka performance, minimalne zatazujuci systemove zdroje
>> - mysql, webgui (poweradmin)
>> - nevie Split DNS (aspon som nenasiel ze to vie, v backend databaze som
>> nenasiel ziadnu tabulku ktora by davala moznost ze by to pdns mal vediet)
>>
>> ostatne ktore som pozeral maju nejake obmedzenie.
>> cele to bude prevadzkovane na aktualnej distr. ubuntu server lts, v
>> dvoch nezavislych dc.
>>
>> ktore riesenie by ste mi doporucili? s cim mate dobre skusenosti?
>> (nemusi byt nutne bind/pdns)
>>
>> dakujem,
>> martin