[linux] vhodny dns server pre organizaciu

Martin Kyrc martin.kyrc na gmail.com
Pondělí Říjen 12 15:53:07 CEST 2015 

Ahoj,
dnsdist vyzera dobre. Robi to co potrebujem, no ma to aj funkcionalitu 
ktoru vobec nepotrebujem.

Problem vidim v tom, ze je to relativne mlade riesenie a nie som si isty 
ci je vhodne s nim ist do produkcie. Skor nie. Zaroven je to velmi 
biedne zdokumentovane, co mi prekaza asi najviac. Doteraz som sa 
nedopatral, ako v konfiguracnom subore zadefinovat napr. 'listening' ip 
adresu:port. Jeho zmena v /etc/default/dnsdist je ok, ale ked restartnem 
proces, konfiguracia sa cita z ineho konfigu 
(/etc/dnsdist/dnsdist.conf), pricom sa ignoruje nastavenie v /etc/defaults/.

Nenapada niekoho aj nejaka ina, overena, alternativa pre 'dns delivery' 
(idealne s moznostou load-balancingu, kontrolu funkcnosti sluzby 
povazujem za samozrejmost)? Vyzadujem iba smerovanie dns requestu na 
zaklade src ip smerom na cielovy dns server (split-horizon pre dns robim 
na dvoch instanciach toho isteho dns servera - powerdns).

mk

riki wrote on 1.10.2015 20:59:
> Ahoj,
>
> oddelil by som rekurzor od autoritativneho servera, ak pojde nejaky utok
> cez/alebo na tvoje rekurzory tak autoritativne budu fungovat normalne.
> Oddelit na samostatne procesy velakrat staci.
>
> Ako interny master je celkom funkcna kombinacia
> poweradmin/powerdns-authoritative. Zony si dalej vies rozdistribuovat
> cez standardny notify/axfr(ixfr) mechanizmus.
>
> Split horizon ako je naimplementovany v binde nie je dobry napad kvoli
> tomu ze sa vylucuje z DNSSEC, resp. takuto zonu doveryhodne nepodpises.
>
> Mozes pouzit http://dnsdist.org/ ktorym nasmerujes cez poolRule podla
> zdrojovych adries requesty na ktore chces servovat ine view na taky
> server ktory ho ma spravne (staci ked je takato instancia na inom porte
> na existujucom rekurzore).
>
> Ako autoritativny server vies potom pouzit kludne aj KnotDNS, je
> napisany celkom pekne (ak je BIND benchmark, vsetko je napisane pekne).
>
> Ak chces dalsie napady, poklikaj si v tomto benchmarku, mozno najdes
> nieco dalsie co ti vyhovuje
>
> https://www.knot-dns.cz/pages/benchmark.html
>
> Ak chces performance reporting z rekurzorov, tak sa ti vyber celkom zuzi
> :).
>
> r.

Další informace o konferenci linux