[Lista ArNOG] Fw: DNS resolver en Argentina (Guillermo Javier Nardoni - IP愛ED)

Guillermo Javier Nardoni - IP愛ED gnardoni en ipred.com.ar
Sab Oct 15 01:04:48 ART 2016


Estimados, buenas noches:

 

Atento a que han solicitado varios colegas, lo paso a la lista.

 

 

Primeramente, nosotros virtualizamos con KVM y las librer燰s libvirt. Utilizamos VirtIO como controladores, sin embargo, los discos los hacemos con formato raw para que sean f塶ilmente migrables entre diferentes plataformas.

La imagen que les indico a continuaci鏮 utiliza UUID para montar los discos/particiones, por lo cual deber燰n de poder montarse autom嫢icamente sin ningn tipo de inconvenientes.

En caso de que esto no suceda, la estructura del disco es la siguiente:

/dev/vda1 --> se monta en /boot

/dev/vda2 --> swap

/dev/vda3 --> se monta en /

 

Para ello tienen que iniciar en modo recovery se loguean y modifican el archivo /etc/fstab para montar las particiones segn la estructura.

 

Claro est que todo esto es siempre y cuando no monte las particiones autom嫢icamente.

 

Los datos de login son los siguientes:

Usuario: root

Password: fogonazo

 

Usuario sin privilegio:

Ususario: usuario

Password: fogonazo!

 

Tipo de conectividad: DHCP.

Distro Linux: Debian 8 (Jessie)

 

/etc/bind est toda la configuraci鏮 del BIND.

named.conf --> allí es donde se incluyen los archivos de configuración. En principio la única modificación que tiene este archivo es la línea include “/etc/bind/bind.keys”;, esta, teóricamente no es necesaria ya que viene hard-coded con el mismo BIND; no obstante ello, para estar seguro, se puede forzar la inclusión. El archivo bind.keys es donde se encuentran los anchors de la root-zone que por defecto deberían de estar actualizados.

El archivo lo pueden descargar de: http://www.ipred.com.ar/descargas/CyF/named.conf 

named.conf.options --> all es donde est la ACL para filtrar las redes que quieren que utilicen dicho servidor en modo recursivo; el resto es rechazado autom嫢icamente ya que solamente permite recursividad a esa ACL, por lo tanto deber嫕 prestar atenci鏮 a las subredes que definen all dentro. Yo inclu en ella el RFC1918 (10.0.0.0/8 172.16.0.0/12 192.168.0.0/16) y el RFC6598 (Carrier-Grade NAT)  (100.64.0.0/10)

El archivo lo pueden descargar de: http://www.ipred.com.ar/descargas/CyF/named.conf.options

 

 

En /var/log/named/* vas a encontrar todos los logs separados por channels.

 

Imagen del disco comprimida: http://www.ipred.com.ar/descargas/CyF/dns1-chispita.img.tar.gz --> 40Gb descomprimida.-

Ac est el HowTo (canal de youtube): https://www.youtube.com/watch?v=xkIGHNWLnsc

Por ltimo, un poco de data, aunque es m嫳 de lo mismo: http://www.ipred.com.ar/descargas/CyF/dns-DNSSEC.pdf

 

Respecto a los recursos, en nuestro caso con 512 de ram, 2 nucleos, hasta ahora no hemos tenido inconvenientes de ningn tipo para abastecer a 2000 clientes.-

 

 

IMPORTANTE: A aquellos colegas que les envi el mail por privado, volver a bajar los archivos named.conf.options y named.conf. Los mismos se encontraban desactualizados.-

 

Cualquier cosa que me haya olvidado, a disposici鏮.

Espero les sea de utilidad.

 

 

Saludos cordiales

Guillermo 

 

 

 

De: lista-bounces en arnog.com.ar [mailto:lista-bounces en arnog.com.ar] En nombre de Juan Janczuk
Enviado el: viernes, 14 de octubre de 2016 5:27 p. m.
Para: lista en arnog.com.ar
Asunto: Re: [Lista ArNOG] Fw: DNS resolver en Argentina (Guillermo Javier Nardoni - IP愛ED)

 

Guillermo, me sumo al pedido del colega...

Desde ya, mi agradecimiento!

Saludos.
Juan.

  _____  

De: "Edwin Salazar" <edwin.salazar en ixp.ec <mailto:edwin.salazar en ixp.ec> >
Para: lista en arnog.com.ar <mailto:lista en arnog.com.ar> 
Enviados: Jueves, 13 de Octubre 2016 16:10:28
Asunto: Re: [Lista ArNOG]        Resumen de Lista, Vol 82, Env甐 6

Guillermo,

 

Muy interesante tu aporte, por favor podr燰s compartir la imagen virtual? 

 

De antemano gracias. 

Saludos cordiales,





Edwin Salazar. 
CEO WiFiTeleCoM
Pbx: (07) 2817-820 <tel:(07)%202817-820> 
Cel: (09) 93080-208 <tel:(09)%2093080-208> 
edwin.salazar en wifitelecom.ec <mailto:edwin.salazar en wifitelecom.ec> 


El 13 oct. 2016, a las 12:54, lista-request en arnog.com.ar <mailto:lista-request en arnog.com.ar>  escribi:

Env獯 los mensajes para la lista Lista a
   lista en arnog.com.ar <mailto:lista en arnog.com.ar> 

Para subscribirse o anular su subscripci鏮 a trav廥 de la WEB
   http://mailmancabase.interdotnet.com.ar/mailman/listinfo/lista

O por correo electr鏮ico, enviando un mensaje con el texto "help" en
el asunto (subject) o en el cuerpo a:
   lista-request en arnog.com.ar <mailto:lista-request en arnog.com.ar> 

Puede contactar con el responsable de la lista escribiendo a:
   lista-owner en arnog.com.ar <mailto:lista-owner en arnog.com.ar> 

Si responde a algn contenido de este mensaje, por favor, edite la
linea del asunto (subject) para que el texto sea mas especifico que:
"Re: Contents of Lista digest...". Adem嫳, por favor, incluya en la
respuesta s鏊o aquellas partes del mensaje a las que est
respondiendo.


Asuntos del d燰:

  1. Re:  DNS resolver en Argentina (Guillermo Javier Nardoni - IP愛ED)


----------------------------------------------------------------------

Message: 1
Date: Thu, 13 Oct 2016 12:22:24 -0300
From: Guillermo Javier Nardoni - IP愛ED    <gnardoni en ipred.com.ar <mailto:gnardoni en ipred.com.ar> >
To: <lista en arnog.com.ar <mailto:lista en arnog.com.ar> >, <noc.hernan en cabase.org.ar <mailto:noc.hernan en cabase.org.ar> >, 'Guillermo
   Javier Nardoni - IP愛ED'    <gnardoni en ipred.com.ar <mailto:gnardoni en ipred.com.ar> >
Subject: Re: [Lista ArNOG] DNS resolver en Argentina
Message-ID:
   <!&!AAAAAAAAAAAuAAAAAAAAAMEDH6RAiylIj1BMKDLJ8ewBAMO2jhD3dRHOtM0AqgC7tuYAAAAAAA4AABAAAACCsDw3TB1BR55Q+OLFaN76AQAAAAA=@ipred.com.ar <mailto:AAAAAAAAAAAuAAAAAAAAAMEDH6RAiylIj1BMKDLJ8ewBAMO2jhD3dRHOtM0AqgC7tuYAAAAAAA4AABAAAACCsDw3TB1BR55Q+OLFaN76AQAAAAA=@ipred.com.ar> >
   
Content-Type: text/plain; charset="iso-8859-1"

Hern嫕, buenas:



Los DNS de Google (8.8.8.8 y 8.8.4.4) cumplen con toda esa definici鏮. Como
duda me queda la implementaci鏮 de DNSSEC.



Lo que se observa cuando uno utiliza esos DNS, es que cuando hay algn
inconveniente de conectividad X, y uno accede a ellos por otra v燰
secundaria, los mismos siguen resolviendo ciertos destinos a las mismas IPs,
que al presentarse el inconveniente de conectividad no se tiene acceso. 

Eso en principio ser燰 normal ya que los DNS no tienen problema de
conectividad; sin embargo, para quienes los utilizan, no pueden acceder a a
esos destinos. Se puede observar este comportamiento con las GGC.



En nuestro caso, y en los de varios colegas, implementamos 2 servidores
virtualizados que cumplen EXACTAMENTE con todos los requerimientos abajo
planteados. 

Dejamos de depender de terceros y nunca m嫳 tuvimos problemas de resoluci鏮.
Como corolario, solo permitimos la recursi鏮 a nuestra red y las redes de
nuestros colegas que nos redundamos por si hay que hacer mantenimiento en
simult嫕eo. 





Espero sirva.

p.d. Tenemos la imagen de la virtual para el que la necesite.



Slds.-

Guillermo 



De: lista-bounces en arnog.com.ar <mailto:lista-bounces en arnog.com.ar>  [mailto:lista-bounces en arnog.com.ar] En nombre
de Hernan Moguilevsky - NOC CABASE
Enviado el: jueves, 13 de octubre de 2016 10:05 a. m.
Para: lista en arnog.com.ar <mailto:lista en arnog.com.ar> 
Asunto: [Lista ArNOG] DNS resolver en Argentina



Gente,



Me lleg una consulta y la comparto para ver si alguien la sabe:



“Por favor, ¿me podrían decir cuáles son los servidores de DNS, recursivos y
de pblico acceso desde cualquier ISP de Argentina, que existen actualmente
en nuestro pa疄 -que est幯 ubicados geogr塻icamente en Argentina-  y que
además también tengan implementado DNSSEC?.”



Habr algn trabajo sobre esto?



Gracias.



Saludos.






Hernan Moguilevsky
NOC CABASE

C嫥ara Argentina de Internet
Suipacha 128 - 3 "F" - Tel: (5411) 5263-7456 ext. 109
noc.hernan en cabase.org.ar <mailto:noc.hernan en cabase.org.ar>  <mailto:noc.hernan en cabase.org.ar>  
www.cabase.org.ar <http://www.cabase.org.ar>  <http://www.cabase.org.ar/> 


 <http://www.facebook.com/CabaseAr/>   <http://twitter.com/CabaseAr>
<http://www.linkedin.com/company/562172?trk=tyah <http://www.linkedin.com/company/562172?trk=tyah&trkInfo=clickedVertical:com> &trkInfo=clickedVertical:com
pany,clickedEntityId:562172,idx:2-1-2,tarId:1454513596509,tas:cabase>  


No me imprimas si no es necesario. Protejamos el medio ambiente





------------ pr闛ima parte ------------
Se ha borrado un adjunto en formato HTML...
URL: <http://mailmancabase.interdotnet.com.ar/pipermail/lista/attachments/20161013/a73fb77e/attachment.html>
------------ pr闛ima parte ------------
A non-text attachment was scrubbed...
Name: image001.png
Type: image/png
Size: 130826 bytes
Desc: no disponible
URL: <http://mailmancabase.interdotnet.com.ar/pipermail/lista/attachments/20161013/a73fb77e/attachment.png>
------------ pr闛ima parte ------------
A non-text attachment was scrubbed...
Name: image002.png
Type: image/png
Size: 1214 bytes
Desc: no disponible
URL: <http://mailmancabase.interdotnet.com.ar/pipermail/lista/attachments/20161013/a73fb77e/attachment-0001.png>
------------ pr闛ima parte ------------
A non-text attachment was scrubbed...
Name: image003.png
Type: image/png
Size: 1214 bytes
Desc: no disponible
URL: <http://mailmancabase.interdotnet.com.ar/pipermail/lista/attachments/20161013/a73fb77e/attachment-0002.png>
------------ pr闛ima parte ------------
A non-text attachment was scrubbed...
Name: image004.png
Type: image/png
Size: 1210 bytes
Desc: no disponible
URL: <http://mailmancabase.interdotnet.com.ar/pipermail/lista/attachments/20161013/a73fb77e/attachment-0003.png>
------------ pr闛ima parte ------------
A non-text attachment was scrubbed...
Name: image005.gif
Type: image/gif
Size: 1001 bytes
Desc: no disponible
URL: <http://mailmancabase.interdotnet.com.ar/pipermail/lista/attachments/20161013/a73fb77e/attachment.gif>

------------------------------

_______________________________________________
Lista mailing list
Lista en arnog.com.ar <mailto:Lista en arnog.com.ar> 
http://mailmancabase.interdotnet.com.ar/mailman/listinfo/lista


Fin de Resumen de Lista, Vol 82, Env甐 6
****************************************


_______________________________________________
Lista mailing list
Lista en arnog.com.ar <mailto:Lista en arnog.com.ar> 
http://mailmancabase.interdotnet.com.ar/mailman/listinfo/lista




-- 
  <http://webmail.gigared.com.ar/home/jjanczuk@gigared.com.ar/Briefcase/logogiga.jpg> 
Juan Janczuk
NOC
Gigared S.A.
Donado 840 – C1427CZB
Ciudad Aut鏮oma de Buenos Aires
Tel.: (5411)6040.6000
www.gigared.com.ar <http://www.gigared.com.ar/>  




------------ pr闛ima parte ------------
Se ha borrado un adjunto en formato HTML...
URL: <http://mailmancabase.interdotnet.com.ar/pipermail/lista/attachments/20161015/5af42860/attachment-0001.html>
------------ pr闛ima parte ------------
A non-text attachment was scrubbed...
Name: dns2-log-dnssec.png
Type: image/png
Size: 152377 bytes
Desc: no disponible
URL: <http://mailmancabase.interdotnet.com.ar/pipermail/lista/attachments/20161015/5af42860/attachment-0002.png>
------------ pr闛ima parte ------------
A non-text attachment was scrubbed...
Name: dns1-log-dnssec.png
Type: image/png
Size: 135252 bytes
Desc: no disponible
URL: <http://mailmancabase.interdotnet.com.ar/pipermail/lista/attachments/20161015/5af42860/attachment-0003.png>


M嫳 informaci鏮 sobre la lista de distribuci鏮 Lista