[Lista ArNOG] DNS propios
Juan Martin Runge
jmrunge en gmail.com
Lun Dic 2 21:01:13 -03 2019
Guillermo, Mariano,
Gracias por los consejos y experiencias! Le voy a pegar una mirada a los
links que me pasaron. Muy piola tener una idea de requerimiento de harware,
la verdad pense que necesitaba mucho mas fierro para el DNS resolver... Te
pediria Guillermo si me podes decir cuantos cores y de cuanto le tenes
asignado a ese servidor. Como todavia no tengo granja de virtuales (y creo
que falta para que la tenga), la idea seria poner un server fisico para
esto, algo modesto si es posible.
Saludos,
Juan Martin
El vie., 29 nov. 2019 a las 16:40, Mariano Absatz - gmail (<
el.baby en gmail.com>) escribió:
> OK, trato de buscar algun tutorial piola.
>
> Otro servidor interesante (para el caso del resolver) es un producto que
> hace la gente de PowerDNS que se llama *dnsdist*. Yo no lo usé nunca,
> pero un amigo que armó granjas de resolvers para grandes proveedorees lo
> usa.
>
> Básicamente, es una especie de "*load balancer*" para (resolución) DNS
> que te permite distribuir las consultas entre servidores que podrían estar
> más o menos cargados, o, si detectás un comportamiento abusivo, hacerle
> rate limiting o derivarlo a algunos servidores en particular, etc. No lo
> encararía desde el principio, pero le pegaría una mirada:
> https://dnsdist.org/
>
> Con respecto al sizing, supongo que la gente que opere ISPs te podrá dar
> alguna idea. Yo no opero servidores :-)
>
> Saludos.
>
>
> Mariano Absatzwww.clueless.com.ar
>
> On 29/11/2019 14:21, Juan Martin Runge wrote:
>
> Mariano y Ariel,
> Muchas gracias por ambas respuestas. Yendo a la consulta de Mariano, lo
> que necesito es resolución DNS para mis clientes de internet. Con respecto
> a la documentación y/o tutoriales, pueden ser en inglés tranquilamente,
> estoy acostumbrado. Ahora me voy a poner a leer un poco los que ya me
> enviaron. En cuanto a fierro, qué me recomiendan para atender bien y sin
> demoras a unos 15.000 clientes (hoy tenemos 5.000, pero apuntamos a esa
> cifra para los próximos 2 años)?
>
> Saludos a todos y buen fin de semana!
>
> Juan Martin
>
> El vie., 29 nov. 2019 a las 12:37, Mariano Absatz - gmail (<
> el.baby en gmail.com>) escribió:
>
>>
>> On 26/09/2019 15:57, Juan Martin Runge wrote:
>>
>> Estimados,
>> Ahora molesto con otra consulta... Estaría necesitando armar mis propios
>> DNS. Qué hardware y software me podrían recomendar para esto? Algún link
>> donde pueda leer algo al respecto? La verdad tengo cero experiencia en DNS
>> y estoy como que no se por donde empezar...
>>
>> Hola Juan Martín,
>>
>> lo primero que tenés que ver es qué querés decir con "armar mis propios
>> DNS".
>>
>> Una de las mayores dificultades para entender cómo funciona el DNS es que
>> DNS son varias cosas y, en principio, *2 servicios distintos*:
>>
>> 1. *Publicación* DNS: Este es el servicio de publicar datos en el DNS
>> (por ejemplo, decir que *tu* página web (o de tus clientes de
>> hosting) está en tal IP o que los mails para *tu* dominio (o de los
>> dominios de tus clientes de hosting) deben ser enviados a tales servidores.
>> Esto es lo que se llama *DNS autoritativo*.
>> 2. *Resolución* DNS: Este es el servicio de buscar en toda la
>> jerarquía distribuida del DNS de todo el mundo todas las cosas que
>> necesiten tus usuarios (ya sea la gente que labura en tu empresa o,
>> principalmente, tus clientes de *conectividad*). Esto se suele llamar *DNS
>> recursivo* o *iterativo*.
>>
>> Pensá que si bien ambos servicios pueden ser servicios que vos le brindás
>> a tus clientes, los servicios están asociados a distintos productos que le
>> vendés a tus clientes.
>>
>> El DNS autoritativo se lo brindás al cliente que te contrata un hosting
>> (web, mail, etc).
>>
>> El DNS iterativo se lo brindás al cliente que te contrata conectividad.
>>
>>
>> Si bien algunos servidores DNS te permiten dar ambos servicios (e.g: BIND
>> o Microsoft), resistí, *por todos los medios*, brindarlos en conjunto.
>> Hace años (décadas) que se recomienda no hacer esto (salvo en algunos casos
>> muy pequeños, nunca en un ámbito de un proveedor de servicios).
>>
>>
>> Si bien BIND es el más conocido y desarrollado (y las últimas versiones
>> son bastante seguras y performantes), suele ser bastante complejo de
>> configurar. En parte porque, como te decía más arriba, brinda los dos
>> servicios, y por otro lado, porque al ser la implementación "de referencia"
>> de los RFCs, implementa todas las cosas jamás inventadas sobre el DNS, aún
>> las que casi nadie utiliza. El 90% de los ISPs necesita cosas bastante
>> simples para ambos servicios.
>>
>>
>> La verdad es que no tengo ahora a mano links piolas para armar los
>> distintos entornos (menos en castellano), pero dejame que al menos te
>> apunte a las variantes de servidores abiertos que brindan cada uno de los
>> dos servicios.
>> DNS Autoritativo:
>>
>> BIND https://www.isc.org/bind/
>>
>> PowerDNS Authoritative Server https://www.powerdns.com/auth.html
>>
>> NSD https://www.nlnetlabs.nl/projects/nsd/about/
>>
>> Knot DNS https://www.knot-dns.cz/
>> DNS Iterativo:
>>
>> BIND https://www.isc.org/bind/
>>
>> PowerDNS Recursor https://www.powerdns.com/recursor.html
>>
>> Unbound https://nlnetlabs.nl/projects/unbound/about/
>>
>> Knot Resolver https://www.knot-resolver.cz/
>>
>>
>>
>> Mariano Absatzwww.clueless.com.ar
>>
>>
>>
------------ próxima parte ------------
Se ha borrado un adjunto en formato HTML...
URL: <http://mailmancabase.interdotnet.com.ar/pipermail/lista/attachments/20191202/439affd9/attachment-0001.html>
Más información sobre la lista de distribución Lista