[Lista ArNOG] DNS propios
Dario Fernandez
dfernandez en researchsrl.com.ar
Mie Dic 4 16:36:01 -03 2019
Nosotros tenemos para un grupo de 3000 clientes 2 unbound virtualizados,
como primario y secundario.
Los recursos en el caso de un servidor recursivo dependen más que nada de
cuanto queres guardar, en nuestro caso también lo usamos para filtrar
malware y dominios fraudulento, para lo que usamos pfsense, pero en
recursos tenemos lo siguiente 4Cores, 4GRam y 10GHD, eso resuelve alrededor
de 800 query por segundo cada uno.
pi-hole: Network-wide Ad Blocking
https://pi-hole.net -
https://github.com/pi-hole/pi-hole/#one-step-automated-install
pfSense: Firewall Open Source
https://pfsense.org -
https://docs.netgate.com/pfsense/en/latest/install/installing-pfsense.html
-
https://www.linuxincluded.com/block-ads-malvertising-on-pfsense-using-pfblockerng-dnsbl/
OPNsense: Fork derivado de pfSense (2015)
https://opnsense.org -
https://devinstechblog.com/block-ads-with-dns-in-opnsense/
Unbound: Validating, recursive, caching DNS resolver
https://nlnetlabs.nl/projects/unbound/about/ -
https://nlnetlabs.nl/documentation/unbound/howto-setup/ -
https://medium.com/@steffinstanly/unbound-dns-blocking-3567986a5735
dns-zone-blacklist: Genera archivos de zona para Bind, Unbound y Dnsmasq
https://github.com/oznu/dns-zone-blacklist -
StevenBlack/hosts: Listas de hosts para ser utilizadas, se actualizan con
frecuencia.
https://github.com/StevenBlack/hosts -
*Lic. Darío FernándezResearch SRL*
*Coord. Técnico IXP Posadas - CABASE(0376) 154619600 (Personal)(0376)
154254938 (Claro) Av. Tomas Guido 4435 - Posadas - Misiones*
El lun., 2 de dic. de 2019 a la(s) 21:01, Juan Martin Runge (
jmrunge en gmail.com) escribió:
> Guillermo, Mariano,
> Gracias por los consejos y experiencias! Le voy a pegar una mirada a los
> links que me pasaron. Muy piola tener una idea de requerimiento de harware,
> la verdad pense que necesitaba mucho mas fierro para el DNS resolver... Te
> pediria Guillermo si me podes decir cuantos cores y de cuanto le tenes
> asignado a ese servidor. Como todavia no tengo granja de virtuales (y creo
> que falta para que la tenga), la idea seria poner un server fisico para
> esto, algo modesto si es posible.
>
> Saludos,
>
> Juan Martin
>
> El vie., 29 nov. 2019 a las 16:40, Mariano Absatz - gmail (<
> el.baby en gmail.com>) escribió:
>
>> OK, trato de buscar algun tutorial piola.
>>
>> Otro servidor interesante (para el caso del resolver) es un producto que
>> hace la gente de PowerDNS que se llama *dnsdist*. Yo no lo usé nunca,
>> pero un amigo que armó granjas de resolvers para grandes proveedorees lo
>> usa.
>>
>> Básicamente, es una especie de "*load balancer*" para (resolución) DNS
>> que te permite distribuir las consultas entre servidores que podrían estar
>> más o menos cargados, o, si detectás un comportamiento abusivo, hacerle
>> rate limiting o derivarlo a algunos servidores en particular, etc. No lo
>> encararía desde el principio, pero le pegaría una mirada:
>> https://dnsdist.org/
>>
>> Con respecto al sizing, supongo que la gente que opere ISPs te podrá dar
>> alguna idea. Yo no opero servidores :-)
>>
>> Saludos.
>>
>>
>> Mariano Absatzwww.clueless.com.ar
>>
>> On 29/11/2019 14:21, Juan Martin Runge wrote:
>>
>> Mariano y Ariel,
>> Muchas gracias por ambas respuestas. Yendo a la consulta de Mariano, lo
>> que necesito es resolución DNS para mis clientes de internet. Con respecto
>> a la documentación y/o tutoriales, pueden ser en inglés tranquilamente,
>> estoy acostumbrado. Ahora me voy a poner a leer un poco los que ya me
>> enviaron. En cuanto a fierro, qué me recomiendan para atender bien y sin
>> demoras a unos 15.000 clientes (hoy tenemos 5.000, pero apuntamos a esa
>> cifra para los próximos 2 años)?
>>
>> Saludos a todos y buen fin de semana!
>>
>> Juan Martin
>>
>> El vie., 29 nov. 2019 a las 12:37, Mariano Absatz - gmail (<
>> el.baby en gmail.com>) escribió:
>>
>>>
>>> On 26/09/2019 15:57, Juan Martin Runge wrote:
>>>
>>> Estimados,
>>> Ahora molesto con otra consulta... Estaría necesitando armar mis propios
>>> DNS. Qué hardware y software me podrían recomendar para esto? Algún link
>>> donde pueda leer algo al respecto? La verdad tengo cero experiencia en DNS
>>> y estoy como que no se por donde empezar...
>>>
>>> Hola Juan Martín,
>>>
>>> lo primero que tenés que ver es qué querés decir con "armar mis propios
>>> DNS".
>>>
>>> Una de las mayores dificultades para entender cómo funciona el DNS es
>>> que DNS son varias cosas y, en principio, *2 servicios distintos*:
>>>
>>> 1. *Publicación* DNS: Este es el servicio de publicar datos en el
>>> DNS (por ejemplo, decir que *tu* página web (o de tus clientes de
>>> hosting) está en tal IP o que los mails para *tu* dominio (o de los
>>> dominios de tus clientes de hosting) deben ser enviados a tales servidores.
>>> Esto es lo que se llama *DNS autoritativo*.
>>> 2. *Resolución* DNS: Este es el servicio de buscar en toda la
>>> jerarquía distribuida del DNS de todo el mundo todas las cosas que
>>> necesiten tus usuarios (ya sea la gente que labura en tu empresa o,
>>> principalmente, tus clientes de *conectividad*). Esto se suele
>>> llamar *DNS recursivo* o *iterativo*.
>>>
>>> Pensá que si bien ambos servicios pueden ser servicios que vos le
>>> brindás a tus clientes, los servicios están asociados a distintos productos
>>> que le vendés a tus clientes.
>>>
>>> El DNS autoritativo se lo brindás al cliente que te contrata un hosting
>>> (web, mail, etc).
>>>
>>> El DNS iterativo se lo brindás al cliente que te contrata conectividad.
>>>
>>>
>>> Si bien algunos servidores DNS te permiten dar ambos servicios (e.g:
>>> BIND o Microsoft), resistí, *por todos los medios*, brindarlos en
>>> conjunto. Hace años (décadas) que se recomienda no hacer esto (salvo en
>>> algunos casos muy pequeños, nunca en un ámbito de un proveedor de
>>> servicios).
>>>
>>>
>>> Si bien BIND es el más conocido y desarrollado (y las últimas versiones
>>> son bastante seguras y performantes), suele ser bastante complejo de
>>> configurar. En parte porque, como te decía más arriba, brinda los dos
>>> servicios, y por otro lado, porque al ser la implementación "de referencia"
>>> de los RFCs, implementa todas las cosas jamás inventadas sobre el DNS, aún
>>> las que casi nadie utiliza. El 90% de los ISPs necesita cosas bastante
>>> simples para ambos servicios.
>>>
>>>
>>> La verdad es que no tengo ahora a mano links piolas para armar los
>>> distintos entornos (menos en castellano), pero dejame que al menos te
>>> apunte a las variantes de servidores abiertos que brindan cada uno de los
>>> dos servicios.
>>> DNS Autoritativo:
>>>
>>> BIND https://www.isc.org/bind/
>>>
>>> PowerDNS Authoritative Server https://www.powerdns.com/auth.html
>>>
>>> NSD https://www.nlnetlabs.nl/projects/nsd/about/
>>>
>>> Knot DNS https://www.knot-dns.cz/
>>> DNS Iterativo:
>>>
>>> BIND https://www.isc.org/bind/
>>>
>>> PowerDNS Recursor https://www.powerdns.com/recursor.html
>>>
>>> Unbound https://nlnetlabs.nl/projects/unbound/about/
>>>
>>> Knot Resolver https://www.knot-resolver.cz/
>>>
>>>
>>>
>>> Mariano Absatzwww.clueless.com.ar
>>>
>>>
>>> _______________________________________________
> Lista mailing list
> Lista en arnog.com.ar
> http://mailmancabase.interdotnet.com.ar/mailman/listinfo/lista
>
------------ próxima parte ------------
Se ha borrado un adjunto en formato HTML...
URL: <http://mailmancabase.interdotnet.com.ar/pipermail/lista/attachments/20191204/663f13a1/attachment.html>
Más información sobre la lista de distribución Lista