[Lista ArNOG] DNS propios

Cristian Sanchez cristian.sanchez en arlab.com.ar
Mie Dic 4 16:58:45 -03 2019


Darío buenas, que usan de servidor dns? Bind?

El 4 de diciembre de 2019 4:36:01 p. m. GMT-03:00, Dario Fernandez <dfernandez en researchsrl.com.ar> escribió:
>Nosotros tenemos para un grupo de 3000 clientes 2 unbound
>virtualizados,
>como primario y secundario.
>Los recursos en el caso de un servidor recursivo dependen más que nada
>de
>cuanto queres guardar, en nuestro caso también lo usamos para filtrar
>malware y dominios fraudulento, para lo que usamos pfsense, pero en
>recursos tenemos lo siguiente 4Cores, 4GRam y 10GHD, eso resuelve
>alrededor
>de 800 query por segundo cada uno.
>
>
>pi-hole: Network-wide Ad Blocking
>https://pi-hole.net -
>https://github.com/pi-hole/pi-hole/#one-step-automated-install
>
>pfSense: Firewall Open Source
>https://pfsense.org -
>https://docs.netgate.com/pfsense/en/latest/install/installing-pfsense.html
>-
>https://www.linuxincluded.com/block-ads-malvertising-on-pfsense-using-pfblockerng-dnsbl/
>
>OPNsense: Fork derivado de pfSense (2015)
>https://opnsense.org -
>https://devinstechblog.com/block-ads-with-dns-in-opnsense/
>
>Unbound: Validating, recursive, caching DNS resolver
>https://nlnetlabs.nl/projects/unbound/about/ -
>https://nlnetlabs.nl/documentation/unbound/howto-setup/ -
>https://medium.com/@steffinstanly/unbound-dns-blocking-3567986a5735
>
>dns-zone-blacklist: Genera archivos de zona para Bind, Unbound y
>Dnsmasq
>https://github.com/oznu/dns-zone-blacklist -
>
>StevenBlack/hosts: Listas de hosts para ser utilizadas, se actualizan
>con
>frecuencia.
>https://github.com/StevenBlack/hosts -
>
>
>
>*Lic. Darío FernándezResearch SRL*
>
>
>*Coord. Técnico IXP Posadas - CABASE(0376) 154619600 (Personal)(0376)
>154254938 (Claro) Av. Tomas Guido 4435 - Posadas - Misiones*
>
>
>El lun., 2 de dic. de 2019 a la(s) 21:01, Juan Martin Runge (
>jmrunge en gmail.com) escribió:
>
>> Guillermo, Mariano,
>> Gracias por los consejos y experiencias! Le voy a pegar una mirada a
>los
>> links que me pasaron. Muy piola tener una idea de requerimiento de
>harware,
>> la verdad pense que necesitaba mucho mas fierro para el DNS
>resolver... Te
>> pediria Guillermo si me podes decir cuantos cores y de cuanto le
>tenes
>> asignado a ese servidor. Como todavia no tengo granja de virtuales (y
>creo
>> que falta para que la tenga), la idea seria poner un server fisico
>para
>> esto, algo modesto si es posible.
>>
>> Saludos,
>>
>> Juan Martin
>>
>> El vie., 29 nov. 2019 a las 16:40, Mariano Absatz - gmail (<
>> el.baby en gmail.com>) escribió:
>>
>>> OK, trato de buscar algun tutorial piola.
>>>
>>> Otro servidor interesante (para el caso del resolver) es un producto
>que
>>> hace la gente de PowerDNS que se llama *dnsdist*. Yo no lo usé
>nunca,
>>> pero un amigo que armó granjas de resolvers para grandes
>proveedorees lo
>>> usa.
>>>
>>> Básicamente, es una especie de "*load balancer*" para (resolución)
>DNS
>>> que te permite distribuir las consultas entre servidores que podrían
>estar
>>> más o menos cargados, o, si detectás un comportamiento abusivo,
>hacerle
>>> rate limiting o derivarlo a algunos servidores en particular, etc.
>No lo
>>> encararía desde el principio, pero le pegaría una mirada:
>>> https://dnsdist.org/
>>>
>>> Con respecto al sizing, supongo que la gente que opere ISPs te podrá
>dar
>>> alguna idea. Yo no opero servidores :-)
>>>
>>> Saludos.
>>>
>>>
>>> Mariano Absatzwww.clueless.com.ar
>>>
>>> On 29/11/2019 14:21, Juan Martin Runge wrote:
>>>
>>> Mariano y Ariel,
>>> Muchas gracias por ambas respuestas. Yendo a la consulta de Mariano,
>lo
>>> que necesito es resolución DNS para mis clientes de internet.  Con
>respecto
>>> a la documentación y/o tutoriales, pueden ser en inglés
>tranquilamente,
>>> estoy acostumbrado. Ahora me voy a poner a leer un poco los que ya
>me
>>> enviaron. En cuanto a fierro, qué me recomiendan para atender bien y
>sin
>>> demoras a unos 15.000 clientes (hoy tenemos 5.000, pero apuntamos a
>esa
>>> cifra para los próximos 2 años)?
>>>
>>> Saludos a todos y buen fin de semana!
>>>
>>> Juan Martin
>>>
>>> El vie., 29 nov. 2019 a las 12:37, Mariano Absatz - gmail (<
>>> el.baby en gmail.com>) escribió:
>>>
>>>>
>>>> On 26/09/2019 15:57, Juan Martin Runge wrote:
>>>>
>>>> Estimados,
>>>> Ahora molesto con otra consulta... Estaría necesitando armar mis
>propios
>>>> DNS. Qué hardware y software me podrían recomendar para esto? Algún
>link
>>>> donde pueda leer algo al respecto? La verdad tengo cero experiencia
>en DNS
>>>> y estoy como que no se por donde empezar...
>>>>
>>>> Hola Juan Martín,
>>>>
>>>> lo primero que tenés que ver es qué querés decir con "armar mis
>propios
>>>> DNS".
>>>>
>>>> Una de las mayores dificultades para entender cómo funciona el DNS
>es
>>>> que DNS son varias cosas y, en principio, *2 servicios distintos*:
>>>>
>>>>    1. *Publicación* DNS: Este es el servicio de publicar datos en
>el
>>>>    DNS (por ejemplo, decir que *tu* página web (o de tus clientes
>de
>>>>    hosting) está en tal IP o que los mails para *tu* dominio (o de
>los
>>>>    dominios de tus clientes de hosting) deben ser enviados a tales
>servidores.
>>>>    Esto es lo que se llama *DNS autoritativo*.
>>>>    2. *Resolución* DNS: Este es el servicio de buscar en toda la
>>>>    jerarquía distribuida del DNS de todo el mundo todas las cosas
>que
>>>>    necesiten tus usuarios (ya sea la gente que labura en tu empresa
>o,
>>>>    principalmente, tus clientes de *conectividad*). Esto se suele
>>>>    llamar *DNS recursivo* o *iterativo*.
>>>>
>>>> Pensá que si bien ambos servicios pueden ser servicios que vos le
>>>> brindás a tus clientes, los servicios están asociados a distintos
>productos
>>>> que le vendés a tus clientes.
>>>>
>>>> El DNS autoritativo se lo brindás al cliente que te contrata un
>hosting
>>>> (web, mail, etc).
>>>>
>>>> El DNS iterativo se lo brindás al cliente que te contrata
>conectividad.
>>>>
>>>>
>>>> Si bien algunos servidores DNS te permiten dar ambos servicios
>(e.g:
>>>> BIND o Microsoft), resistí, *por todos los medios*, brindarlos en
>>>> conjunto. Hace años (décadas) que se recomienda no hacer esto
>(salvo en
>>>> algunos casos muy pequeños, nunca en un ámbito de un proveedor de
>>>> servicios).
>>>>
>>>>
>>>> Si bien BIND es el más conocido y desarrollado (y las últimas
>versiones
>>>> son bastante seguras y performantes), suele ser bastante complejo
>de
>>>> configurar. En parte porque, como te decía más arriba, brinda los
>dos
>>>> servicios, y por otro lado, porque al ser la implementación "de
>referencia"
>>>> de los RFCs, implementa todas las cosas jamás inventadas sobre el
>DNS, aún
>>>> las que casi nadie utiliza. El 90% de los ISPs necesita cosas
>bastante
>>>> simples para ambos servicios.
>>>>
>>>>
>>>> La verdad es que no tengo ahora a mano links piolas para armar los
>>>> distintos entornos (menos en castellano), pero dejame que al menos
>te
>>>> apunte a las variantes de servidores abiertos que brindan cada uno
>de los
>>>> dos servicios.
>>>> DNS Autoritativo:
>>>>
>>>> BIND https://www.isc.org/bind/
>>>>
>>>> PowerDNS Authoritative Server https://www.powerdns.com/auth.html
>>>>
>>>> NSD https://www.nlnetlabs.nl/projects/nsd/about/
>>>>
>>>> Knot DNS https://www.knot-dns.cz/
>>>> DNS Iterativo:
>>>>
>>>> BIND https://www.isc.org/bind/
>>>>
>>>> PowerDNS Recursor https://www.powerdns.com/recursor.html
>>>>
>>>> Unbound https://nlnetlabs.nl/projects/unbound/about/
>>>>
>>>> Knot Resolver https://www.knot-resolver.cz/
>>>>
>>>>
>>>>
>>>> Mariano Absatzwww.clueless.com.ar
>>>>
>>>>
>>>> _______________________________________________
>> Lista mailing list
>> Lista en arnog.com.ar
>> http://mailmancabase.interdotnet.com.ar/mailman/listinfo/lista
>>

-- 
Sent from my Android device with K-9 Mail. Please excuse my brevity.
------------ próxima parte ------------
Se ha borrado un adjunto en formato HTML...
URL: <http://mailmancabase.interdotnet.com.ar/pipermail/lista/attachments/20191204/5da36a0d/attachment-0001.html>


Más información sobre la lista de distribución Lista