[Lista ArNOG] DNS propios
Dario Fernandez
dfernandez en researchsrl.com.ar
Mie Dic 4 17:40:25 -03 2019
Unbound para cache, Bind para Authoritativo Master/Slave
*Lic. Darío FernándezResearch SRL*
*Coord. Técnico IXP Posadas - CABASE(0376) 154619600 (Personal)(0376)
154254938 (Claro) Av. Tomas Guido 4435 - Posadas - Misiones*
El mié., 4 de dic. de 2019 a la(s) 16:59, Cristian Sanchez (
cristian.sanchez en arlab.com.ar) escribió:
> Darío buenas, que usan de servidor dns? Bind?
>
> El 4 de diciembre de 2019 4:36:01 p. m. GMT-03:00, Dario Fernandez <
> dfernandez en researchsrl.com.ar> escribió:
>>
>> Nosotros tenemos para un grupo de 3000 clientes 2 unbound virtualizados,
>> como primario y secundario.
>> Los recursos en el caso de un servidor recursivo dependen más que nada de
>> cuanto queres guardar, en nuestro caso también lo usamos para filtrar
>> malware y dominios fraudulento, para lo que usamos pfsense, pero en
>> recursos tenemos lo siguiente 4Cores, 4GRam y 10GHD, eso resuelve alrededor
>> de 800 query por segundo cada uno.
>>
>>
>> pi-hole: Network-wide Ad Blocking
>> https://pi-hole.net -
>> https://github.com/pi-hole/pi-hole/#one-step-automated-install
>>
>> pfSense: Firewall Open Source
>> https://pfsense.org -
>> https://docs.netgate.com/pfsense/en/latest/install/installing-pfsense.html
>> -
>> https://www.linuxincluded.com/block-ads-malvertising-on-pfsense-using-pfblockerng-dnsbl/
>>
>> OPNsense: Fork derivado de pfSense (2015)
>> https://opnsense.org -
>> https://devinstechblog.com/block-ads-with-dns-in-opnsense/
>>
>> Unbound: Validating, recursive, caching DNS resolver
>> https://nlnetlabs.nl/projects/unbound/about/ -
>> https://nlnetlabs.nl/documentation/unbound/howto-setup/ -
>> https://medium.com/@steffinstanly/unbound-dns-blocking-3567986a5735
>>
>> dns-zone-blacklist: Genera archivos de zona para Bind, Unbound y Dnsmasq
>> https://github.com/oznu/dns-zone-blacklist -
>>
>> StevenBlack/hosts: Listas de hosts para ser utilizadas, se actualizan con
>> frecuencia.
>> https://github.com/StevenBlack/hosts -
>>
>>
>>
>> *Lic. Darío FernándezResearch SRL*
>>
>>
>> *Coord. Técnico IXP Posadas - CABASE(0376) 154619600 (Personal)(0376)
>> 154254938 (Claro) Av. Tomas Guido 4435 - Posadas - Misiones*
>>
>>
>> El lun., 2 de dic. de 2019 a la(s) 21:01, Juan Martin Runge (
>> jmrunge en gmail.com) escribió:
>>
>>> Guillermo, Mariano,
>>> Gracias por los consejos y experiencias! Le voy a pegar una mirada a los
>>> links que me pasaron. Muy piola tener una idea de requerimiento de harware,
>>> la verdad pense que necesitaba mucho mas fierro para el DNS resolver... Te
>>> pediria Guillermo si me podes decir cuantos cores y de cuanto le tenes
>>> asignado a ese servidor. Como todavia no tengo granja de virtuales (y creo
>>> que falta para que la tenga), la idea seria poner un server fisico para
>>> esto, algo modesto si es posible.
>>>
>>> Saludos,
>>>
>>> Juan Martin
>>>
>>> El vie., 29 nov. 2019 a las 16:40, Mariano Absatz - gmail (<
>>> el.baby en gmail.com>) escribió:
>>>
>>>> OK, trato de buscar algun tutorial piola.
>>>>
>>>> Otro servidor interesante (para el caso del resolver) es un producto
>>>> que hace la gente de PowerDNS que se llama *dnsdist*. Yo no lo usé
>>>> nunca, pero un amigo que armó granjas de resolvers para grandes
>>>> proveedorees lo usa.
>>>>
>>>> Básicamente, es una especie de "*load balancer*" para (resolución) DNS
>>>> que te permite distribuir las consultas entre servidores que podrían estar
>>>> más o menos cargados, o, si detectás un comportamiento abusivo, hacerle
>>>> rate limiting o derivarlo a algunos servidores en particular, etc. No lo
>>>> encararía desde el principio, pero le pegaría una mirada:
>>>> https://dnsdist.org/
>>>>
>>>> Con respecto al sizing, supongo que la gente que opere ISPs te podrá
>>>> dar alguna idea. Yo no opero servidores :-)
>>>>
>>>> Saludos.
>>>>
>>>>
>>>> Mariano Absatzwww.clueless.com.ar
>>>>
>>>> On 29/11/2019 14:21, Juan Martin Runge wrote:
>>>>
>>>> Mariano y Ariel,
>>>> Muchas gracias por ambas respuestas. Yendo a la consulta de Mariano, lo
>>>> que necesito es resolución DNS para mis clientes de internet. Con respecto
>>>> a la documentación y/o tutoriales, pueden ser en inglés tranquilamente,
>>>> estoy acostumbrado. Ahora me voy a poner a leer un poco los que ya me
>>>> enviaron. En cuanto a fierro, qué me recomiendan para atender bien y sin
>>>> demoras a unos 15.000 clientes (hoy tenemos 5.000, pero apuntamos a esa
>>>> cifra para los próximos 2 años)?
>>>>
>>>> Saludos a todos y buen fin de semana!
>>>>
>>>> Juan Martin
>>>>
>>>> El vie., 29 nov. 2019 a las 12:37, Mariano Absatz - gmail (<
>>>> el.baby en gmail.com>) escribió:
>>>>
>>>>>
>>>>> On 26/09/2019 15:57, Juan Martin Runge wrote:
>>>>>
>>>>> Estimados,
>>>>> Ahora molesto con otra consulta... Estaría necesitando armar mis
>>>>> propios DNS. Qué hardware y software me podrían recomendar para esto? Algún
>>>>> link donde pueda leer algo al respecto? La verdad tengo cero experiencia en
>>>>> DNS y estoy como que no se por donde empezar...
>>>>>
>>>>> Hola Juan Martín,
>>>>>
>>>>> lo primero que tenés que ver es qué querés decir con "armar mis
>>>>> propios DNS".
>>>>>
>>>>> Una de las mayores dificultades para entender cómo funciona el DNS es
>>>>> que DNS son varias cosas y, en principio, *2 servicios distintos*:
>>>>>
>>>>> 1. *Publicación* DNS: Este es el servicio de publicar datos en el
>>>>> DNS (por ejemplo, decir que *tu* página web (o de tus clientes de
>>>>> hosting) está en tal IP o que los mails para *tu* dominio (o de
>>>>> los dominios de tus clientes de hosting) deben ser enviados a tales
>>>>> servidores. Esto es lo que se llama *DNS autoritativo*.
>>>>> 2. *Resolución* DNS: Este es el servicio de buscar en toda la
>>>>> jerarquía distribuida del DNS de todo el mundo todas las cosas que
>>>>> necesiten tus usuarios (ya sea la gente que labura en tu empresa o,
>>>>> principalmente, tus clientes de *conectividad*). Esto se suele
>>>>> llamar *DNS recursivo* o *iterativo*.
>>>>>
>>>>> Pensá que si bien ambos servicios pueden ser servicios que vos le
>>>>> brindás a tus clientes, los servicios están asociados a distintos productos
>>>>> que le vendés a tus clientes.
>>>>>
>>>>> El DNS autoritativo se lo brindás al cliente que te contrata un
>>>>> hosting (web, mail, etc).
>>>>>
>>>>> El DNS iterativo se lo brindás al cliente que te contrata conectividad.
>>>>>
>>>>>
>>>>> Si bien algunos servidores DNS te permiten dar ambos servicios (e.g:
>>>>> BIND o Microsoft), resistí, *por todos los medios*, brindarlos en
>>>>> conjunto. Hace años (décadas) que se recomienda no hacer esto (salvo en
>>>>> algunos casos muy pequeños, nunca en un ámbito de un proveedor de
>>>>> servicios).
>>>>>
>>>>>
>>>>> Si bien BIND es el más conocido y desarrollado (y las últimas
>>>>> versiones son bastante seguras y performantes), suele ser bastante complejo
>>>>> de configurar. En parte porque, como te decía más arriba, brinda los dos
>>>>> servicios, y por otro lado, porque al ser la implementación "de referencia"
>>>>> de los RFCs, implementa todas las cosas jamás inventadas sobre el DNS, aún
>>>>> las que casi nadie utiliza. El 90% de los ISPs necesita cosas bastante
>>>>> simples para ambos servicios.
>>>>>
>>>>>
>>>>> La verdad es que no tengo ahora a mano links piolas para armar los
>>>>> distintos entornos (menos en castellano), pero dejame que al menos te
>>>>> apunte a las variantes de servidores abiertos que brindan cada uno de los
>>>>> dos servicios.
>>>>> DNS Autoritativo:
>>>>>
>>>>> BIND https://www.isc.org/bind/
>>>>>
>>>>> PowerDNS Authoritative Server https://www.powerdns.com/auth.html
>>>>>
>>>>> NSD https://www.nlnetlabs.nl/projects/nsd/about/
>>>>>
>>>>> Knot DNS https://www.knot-dns.cz/
>>>>> DNS Iterativo:
>>>>>
>>>>> BIND https://www.isc.org/bind/
>>>>>
>>>>> PowerDNS Recursor https://www.powerdns.com/recursor.html
>>>>>
>>>>> Unbound https://nlnetlabs.nl/projects/unbound/about/
>>>>>
>>>>> Knot Resolver https://www.knot-resolver.cz/
>>>>>
>>>>>
>>>>>
>>>>> Mariano Absatzwww.clueless.com.ar
>>>>>
>>>>>
>>>>> _______________________________________________
>>> Lista mailing list
>>> Lista en arnog.com.ar
>>> http://mailmancabase.interdotnet.com.ar/mailman/listinfo/lista
>>>
>>
> --
> Sent from my Android device with K-9 Mail. Please excuse my brevity.
>
------------ próxima parte ------------
Se ha borrado un adjunto en formato HTML...
URL: <http://mailmancabase.interdotnet.com.ar/pipermail/lista/attachments/20191204/d3157ffa/attachment.html>
Más información sobre la lista de distribución Lista