[Lista ArNOG] DNS propios

Juan Martin Runge jmrunge en gmail.com
Jue Dic 5 08:50:11 -03 2019


Dario,
Muchas gracias por compartir la info! Ya me voy haciendo una idea de lo que
voy a tener que poner y con qué productos puedo manejarme.

Gracias a todos por los aportes!

Saludos,

El mié., 4 dic. 2019 a las 17:40, Dario Fernandez (<
dfernandez en researchsrl.com.ar>) escribió:

> Unbound para cache, Bind para Authoritativo Master/Slave
>
>
> *Lic. Darío FernándezResearch SRL*
>
>
> *Coord. Técnico IXP Posadas - CABASE(0376) 154619600 (Personal)(0376)
> 154254938 (Claro) Av. Tomas Guido 4435 - Posadas - Misiones*
>
>
> El mié., 4 de dic. de 2019 a la(s) 16:59, Cristian Sanchez (
> cristian.sanchez en arlab.com.ar) escribió:
>
>> Darío buenas, que usan de servidor dns? Bind?
>>
>> El 4 de diciembre de 2019 4:36:01 p. m. GMT-03:00, Dario Fernandez <
>> dfernandez en researchsrl.com.ar> escribió:
>>>
>>> Nosotros tenemos para un grupo de 3000 clientes 2 unbound virtualizados,
>>> como primario y secundario.
>>> Los recursos en el caso de un servidor recursivo dependen más que nada
>>> de cuanto queres guardar, en nuestro caso también lo usamos para filtrar
>>> malware y dominios fraudulento, para lo que usamos pfsense, pero en
>>> recursos tenemos lo siguiente 4Cores, 4GRam y 10GHD, eso resuelve alrededor
>>> de 800 query por segundo cada uno.
>>>
>>>
>>> pi-hole: Network-wide Ad Blocking
>>> https://pi-hole.net -
>>> https://github.com/pi-hole/pi-hole/#one-step-automated-install
>>>
>>> pfSense: Firewall Open Source
>>> https://pfsense.org -
>>> https://docs.netgate.com/pfsense/en/latest/install/installing-pfsense.html
>>> -
>>> https://www.linuxincluded.com/block-ads-malvertising-on-pfsense-using-pfblockerng-dnsbl/
>>>
>>> OPNsense: Fork derivado de pfSense (2015)
>>> https://opnsense.org -
>>> https://devinstechblog.com/block-ads-with-dns-in-opnsense/
>>>
>>> Unbound: Validating, recursive, caching DNS resolver
>>> https://nlnetlabs.nl/projects/unbound/about/ -
>>> https://nlnetlabs.nl/documentation/unbound/howto-setup/ -
>>> https://medium.com/@steffinstanly/unbound-dns-blocking-3567986a5735
>>>
>>> dns-zone-blacklist: Genera archivos de zona para Bind, Unbound y Dnsmasq
>>> https://github.com/oznu/dns-zone-blacklist -
>>>
>>> StevenBlack/hosts: Listas de hosts para ser utilizadas, se actualizan
>>> con frecuencia.
>>> https://github.com/StevenBlack/hosts -
>>>
>>>
>>>
>>> *Lic. Darío FernándezResearch SRL*
>>>
>>>
>>> *Coord. Técnico IXP Posadas - CABASE(0376) 154619600 (Personal)(0376)
>>> 154254938 (Claro) Av. Tomas Guido 4435 - Posadas - Misiones*
>>>
>>>
>>> El lun., 2 de dic. de 2019 a la(s) 21:01, Juan Martin Runge (
>>> jmrunge en gmail.com) escribió:
>>>
>>>> Guillermo, Mariano,
>>>> Gracias por los consejos y experiencias! Le voy a pegar una mirada a
>>>> los links que me pasaron. Muy piola tener una idea de requerimiento de
>>>> harware, la verdad pense que necesitaba mucho mas fierro para el DNS
>>>> resolver... Te pediria Guillermo si me podes decir cuantos cores y de
>>>> cuanto le tenes asignado a ese servidor. Como todavia no tengo granja de
>>>> virtuales (y creo que falta para que la tenga), la idea seria poner un
>>>> server fisico para esto, algo modesto si es posible.
>>>>
>>>> Saludos,
>>>>
>>>> Juan Martin
>>>>
>>>> El vie., 29 nov. 2019 a las 16:40, Mariano Absatz - gmail (<
>>>> el.baby en gmail.com>) escribió:
>>>>
>>>>> OK, trato de buscar algun tutorial piola.
>>>>>
>>>>> Otro servidor interesante (para el caso del resolver) es un producto
>>>>> que hace la gente de PowerDNS que se llama *dnsdist*. Yo no lo usé
>>>>> nunca, pero un amigo que armó granjas de resolvers para grandes
>>>>> proveedorees lo usa.
>>>>>
>>>>> Básicamente, es una especie de "*load balancer*" para (resolución)
>>>>> DNS que te permite distribuir las consultas entre servidores que podrían
>>>>> estar más o menos cargados, o, si detectás un comportamiento abusivo,
>>>>> hacerle rate limiting o derivarlo a algunos servidores en particular, etc.
>>>>> No lo encararía desde el principio, pero le pegaría una mirada:
>>>>> https://dnsdist.org/
>>>>>
>>>>> Con respecto al sizing, supongo que la gente que opere ISPs te podrá
>>>>> dar alguna idea. Yo no opero servidores :-)
>>>>>
>>>>> Saludos.
>>>>>
>>>>>
>>>>> Mariano Absatzwww.clueless.com.ar
>>>>>
>>>>> On 29/11/2019 14:21, Juan Martin Runge wrote:
>>>>>
>>>>> Mariano y Ariel,
>>>>> Muchas gracias por ambas respuestas. Yendo a la consulta de Mariano,
>>>>> lo que necesito es resolución DNS para mis clientes de internet.  Con
>>>>> respecto a la documentación y/o tutoriales, pueden ser en inglés
>>>>> tranquilamente, estoy acostumbrado. Ahora me voy a poner a leer un poco los
>>>>> que ya me enviaron. En cuanto a fierro, qué me recomiendan para atender
>>>>> bien y sin demoras a unos 15.000 clientes (hoy tenemos 5.000, pero
>>>>> apuntamos a esa cifra para los próximos 2 años)?
>>>>>
>>>>> Saludos a todos y buen fin de semana!
>>>>>
>>>>> Juan Martin
>>>>>
>>>>> El vie., 29 nov. 2019 a las 12:37, Mariano Absatz - gmail (<
>>>>> el.baby en gmail.com>) escribió:
>>>>>
>>>>>>
>>>>>> On 26/09/2019 15:57, Juan Martin Runge wrote:
>>>>>>
>>>>>> Estimados,
>>>>>> Ahora molesto con otra consulta... Estaría necesitando armar mis
>>>>>> propios DNS. Qué hardware y software me podrían recomendar para esto? Algún
>>>>>> link donde pueda leer algo al respecto? La verdad tengo cero experiencia en
>>>>>> DNS y estoy como que no se por donde empezar...
>>>>>>
>>>>>> Hola Juan Martín,
>>>>>>
>>>>>> lo primero que tenés que ver es qué querés decir con "armar mis
>>>>>> propios DNS".
>>>>>>
>>>>>> Una de las mayores dificultades para entender cómo funciona el DNS es
>>>>>> que DNS son varias cosas y, en principio, *2 servicios distintos*:
>>>>>>
>>>>>>    1. *Publicación* DNS: Este es el servicio de publicar datos en el
>>>>>>    DNS (por ejemplo, decir que *tu* página web (o de tus clientes de
>>>>>>    hosting) está en tal IP o que los mails para *tu* dominio (o de
>>>>>>    los dominios de tus clientes de hosting) deben ser enviados a tales
>>>>>>    servidores. Esto es lo que se llama *DNS autoritativo*.
>>>>>>    2. *Resolución* DNS: Este es el servicio de buscar en toda la
>>>>>>    jerarquía distribuida del DNS de todo el mundo todas las cosas que
>>>>>>    necesiten tus usuarios (ya sea la gente que labura en tu empresa o,
>>>>>>    principalmente, tus clientes de *conectividad*). Esto se suele
>>>>>>    llamar *DNS recursivo* o *iterativo*.
>>>>>>
>>>>>> Pensá que si bien ambos servicios pueden ser servicios que vos le
>>>>>> brindás a tus clientes, los servicios están asociados a distintos productos
>>>>>> que le vendés a tus clientes.
>>>>>>
>>>>>> El DNS autoritativo se lo brindás al cliente que te contrata un
>>>>>> hosting (web, mail, etc).
>>>>>>
>>>>>> El DNS iterativo se lo brindás al cliente que te contrata
>>>>>> conectividad.
>>>>>>
>>>>>>
>>>>>> Si bien algunos servidores DNS te permiten dar ambos servicios (e.g:
>>>>>> BIND o Microsoft), resistí, *por todos los medios*, brindarlos en
>>>>>> conjunto. Hace años (décadas) que se recomienda no hacer esto (salvo en
>>>>>> algunos casos muy pequeños, nunca en un ámbito de un proveedor de
>>>>>> servicios).
>>>>>>
>>>>>>
>>>>>> Si bien BIND es el más conocido y desarrollado (y las últimas
>>>>>> versiones son bastante seguras y performantes), suele ser bastante complejo
>>>>>> de configurar. En parte porque, como te decía más arriba, brinda los dos
>>>>>> servicios, y por otro lado, porque al ser la implementación "de referencia"
>>>>>> de los RFCs, implementa todas las cosas jamás inventadas sobre el DNS, aún
>>>>>> las que casi nadie utiliza. El 90% de los ISPs necesita cosas bastante
>>>>>> simples para ambos servicios.
>>>>>>
>>>>>>
>>>>>> La verdad es que no tengo ahora a mano links piolas para armar los
>>>>>> distintos entornos (menos en castellano), pero dejame que al menos te
>>>>>> apunte a las variantes de servidores abiertos que brindan cada uno de los
>>>>>> dos servicios.
>>>>>> DNS Autoritativo:
>>>>>>
>>>>>> BIND https://www.isc.org/bind/
>>>>>>
>>>>>> PowerDNS Authoritative Server https://www.powerdns.com/auth.html
>>>>>>
>>>>>> NSD https://www.nlnetlabs.nl/projects/nsd/about/
>>>>>>
>>>>>> Knot DNS https://www.knot-dns.cz/
>>>>>> DNS Iterativo:
>>>>>>
>>>>>> BIND https://www.isc.org/bind/
>>>>>>
>>>>>> PowerDNS Recursor https://www.powerdns.com/recursor.html
>>>>>>
>>>>>> Unbound https://nlnetlabs.nl/projects/unbound/about/
>>>>>>
>>>>>> Knot Resolver https://www.knot-resolver.cz/
>>>>>>
>>>>>>
>>>>>>
>>>>>> Mariano Absatzwww.clueless.com.ar
>>>>>>
>>>>>>
>>>>>> _______________________________________________
>>>> Lista mailing list
>>>> Lista en arnog.com.ar
>>>> http://mailmancabase.interdotnet.com.ar/mailman/listinfo/lista
>>>>
>>>
>> --
>> Sent from my Android device with K-9 Mail. Please excuse my brevity.
>>
> _______________________________________________
> Lista mailing list
> Lista en arnog.com.ar
> http://mailmancabase.interdotnet.com.ar/mailman/listinfo/lista
>
------------ próxima parte ------------
Se ha borrado un adjunto en formato HTML...
URL: <http://mailmancabase.interdotnet.com.ar/pipermail/lista/attachments/20191205/1888ebe9/attachment-0001.html>


Más información sobre la lista de distribución Lista