[Lista ArNOG] DNS propios

[Carlos M. Martinez]

La parte clave de correr tu propio DNS recursivo es configurar las ACLs 
para solamente hacer recursión para tus clientes y para más nadie.

S2

/Carlos

On 5 Dec 2019, at 8:50, Juan Martin Runge wrote:

> Dario,
> Muchas gracias por compartir la info! Ya me voy haciendo una idea de 
> lo que
> voy a tener que poner y con qué productos puedo manejarme.
>
> Gracias a todos por los aportes!
>
> Saludos,
>
> El mié., 4 dic. 2019 a las 17:40, Dario Fernandez (<
> dfernandez en researchsrl.com.ar>) escribió:
>
>> Unbound para cache, Bind para Authoritativo Master/Slave
>>
>>
>> *Lic. Darío FernándezResearch SRL*
>>
>>
>> *Coord. Técnico IXP Posadas - CABASE(0376) 154619600 
>> (Personal)(0376)
>> 154254938 (Claro) Av. Tomas Guido 4435 - Posadas - Misiones*
>>
>>
>> El mié., 4 de dic. de 2019 a la(s) 16:59, Cristian Sanchez (
>> cristian.sanchez en arlab.com.ar) escribió:
>>
>>> Darío buenas, que usan de servidor dns? Bind?
>>>
>>> El 4 de diciembre de 2019 4:36:01 p. m. GMT-03:00, Dario Fernandez <
>>> dfernandez en researchsrl.com.ar> escribió:
>>>>
>>>> Nosotros tenemos para un grupo de 3000 clientes 2 unbound 
>>>> virtualizados,
>>>> como primario y secundario.
>>>> Los recursos en el caso de un servidor recursivo dependen más que 
>>>> nada
>>>> de cuanto queres guardar, en nuestro caso también lo usamos para 
>>>> filtrar
>>>> malware y dominios fraudulento, para lo que usamos pfsense, pero en
>>>> recursos tenemos lo siguiente 4Cores, 4GRam y 10GHD, eso resuelve 
>>>> alrededor
>>>> de 800 query por segundo cada uno.
>>>>
>>>>
>>>> pi-hole: Network-wide Ad Blocking
>>>> https://pi-hole.net -
>>>> https://github.com/pi-hole/pi-hole/#one-step-automated-install
>>>>
>>>> pfSense: Firewall Open Source
>>>> https://pfsense.org -
>>>> https://docs.netgate.com/pfsense/en/latest/install/installing-pfsense.html
>>>> -
>>>> https://www.linuxincluded.com/block-ads-malvertising-on-pfsense-using-pfblockerng-dnsbl/
>>>>
>>>> OPNsense: Fork derivado de pfSense (2015)
>>>> https://opnsense.org -
>>>> https://devinstechblog.com/block-ads-with-dns-in-opnsense/
>>>>
>>>> Unbound: Validating, recursive, caching DNS resolver
>>>> https://nlnetlabs.nl/projects/unbound/about/ -
>>>> https://nlnetlabs.nl/documentation/unbound/howto-setup/ -
>>>> https://medium.com/@steffinstanly/unbound-dns-blocking-3567986a5735
>>>>
>>>> dns-zone-blacklist: Genera archivos de zona para Bind, Unbound y 
>>>> Dnsmasq
>>>> https://github.com/oznu/dns-zone-blacklist -
>>>>
>>>> StevenBlack/hosts: Listas de hosts para ser utilizadas, se 
>>>> actualizan
>>>> con frecuencia.
>>>> https://github.com/StevenBlack/hosts -
>>>>
>>>>
>>>>
>>>> *Lic. Darío FernándezResearch SRL*
>>>>
>>>>
>>>> *Coord. Técnico IXP Posadas - CABASE(0376) 154619600 
>>>> (Personal)(0376)
>>>> 154254938 (Claro) Av. Tomas Guido 4435 - Posadas - Misiones*
>>>>
>>>>
>>>> El lun., 2 de dic. de 2019 a la(s) 21:01, Juan Martin Runge (
>>>> jmrunge en gmail.com) escribió:
>>>>
>>>>> Guillermo, Mariano,
>>>>> Gracias por los consejos y experiencias! Le voy a pegar una mirada 
>>>>> a
>>>>> los links que me pasaron. Muy piola tener una idea de 
>>>>> requerimiento de
>>>>> harware, la verdad pense que necesitaba mucho mas fierro para el 
>>>>> DNS
>>>>> resolver... Te pediria Guillermo si me podes decir cuantos cores y 
>>>>> de
>>>>> cuanto le tenes asignado a ese servidor. Como todavia no tengo 
>>>>> granja de
>>>>> virtuales (y creo que falta para que la tenga), la idea seria 
>>>>> poner un
>>>>> server fisico para esto, algo modesto si es posible.
>>>>>
>>>>> Saludos,
>>>>>
>>>>> Juan Martin
>>>>>
>>>>> El vie., 29 nov. 2019 a las 16:40, Mariano Absatz - gmail (<
>>>>> el.baby en gmail.com>) escribió:
>>>>>
>>>>>> OK, trato de buscar algun tutorial piola.
>>>>>>
>>>>>> Otro servidor interesante (para el caso del resolver) es un 
>>>>>> producto
>>>>>> que hace la gente de PowerDNS que se llama *dnsdist*. Yo no lo 
>>>>>> usé
>>>>>> nunca, pero un amigo que armó granjas de resolvers para grandes
>>>>>> proveedorees lo usa.
>>>>>>
>>>>>> Básicamente, es una especie de "*load balancer*" para 
>>>>>> (resolución)
>>>>>> DNS que te permite distribuir las consultas entre servidores que 
>>>>>> podrían
>>>>>> estar más o menos cargados, o, si detectás un comportamiento 
>>>>>> abusivo,
>>>>>> hacerle rate limiting o derivarlo a algunos servidores en 
>>>>>> particular, etc.
>>>>>> No lo encararía desde el principio, pero le pegaría una mirada:
>>>>>> https://dnsdist.org/
>>>>>>
>>>>>> Con respecto al sizing, supongo que la gente que opere ISPs te 
>>>>>> podrá
>>>>>> dar alguna idea. Yo no opero servidores :-)
>>>>>>
>>>>>> Saludos.
>>>>>>
>>>>>>
>>>>>> Mariano Absatzwww.clueless.com.ar
>>>>>>
>>>>>> On 29/11/2019 14:21, Juan Martin Runge wrote:
>>>>>>
>>>>>> Mariano y Ariel,
>>>>>> Muchas gracias por ambas respuestas. Yendo a la consulta de 
>>>>>> Mariano,
>>>>>> lo que necesito es resolución DNS para mis clientes de internet. 
>>>>>>  Con
>>>>>> respecto a la documentación y/o tutoriales, pueden ser en 
>>>>>> inglés
>>>>>> tranquilamente, estoy acostumbrado. Ahora me voy a poner a leer 
>>>>>> un poco los
>>>>>> que ya me enviaron. En cuanto a fierro, qué me recomiendan para 
>>>>>> atender
>>>>>> bien y sin demoras a unos 15.000 clientes (hoy tenemos 5.000, 
>>>>>> pero
>>>>>> apuntamos a esa cifra para los próximos 2 años)?
>>>>>>
>>>>>> Saludos a todos y buen fin de semana!
>>>>>>
>>>>>> Juan Martin
>>>>>>
>>>>>> El vie., 29 nov. 2019 a las 12:37, Mariano Absatz - gmail (<
>>>>>> el.baby en gmail.com>) escribió:
>>>>>>
>>>>>>>
>>>>>>> On 26/09/2019 15:57, Juan Martin Runge wrote:
>>>>>>>
>>>>>>> Estimados,
>>>>>>> Ahora molesto con otra consulta... Estaría necesitando armar 
>>>>>>> mis
>>>>>>> propios DNS. Qué hardware y software me podrían recomendar 
>>>>>>> para esto? Algún
>>>>>>> link donde pueda leer algo al respecto? La verdad tengo cero 
>>>>>>> experiencia en
>>>>>>> DNS y estoy como que no se por donde empezar...
>>>>>>>
>>>>>>> Hola Juan Martín,
>>>>>>>
>>>>>>> lo primero que tenés que ver es qué querés decir con "armar 
>>>>>>> mis
>>>>>>> propios DNS".
>>>>>>>
>>>>>>> Una de las mayores dificultades para entender cómo funciona el 
>>>>>>> DNS es
>>>>>>> que DNS son varias cosas y, en principio, *2 servicios 
>>>>>>> distintos*:
>>>>>>>
>>>>>>>    1. *Publicación* DNS: Este es el servicio de publicar datos 
>>>>>>> en el
>>>>>>>    DNS (por ejemplo, decir que *tu* página web (o de tus 
>>>>>>> clientes de
>>>>>>>    hosting) está en tal IP o que los mails para *tu* dominio (o 
>>>>>>> de
>>>>>>>    los dominios de tus clientes de hosting) deben ser enviados a 
>>>>>>> tales
>>>>>>>    servidores. Esto es lo que se llama *DNS autoritativo*.
>>>>>>>    2. *Resolución* DNS: Este es el servicio de buscar en toda 
>>>>>>> la
>>>>>>>    jerarquía distribuida del DNS de todo el mundo todas las 
>>>>>>> cosas que
>>>>>>>    necesiten tus usuarios (ya sea la gente que labura en tu 
>>>>>>> empresa o,
>>>>>>>    principalmente, tus clientes de *conectividad*). Esto se 
>>>>>>> suele
>>>>>>>    llamar *DNS recursivo* o *iterativo*.
>>>>>>>
>>>>>>> Pensá que si bien ambos servicios pueden ser servicios que vos 
>>>>>>> le
>>>>>>> brindás a tus clientes, los servicios están asociados a 
>>>>>>> distintos productos
>>>>>>> que le vendés a tus clientes.
>>>>>>>
>>>>>>> El DNS autoritativo se lo brindás al cliente que te contrata un
>>>>>>> hosting (web, mail, etc).
>>>>>>>
>>>>>>> El DNS iterativo se lo brindás al cliente que te contrata
>>>>>>> conectividad.
>>>>>>>
>>>>>>>
>>>>>>> Si bien algunos servidores DNS te permiten dar ambos servicios 
>>>>>>> (e.g:
>>>>>>> BIND o Microsoft), resistí, *por todos los medios*, brindarlos 
>>>>>>> en
>>>>>>> conjunto. Hace años (décadas) que se recomienda no hacer esto 
>>>>>>> (salvo en
>>>>>>> algunos casos muy pequeños, nunca en un ámbito de un proveedor 
>>>>>>> de
>>>>>>> servicios).
>>>>>>>
>>>>>>>
>>>>>>> Si bien BIND es el más conocido y desarrollado (y las últimas
>>>>>>> versiones son bastante seguras y performantes), suele ser 
>>>>>>> bastante complejo
>>>>>>> de configurar. En parte porque, como te decía más arriba, 
>>>>>>> brinda los dos
>>>>>>> servicios, y por otro lado, porque al ser la implementación "de 
>>>>>>> referencia"
>>>>>>> de los RFCs, implementa todas las cosas jamás inventadas sobre 
>>>>>>> el DNS, aún
>>>>>>> las que casi nadie utiliza. El 90% de los ISPs necesita cosas 
>>>>>>> bastante
>>>>>>> simples para ambos servicios.
>>>>>>>
>>>>>>>
>>>>>>> La verdad es que no tengo ahora a mano links piolas para armar 
>>>>>>> los
>>>>>>> distintos entornos (menos en castellano), pero dejame que al 
>>>>>>> menos te
>>>>>>> apunte a las variantes de servidores abiertos que brindan cada 
>>>>>>> uno de los
>>>>>>> dos servicios.
>>>>>>> DNS Autoritativo:
>>>>>>>
>>>>>>> BIND https://www.isc.org/bind/
>>>>>>>
>>>>>>> PowerDNS Authoritative Server https://www.powerdns.com/auth.html
>>>>>>>
>>>>>>> NSD https://www.nlnetlabs.nl/projects/nsd/about/
>>>>>>>
>>>>>>> Knot DNS https://www.knot-dns.cz/
>>>>>>> DNS Iterativo:
>>>>>>>
>>>>>>> BIND https://www.isc.org/bind/
>>>>>>>
>>>>>>> PowerDNS Recursor https://www.powerdns.com/recursor.html
>>>>>>>
>>>>>>> Unbound https://nlnetlabs.nl/projects/unbound/about/
>>>>>>>
>>>>>>> Knot Resolver https://www.knot-resolver.cz/
>>>>>>>
>>>>>>>
>>>>>>>
>>>>>>> Mariano Absatzwww.clueless.com.ar
>>>>>>>
>>>>>>>
>>>>>>> _______________________________________________
>>>>> Lista mailing list
>>>>> Lista en arnog.com.ar
>>>>> http://mailmancabase.interdotnet.com.ar/mailman/listinfo/lista
>>>>>
>>>>
>>> --
>>> Sent from my Android device with K-9 Mail. Please excuse my brevity.
>>>
>> _______________________________________________
>> Lista mailing list
>> Lista en arnog.com.ar
>> http://mailmancabase.interdotnet.com.ar/mailman/listinfo/lista
>>


> _______________________________________________
> Lista mailing list
> Lista en arnog.com.ar
> http://mailmancabase.interdotnet.com.ar/mailman/listinfo/lista
------------ próxima parte ------------
Se ha borrado un adjunto en formato HTML...
URL: <http://mailmancabase.interdotnet.com.ar/pipermail/lista/attachments/20191217/58d41da6/attachment-0001.html>