[Lista ArNOG] DNS propios

Demian Pecile dpecile en sietecapas.com.ar
Lun Ene 6 17:35:57 -03 2020 

Hola Darío
	Muy buena info.
	Tenes idea si hay alguna lista local de sitios a bloquear ?
	Estoy probando varios, y no tienen sitios locales.
	Imagino que no me va a quedar otra que compilarlos manualmente.
	Llegado el caso podría ser interesante compartir la información no ?

Saludos y gracias

Demian

> El 4 dic. 2019, a las 16:36, Dario Fernandez <dfernandez en researchsrl.com.ar> escribió:
> 
> Nosotros tenemos para un grupo de 3000 clientes 2 unbound virtualizados, como primario y secundario.
> Los recursos en el caso de un servidor recursivo dependen más que nada de cuanto queres guardar, en nuestro caso también lo usamos para filtrar malware y dominios fraudulento, para lo que usamos pfsense, pero en recursos tenemos lo siguiente 4Cores, 4GRam y 10GHD, eso resuelve alrededor de 800 query por segundo cada uno.
> 
> 
> 
> pi-hole: Network-wide Ad Blocking
> https://pi-hole.net <https://pi-hole.net/> - https://github.com/pi-hole/pi-hole/#one-step-automated-install <https://github.com/pi-hole/pi-hole/#one-step-automated-install>
> 
> pfSense: Firewall Open Source
> https://pfsense.org <https://pfsense.org/> - https://docs.netgate.com/pfsense/en/latest/install/installing-pfsense.html <https://docs.netgate.com/pfsense/en/latest/install/installing-pfsense.html> - https://www.linuxincluded.com/block-ads-malvertising-on-pfsense-using-pfblockerng-dnsbl/ <https://www.linuxincluded.com/block-ads-malvertising-on-pfsense-using-pfblockerng-dnsbl/> 
> 
> OPNsense: Fork derivado de pfSense (2015)
> https://opnsense.org <https://opnsense.org/> - https://devinstechblog.com/block-ads-with-dns-in-opnsense/ <https://devinstechblog.com/block-ads-with-dns-in-opnsense/> 
> 
> Unbound: Validating, recursive, caching DNS resolver
> https://nlnetlabs.nl/projects/unbound/about/ <https://nlnetlabs.nl/projects/unbound/about/> - https://nlnetlabs.nl/documentation/unbound/howto-setup/ <https://nlnetlabs.nl/documentation/unbound/howto-setup/> - https://medium.com/@steffinstanly/unbound-dns-blocking-3567986a5735 <https://medium.com/@steffinstanly/unbound-dns-blocking-3567986a5735> 
> 
> dns-zone-blacklist: Genera archivos de zona para Bind, Unbound y Dnsmasq
> https://github.com/oznu/dns-zone-blacklist <https://github.com/oznu/dns-zone-blacklist> - 
> 
> StevenBlack/hosts: Listas de hosts para ser utilizadas, se actualizan con frecuencia.
> https://github.com/StevenBlack/hosts <https://github.com/StevenBlack/hosts> -
> 
> Lic. Darío Fernández
> Research SRL
> Coord. Técnico IXP Posadas - CABASE
> (0376) 154619600 (Personal)
> (0376) 154254938 (Claro) 
> Av. Tomas Guido 4435 - Posadas - Misiones
> 
> 
> El lun., 2 de dic. de 2019 a la(s) 21:01, Juan Martin Runge (jmrunge en gmail.com <mailto:jmrunge en gmail.com>) escribió:
> Guillermo, Mariano, 
> Gracias por los consejos y experiencias! Le voy a pegar una mirada a los links que me pasaron. Muy piola tener una idea de requerimiento de harware, la verdad pense que necesitaba mucho mas fierro para el DNS resolver... Te pediria Guillermo si me podes decir cuantos cores y de cuanto le tenes asignado a ese servidor. Como todavia no tengo granja de virtuales (y creo que falta para que la tenga), la idea seria poner un server fisico para esto, algo modesto si es posible.
> 
> Saludos, 
> 
> Juan Martin
> 
> El vie., 29 nov. 2019 a las 16:40, Mariano Absatz - gmail (<el.baby en gmail.com <mailto:el.baby en gmail.com>>) escribió:
> OK, trato de buscar algun tutorial piola.
> 
> Otro servidor interesante (para el caso del resolver) es un producto que hace la gente de PowerDNS que se llama dnsdist. Yo no lo usé nunca, pero un amigo que armó granjas de resolvers para grandes proveedorees lo usa.
> 
> Básicamente, es una especie de "load balancer" para (resolución) DNS que te permite distribuir las consultas entre servidores que podrían estar más o menos cargados, o, si detectás un comportamiento abusivo, hacerle rate limiting o derivarlo a algunos servidores en particular, etc. No lo encararía desde el principio, pero le pegaría una mirada: https://dnsdist.org/ <https://dnsdist.org/>
> Con respecto al sizing, supongo que la gente que opere ISPs te podrá dar alguna idea. Yo no opero servidores :-)
> 
> Saludos.
> 
> 
> 
> Mariano Absatz
> www.clueless.com.ar <http://www.clueless.com.ar/>
> On 29/11/2019 14:21, Juan Martin Runge wrote:
>> Mariano y Ariel, 
>> Muchas gracias por ambas respuestas. Yendo a la consulta de Mariano, lo que necesito es resolución DNS para mis clientes de internet.  Con respecto a la documentación y/o tutoriales, pueden ser en inglés tranquilamente, estoy acostumbrado. Ahora me voy a poner a leer un poco los que ya me enviaron. En cuanto a fierro, qué me recomiendan para atender bien y sin demoras a unos 15.000 clientes (hoy tenemos 5.000, pero apuntamos a esa cifra para los próximos 2 años)?
>> 
>> Saludos a todos y buen fin de semana!
>> 
>> Juan Martin
>> 
>> El vie., 29 nov. 2019 a las 12:37, Mariano Absatz - gmail (<el.baby en gmail.com <mailto:el.baby en gmail.com>>) escribió:
>> 
>> On 26/09/2019 15:57, Juan Martin Runge wrote:
>>> Estimados, 
>>> Ahora molesto con otra consulta... Estaría necesitando armar mis propios DNS. Qué hardware y software me podrían recomendar para esto? Algún link donde pueda leer algo al respecto? La verdad tengo cero experiencia en DNS y estoy como que no se por donde empezar...
>>> 
>> Hola Juan Martín,
>> 
>> lo primero que tenés que ver es qué querés decir con "armar mis propios DNS".
>> 
>> Una de las mayores dificultades para entender cómo funciona el DNS es que DNS son varias cosas y, en principio, 2 servicios distintos:
>> 
>> Publicación DNS: Este es el servicio de publicar datos en el DNS (por ejemplo, decir que tu página web (o de tus clientes de hosting) está en tal IP o que los mails para tu dominio (o de los dominios de tus clientes de hosting) deben ser enviados a tales servidores. Esto es lo que se llama DNS autoritativo.
>> Resolución DNS: Este es el servicio de buscar en toda la jerarquía distribuida del DNS de todo el mundo todas las cosas que necesiten tus usuarios (ya sea la gente que labura en tu empresa o, principalmente, tus clientes de conectividad). Esto se suele llamar DNS recursivo o iterativo.
>> Pensá que si bien ambos servicios pueden ser servicios que vos le brindás a tus clientes, los servicios están asociados a distintos productos que le vendés a tus clientes.
>> 
>> El DNS autoritativo se lo brindás al cliente que te contrata un hosting (web, mail, etc).
>> 
>> El DNS iterativo se lo brindás al cliente que te contrata conectividad.
>> 
>> 
>> 
>> Si bien algunos servidores DNS te permiten dar ambos servicios (e.g: BIND o Microsoft), resistí, por todos los medios, brindarlos en conjunto. Hace años (décadas) que se recomienda no hacer esto (salvo en algunos casos muy pequeños, nunca en un ámbito de un proveedor de servicios).
>> 
>> 
>> 
>> Si bien BIND es el más conocido y desarrollado (y las últimas versiones son bastante seguras y performantes), suele ser bastante complejo de configurar. En parte porque, como te decía más arriba, brinda los dos servicios, y por otro lado, porque al ser la implementación "de referencia" de los RFCs, implementa todas las cosas jamás inventadas sobre el DNS, aún las que casi nadie utiliza. El 90% de los ISPs necesita cosas bastante simples para ambos servicios.
>> 
>> 
>> 
>> La verdad es que no tengo ahora a mano links piolas para armar los distintos entornos (menos en castellano), pero dejame que al menos te apunte a las variantes de servidores abiertos que brindan cada uno de los dos servicios.
>> 
>> DNS Autoritativo:
>> 
>> BIND https://www.isc.org/bind/ <https://www.isc.org/bind/>
>> PowerDNS Authoritative Server https://www.powerdns.com/auth.html <https://www.powerdns.com/auth.html>
>> NSD https://www.nlnetlabs.nl/projects/nsd/about/ <https://www.nlnetlabs.nl/projects/nsd/about/>
>> Knot DNS https://www.knot-dns.cz/ <https://www.knot-dns.cz/>
>> DNS Iterativo:
>> 
>> BIND https://www.isc.org/bind/ <https://www.isc.org/bind/>
>> PowerDNS Recursor https://www.powerdns.com/recursor.html <https://www.powerdns.com/recursor.html>
>> Unbound https://nlnetlabs.nl/projects/unbound/about/ <https://nlnetlabs.nl/projects/unbound/about/>
>> Knot Resolver https://www.knot-resolver.cz/ <https://www.knot-resolver.cz/>
>> 
>> 
>> Mariano Absatz
>> www.clueless.com.ar <http://www.clueless.com.ar/>
> _______________________________________________
> Lista mailing list
> Lista en arnog.com.ar <mailto:Lista en arnog.com.ar>
> http://mailmancabase.interdotnet.com.ar/mailman/listinfo/lista <http://mailmancabase.interdotnet.com.ar/mailman/listinfo/lista>
> _______________________________________________
> Lista mailing list
> Lista en arnog.com.ar
> http://mailmancabase.interdotnet.com.ar/mailman/listinfo/lista

--
Demian Pecile
Siete Capas S.R.L.
Periodistas Neuquinos 136
Piso 4 - Dpto. A - 8300 Neuquen
Argentina
Tel +54-299-4479172 
Cel. +549-299-5833500

------------ próxima parte ------------
Se ha borrado un adjunto en formato HTML...
URL: <http://mailmancabase.interdotnet.com.ar/pipermail/lista/attachments/20200106/208f44ce/attachment-0001.html>

Más información sobre la lista de distribución Lista