Re: [FRnOG] [TECH] DNS Serveur

[Dominique DERRIER]

Hello,

Comme toujours, cela dépend du niveau de risques et de ce que l'on veut
faire.
si c'est pour deux zones qui se battent... Un petit serveur avec un bind
fonctionne parfaitement.
 il faut quand même suivre les mises à jour car il y a quand même
quelques bugs.
4 serveurs pour +2000zones, pour l'instant pas de soucis. (cela peut
fonctionner avec 2)


Il y a aussi Djbdns pour les fanatiques, qui est aussi une bonne
alternative, même si le principe de la segmentation des processus est bien
(c'est trop confisant pour moi).

Je separerai les notions de resolver et serveur dns... Pour éviter
d'expliquer tous les deux jours le principe des Ttl, de délégation...
Comme cela mr tout le monde et au même niveau.

Un élément essentiel reste que la résolution de noms est super longue
100/300ms ... Une éternité pour un photon :)
(c'est ce qui te plomb l'accès au premier octet).

Si c'est pour tes clients  approche le serveur DNS le plus possible d'eux.
Si c'est pour des internautes  pareil ... Les techniques anycast sont
sympathiques quand tu as des serveurs partout dans le monde.
(si le besoin de temps de réponse sur un téléphone mobile au fin fond de
la japon est important  je suis en train de tester route53 du livre dans
les nuages)


Je profite du sujet DNS:
 Est-ce qu'il y a des personnes qui systématisent l'utilisation de DNSSEC
?
 Est-ce que vous avez de bonnes pratiques / QuickWin pour la gestion des
modifications/clefs/master-slave/...

Bonne fin de journée.

++
Dominique

Le 21/01/13 23:00, « Cyril HLAKKACHE » h...@internetown.eu a écrit :

Solarus wrote  Je ne sais pas pourquoi tu veux ouvrir un DNS public mais
c'est déconseillé. Un DNS doit être limité à quelques plages IP ou un AS,
mais un DNS public n'est pas recommandé.

Quelles BCP conseillent explicitement ça ? si c'est un primaire ou
secondaire, je ne pense pas que le filtrage proposé fonctionne. Si c'est
un cache alors, oui ... peut-être ... mais bon c'est un peu dommage tout
de même. Peut-être aussi qu'il y a confusion entre notion de public et
service de cache DNS.
 
eduperron wrote quiz de la redondance?
Solarus wrote Tu redondes le premier avec le deuxième, ou inversement.

ça dépend aussi de quoi on parle. Pour un cache, le mieux est d'informer
tes futurs clients des 2 ou 3 IP de ces serveurs et de les positionner
sur des réseaux différents de préférence et dans la mesure du possible.
S'il s'agit de DNS primaire alors le mieux est d'avoir 2 secondaires,
l'un chez soit, l'autre chez un partenaire comme un FAI par exemple. Pour
la gestion de zone reverse, le mieux est d'avoir un RIR en NS secondaire
comme par exemple le RIPE avec ns.ripe.net.

eduperron wrote Quelles sont les limites d'une solution open source
comme Bind?
Solaris wrote Aucune.

;) tu fais plaisir à Paul Vixie là ! :) disons qu'il faut au moins viser
la dernière ré-écriture en V9. La version 9.9.2-P1 publiée donne un petit
listing des updates :
https://lists.isc.org/pipermail/bind-announce/2012-December/000823.html
arrive la V10, mais mieux vaut laisser les autres tester avant ;)
  
duperron wrote  Quiz de l'ipv6?

Cette page est intéressante aussi à parcourir :
http://livre.g6.asso.fr/index.php/Recommandations_op%C3%A9rationnelles_pou
r_l%27int%C3%A9gration_d%27IPv6

@+°

Cyril H.
---
Liste de diffusion du FRnOG
http://www.frnog.org/


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] DNS Serveur

[Mikaël Poussard]

Le 22/01/2013 19:31, Dominique DERRIER a écrit :
 si c'est pour deux zones qui se battent... Un petit serveur avec un bind
 fonctionne parfaitement.
 il faut quand même suivre les mises à jour car il y a quand même
 quelques bugs.
 4 serveurs pour +2000zones, pour l'instant pas de soucis. (cela peut
 fonctionner avec 2)

Bind fonctionne aussi parfaitement avec plus de 200.000 zones sur une vm
avec 512Mo de RAM...
(avec backend DLZ)

-- 
Mikaël


---
Liste de diffusion du FRnOG
http://www.frnog.org/

[FRnOG] [TECH] DNS Serveur

[eduperron]

Bonsoir,

Je suis sur un projet d'implémentation de serveur DNS public et je 
vous sollicite pour du conseil.

Quelles solutions utilisez-vous?
Quiz de la redondance?
Quelles sont les limites d'une solution open source comme Bind?
Quiz de l'ipv6?
Vos conseils seront les bienvenus.
Je vous remercie pour votre aide.

Cordialement,

Éric du Perron
France Unicom


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] DNS Serveur

[Solarus]

Le 21/01/2013 19:34, eduper...@franceunicom.fr a écrit :
 Bonsoir,

 Je suis sur un projet d'implémentation de serveur DNS public et je
 vous sollicite pour du conseil.
Je ne sais pas pourquoi tu veux ouvrir un DNS public mais c'est
déconseillé. Un DNS doit être limité à quelques plages IP ou un AS, mais
un DNS public n'est pas recommandé.

 Quelles solutions utilisez-vous?
Bind et Unbound
 Quiz de la redondance?
Tu redondes le premier avec le deuxième, ou inversement.
 Quelles sont les limites d'une solution open source comme Bind?
Aucune.
 Quiz de l'ipv6?
Tu peux renvoyer des réponses  (IPv6) même si ton serveur ne dispose
pas d'une connectivité IPv6. On peut interroger un DNS en IPv4 ou en
IPv6, les réponses renvoyées seront les mêmes pour une même demande.

Cordialement
Solarus.


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: Re: [FRnOG] [TECH] DNS Serveur

[Cyril HLAKKACHE]

Solarus wrote  Je ne sais pas pourquoi tu veux ouvrir un DNS public mais c'est 
déconseillé. Un DNS doit être limité à quelques plages IP ou un AS, mais un DNS 
public n'est pas recommandé.

Quelles BCP conseillent explicitement ça ? si c'est un primaire ou secondaire, 
je ne pense pas que le filtrage proposé fonctionne. Si c'est un cache alors, 
oui ... peut-être ... mais bon c'est un peu dommage tout de même. Peut-être 
aussi qu'il y a confusion entre notion de public et service de cache DNS.
 
eduperron wrote quiz de la redondance?
Solarus wrote Tu redondes le premier avec le deuxième, ou inversement.

ça dépend aussi de quoi on parle. Pour un cache, le mieux est d'informer tes 
futurs clients des 2 ou 3 IP de ces serveurs et de les positionner sur des 
réseaux différents de préférence et dans la mesure du possible. S'il s'agit de 
DNS primaire alors le mieux est d'avoir 2 secondaires, l'un chez soit, l'autre 
chez un partenaire comme un FAI par exemple. Pour la gestion de zone reverse, 
le mieux est d'avoir un RIR en NS secondaire comme par exemple le RIPE avec 
ns.ripe.net. 

eduperron wrote Quelles sont les limites d'une solution open source comme Bind?
Solaris wrote Aucune.

;) tu fais plaisir à Paul Vixie là ! :) disons qu'il faut au moins viser la 
dernière ré-écriture en V9. La version 9.9.2-P1 publiée donne un petit listing 
des updates : 
https://lists.isc.org/pipermail/bind-announce/2012-December/000823.html arrive 
la V10, mais mieux vaut laisser les autres tester avant ;)
  
duperron wrote  Quiz de l'ipv6?

Cette page est intéressante aussi à parcourir : 
http://livre.g6.asso.fr/index.php/Recommandations_op%C3%A9rationnelles_pour_l%27int%C3%A9gration_d%27IPv6
   

@+°

Cyril H.
---
Liste de diffusion du FRnOG
http://www.frnog.org/