[Linuxtrent] Re: [Linuxtrent] Re: [Linuxtrent] DNS in intranet howto se internet giù
- From: Ezio Paglia <ezio@xxxxxxxxxxxxxxx>
- To: linuxtrent@xxxxxxxxxxxxx
- Date: Thu, 27 Oct 2011 09:39:56 +0200
Flavio Visentin ha scritto:
On 10/26/2011 01:03 PM, Ezio Paglia wrote:
Al di là delle ridondanze che possiamo dare ai nostri dns, abbiamo il
problema che quelle sporadiche volte che internet è giù anche tutti i
servizi intranet sono nella pratica irraggiungibili.
Il che significa che non hai dei DNS ma hai solo dei resolver.
Veramente siamo primari per una ventina di dns. Debbo ancora provare il
suggerimento del diaolin riferito alla cache, perché senza credo che
qualunque sistema come il nostro entri in crisi senza che ridondanze di
dns, secondari etc possano far nulla. I client puntano ai resolver
locali, i resolver locali debbono poter accedere al dns per la
risoluzione locale o essere gli stessi dns locali, quindi senza giochi
sulla cache che impongono una cachizzazione negativa temporanea non ne esci.
I client si riferiscono ad un resolver che coincide con il server dns
comunale, che a sua volta ha dei resolver esterni del fornitore internet.
Se hai dei DNS interni è scorretto impostare dei forwarders. Un DNS
interno dovrebbe sempre puntare ai root DNS per molteplici ragioni, tra
cui le problematica di sicurezza. Se usi un forwarder non puoi fare
affidamento sulle risposte DNS che questo ti passa, mentre puntando
direttamente ai root dns, per le zone firmate con dnssec (aka quasi
tutte tranne la .it), eventuali manipolazioni sarebbero scoperte.
E' successo 2 volte in un anno. Verosimilmente il fornitore che è
internazionale attua delle modifiche di cui ci rendiamo conto a
posteriori. A parer mio il problema
Se punti sempre ai root server sei molto molto più lento, per forza di cose.
Accade talvolta che agli stessi resolver debba cambiare priorità, oppure
debba escluderli per andare direttamente sui root server;
Quindi perché non lasciarli esclusi che è anche la configurazione corretta?
ma questo
accade quando internet è su e il fornitore ha qualche problema sui suoi
resolver.
Il che la dice lunga sull'affidabilità del fornitore.
Tuttavia quando internet è proprio giù, le richieste si accodano sul dns
che si intasa e non risponde, bloccando quindi l'accesso a tutti i
servizi comunali.
Perché non si tratta di un DNS.
Sono dns veri e tanti, gestiti in bind9, con le problematiche della
definizione sull'inside, sulle dmz, sull'outside, della risposta
differenziata a seconda del sorgente della query.
Idee ?
Come già suggerito installa Bind o dnsmasq. Il primo più completo, il
secondo più semplice. E non usare alcun tipo di forwarders che non
servono a nulla se non per creare problemi.
Ciao.
Ezio.
--
Per iscriversi (o disiscriversi), basta spedire un messaggio con OGGETTO
"subscribe" (o "unsubscribe") a mailto:linuxtrent-request@xxxxxxxxxxxxx
Other related posts: