Executando um servidor DNS recursivo no host local

1

De vez em quando, as pessoas aqui perguntam "devo usar o DNS do meu provedor de serviços de Internet ou (google / opendns)"?

O que eu quero saber é, por que não executar um servidor recursivo local em seu próprio computador ou rede local? Em seguida, basta usar 127.0.0.1 para o seu servidor DNS e deixar que o servidor descubra nomes diretamente, em vez de confiar / confiar nos servidores executados pelo seu ISP (ou google / opendns)?

Por exemplo, o servidor recursivo que vem com o PowerDNS funciona muito bem, tem versões do Linux e do Windows e é livre. Com o unix, você tem o PowerDNS e o dnscache , embora o dnscache tenha problemas estranhos com cadeias de nomes muito longos ...

Quais são alguns dos motivos a favor e contra a execução de um servidor recursivo local?

    
por chris 01.03.2010 / 20:50

7 respostas

2

Acho que você precisa abordar isso de maneira diferente:

Qual problema você está tentando resolver?

Está executando um servidor DNS local a melhor solução para esse problema. Muitas vezes, tenho visto pessoas implantarem um servidor DNS local sem realmente justificar isso. Nesse caso, você adicionou outro serviço a ser mantido, outro vetor para ataque e outro link em sua rede pelo qual você é responsável.

Eu já vi servidores DNS locais implantados por boas razões. Por exemplo, eu vi casos em que os servidores DNS fornecidos pelo ISP têm muita latência. Rastreamos e medimos essa latência, até 800ms em alguns casos. A instalação de um servidor de cache local corrigiu essa latência.

Os servidores de e-mail foram atrasados pelos resolvedores de DNS públicos dos provedores. Ao instalar um servidor DNS local, esse problema foi resolvido.

Eu já vi a necessidade de resolver alguns domínios de maneira diferente na rede interna versus a rede externa, mais uma vez um servidor DNS local foi a resposta.

As soluções de TI são altamente dependentes do ambiente em que são implantadas.

    
por 01.03.2010 / 21:53
3

O sistema DNS foi projetado para funcionar de forma mais eficiente com o cache regional através do seu ISP.
A menos que você tenha uma preocupação de segurança, ou os servidores DNS do ISP sejam de alguma forma limitados, você deve usá-los.

    
por 01.03.2010 / 21:00
1

Se o seu ISP fornecer um servidor DNS recursivo que

  1. É pelo menos tão confiável quanto seu link
  2. Baixa latência (presumivelmente seria, provavelmente é muito próximo da sua rede)
  3. está devidamente configurado e protegido

Depois, não há muitos benefícios significativos para resolver recursivamente suas consultas DNS.

Você pode configurar um servidor DNS para encaminhar consultas recursivas, em vez de resolvê-las, e simplesmente solicitar que essas solicitações sejam enviadas ao servidor do seu provedor. O que você ganha ao fazer isso é a capacidade de ter um cache atingido no servidor do seu ISP, o que pode economizar dezenas de milissegundos em muitas configurações típicas.

Existem muitas razões pelas quais você pode querer usar essa configuração - digamos, você pode estar executando zonas .local para o seu site (ou split-horizon no domínio do seu site), ou você pode querer ocultar certas zonas do DNS.

    
por 01.03.2010 / 21:30
0

O que Chris S disse e performance. Se alguém está preocupado com a carga da CPU, você não sacrifica a velocidade da sua própria máquina.

    
por 01.03.2010 / 21:08
0

Os servidores de nomes que recurse podem ser vulneráveis a ataques de envenenamento de cache - se esse servidor de nomes também for autoritativo para quaisquer domínios, ele poderá torná-lo vulnerável a alguns ataques desagradáveis de seqüestro.

Para minimizar essa ameaça, se você optar por operar um servidor recursivo, só deverá permitir a recursão de IPs do cliente sob seu controle.

    
por 01.03.2010 / 21:10
0

Eu prefiro usar meu próprio servidor recursivo também, chris. É uma informação a menos que é prontamente dada a terceiros. O único serviço que eu gosto de usar um ISP é o uplink.

Chris S faz um bom argumento, no entanto. Se todo usuário final executasse um cache local, isso colocaria substancialmente mais carga de DNS na Internet.

Sequestro de DNS do Comcast

    
por 01.03.2010 / 21:06
0

Eu executo um servidor DNS não recursivo com o Caching no Server 2012 e sempre o fiz para os meus clientes. Eu vejo um grande benefício no desempenho de "conhecer" informações do DNS na LAN local. Execute qualquer teste de DNS e você sempre verá que o DNS local é mais rápido. Um DNS recursivo ainda é uma questão de opinião ou configuração. Configurações menores não ganham nada fazendo suas próprias pesquisas recursivas e podem realmente atrasar as coisas. Talvez não seja a melhor resposta, mas você tem que testar o desempenho com sua conexão e host para ver se é mais rápido.

    
por 29.08.2014 / 23:44