Fórum Root.cz

Hlavní témata => Server => Téma založeno: NN 27. 06. 2016, 19:15:50

Název: Jaký autoritativní DNS server?
Přispěvatel: NN 27. 06. 2016, 19:15:50

Planujem prekopat nase DNS servery, teraz nam tam bezi BIND 9.9.x. Na master by som chcel webove rozhranie pre spravu zon a zaznamov. Bohuzial nenachadzam ziadne riesenie, ktore by bolo aktivne vyvijane. PowerDNS nepoznam, bojim sa, aby neboli problemy na Solarise 10, na ktorom nam bezi jeden slave. Ma niekto nasadeny BIND 10? Oplati sa nasadit?

Název: Re:Jaký autoritativní DNS server?
Přispěvatel: Dzavy 28. 06. 2016, 10:31:56

Asi nejlepsi web UI pro spravu DNS (BIND) co jsem kdy videl, byl Webmin.

Název: Re:Jaký autoritativní DNS server?
Přispěvatel: Dr.Eddy 28. 06. 2016, 11:07:43

Webove rozhrani je nutna podminka pro vsechny instance? Myslim, ze se casto nasazuje nekolik ruznych serveru pro rozlozeni rizika. Krom toho Bind je neuveritelne pomaly. Doporucuju KnotDNS: https://www.knot-dns.cz/ (https://www.knot-dns.cz/) (vizte benchmarky, NSD je na tom taky dobre)

KnotDNS zatim webove rozhrani nema, ale pracuji na obecnem vzdalenem rozhrani pro spravu konfigurace serveru i zon samotnych a webove UI je myslim taky v planu.

Název: Re:Jaký autoritativní DNS server?
Přispěvatel: ZAJDAN 29. 06. 2016, 10:23:29

a proč ne český produkt?:
https://www.knot-dns.cz/

Název: Re:Jaký autoritativní DNS server?
Přispěvatel: NN 29. 06. 2016, 18:56:01

Citace: ZAJDAN  29. 06. 2016, 10:23:29

a proč ne český produkt?:
https://www.knot-dns.cz/

Protoze nema web UI.

Název: Re:Jaký autoritativní DNS server?
Přispěvatel: NN 29. 06. 2016, 18:56:52

Citace: Dr.Eddy  28. 06. 2016, 11:07:43

Webove rozhrani je nutna podminka pro vsechny instance?

Nie, iba na master.

Název: Re:Jaký autoritativní DNS server?
Přispěvatel: JardaP . 29. 06. 2016, 20:46:18

BTW, kdysi, kdyz byl BIND deravy jak reseto (otazka v krizovce: Bezepecnostni dira na 4), tak se dost mluvilo o djbdns, jako o krute bezpecnem DNS serveru. Dnes uz je to bohuzel mrtvy projekt, ale existuje fork na Debianu: dbndns. Debian to udrzuje a flastruje. Dokonce na to pry existuji patche na DNSSEC. Dokonce i nejaky te webovy frontend by se na to nasel: https://sourceforge.net/projects/vegadns/ . Je tady nekdo, kdo to pouziva a mohl by o tom ztratit par slov chvaly nebo nadavek?

Název: Re:Jaký autoritativní DNS server?
Přispěvatel: Filip Jirsák 29. 06. 2016, 21:25:50

Já jsem djbdns používal v době, kdy nebylo nutné řešit IPv6 a DNSSEC. Z hlediska přístupu k DNS to je podle mne do dneška nepřekonaný DNS server – např. protože jeho autor prosazoval, že DNS má sloužit k překladu jmen a ne pro přenos souborů, na což máme lepší protokoly, nebo proto, že sadu záznamů je v konfiguračním souboru nejlepší reprezentovat jako sadu záznamů, a není potřeba používat unikátní formát souboru. Co server nejlépe zvládne sám (udržovat sériové číslo zóny, reverzní záznamy k „dopředným“ názvům), to dělá sám. Dodnes servery samy od sebe neumí ani takovou prkotinu, jako je automatické překlopení záznamu v určitý čas – do určeného okamžiku server posílá jeden záznam a zkracuje mu TTL, od toho okamžiku začne posílat jiný, takže se během pár desítek sekund všichni klienti překlopí na novou adresu.

Ale jako mu svéráz DJB umožnil napsat takhle novátorský DNS server, zároveň mu to brání přizpůsobovat ho současným požadavkům. DJB má jiný názor na to, jak by se mělo DNS zabezpečit, tak nebude implementovat DNSSEC. Nějakou základní podporu nových věcí tam zatím vždy někdo dolepí, ale DNS prostě není hotový protokol, který už se nebude vyvíjet a vylepšovat, dokonce mohou být nalezeny i chyby přímo v DNS protokolu (i když i na ten nedostatek, který už se našel a který sváděl k nebezpečným implementacím, DJB upozorňoval už dávno a djbdns byl proti té chybě odolný). A když autor toho software nemá zájem ho dál rozvíjet, nedá se čekat nic jiného, než že bude pomalu umírat.

Název: Re:Jaký autoritativní DNS server?
Přispěvatel: JardaP . 29. 06. 2016, 22:10:16

Ovsem dbndns, ktery je toho forkem, je podle vseho udrzovany. Otazka je, jestli je to akorat djbdns se zaplatami nebo se to nejak vyviji.

Název: Re:Jaký autoritativní DNS server?
Přispěvatel: Filip Jirsák 30. 06. 2016, 07:02:50

Podle mne je to jenom shromáždění několika patchů, které jsou různě po internetu, na jedno místo. Nenazval bych to ani „udržovaný“. Poslední stabilní verze z roku 2010, poslední změna 2013…

Název: Re:Jaký autoritativní DNS server?
Přispěvatel: Dzavy 30. 06. 2016, 16:26:17

No a co je za problem pouzit BIND s Webmin GUI jako "hidden master" a jako samotny autoritativni servery pak cokoliv?

Název: Re:Jaký autoritativní DNS server?
Přispěvatel: j 01. 07. 2016, 10:24:20

Jako nevim proc to resite, pocitam ze 100M domen obsluhovat nebude, takze je uplne jedno co pouzije. A bind je pouzivany a provereny reseni, jednoduse to funguje, na netu je k tomu hromady dokumentaci, a umi veci, o kterych se vetsine ostatnich nezda.

Název: Re:Jaký autoritativní DNS server?
Přispěvatel: Martin 01. 07. 2016, 22:22:43

Pouzivame Powerdns jako skryty master + 2x Knot a 2x NSD dostupny zvenku. Instalace jednoducha, webove rozhrani funguje vyborne (poweradmin), jednoduse lze i zprovoznit DNSSEC vcetne automaticke vymeny klicu. Zony jsou v db (mysql), takze lze i jednoduse vyhledavat a automatizovane spravovat. Bezpecnost ani vykon porovnat moc nemuzu.

Martin