DNS сервер

[l1ght 377]

1 час назад, Туйон сказал:

Ок, что тогда использовать в качестве сервера пересылки?

руты?

 

57 минут назад, Бульба сказал:

Зачем эти дебильные непонятные днс сервера которые могут непонятно на сколько кешировать ответ?

потому что скорость держится на кешах и эти же кеши не дают завалить руты, децентрализация

и нормальные люди кешируют на 10-30 минут, не более

но в общем-то даже при суточном кеше особых проблем нет

 

 

[Туйон 1 265]

4 минуты назад, l1ght сказал:

руты?

Т.е. если я в адреса пересылки напихаю десяток тех айпишников (на которые пинг не алё, уже вижу) в итоге мой ДНС-сервер будет хорошо работать?

5 минут назад, l1ght сказал:

потому что скорость держится на кешах и эти же кеши не дают завалить руты, децентрализация

и нормальные люди кешируют на 10-30 минут, не более

С этого момента поподробнее.

У меня в ДНС время жизни кеша стоит 7 дней.

Насколько помню, там оно по умолчанию такое.

Стоит урезать его?

[mixtery 121]

3 часа назад, Туйон сказал:

У меня в ДНС время жизни кеша стоит 7 дней.

Насколько помню, там оно по умолчанию такое.

Микротик топ за свои деньги же!

[l1ght 377]

4 часа назад, Туйон сказал:

Т.е. если я в адреса пересылки напихаю десяток тех айпишников (на которые пинг не алё, уже вижу) в итоге мой ДНС-сервер будет хорошо работать?

ну почитай как это работает, а?

как это подключается и почему это тру вариант

и те же 1.1.1.1 и 8.8.8.8 работают именно так (не учитывая логирование, сбор метрик и эвристику)

и пинги есесно закрыты, и те айпишки в большинстве случаев это эникаст из кучи серверов а не один сервер, ровно так же как 1.1.1.1 и 8.8.8.8

 

4 часа назад, Туйон сказал:

Стоит урезать его?

стоит

много отказоустойчивости завязанной на днс надеется на то что кеш обновится как можно быстрее

если сеточка маленькая, смею предположить что так и есть, сутки будет приемлемо - чем меньше тем лучше, но тем чаще будешь ходить на реальные сервера

но если ты форвардишь запросы на чужой днс - время жизни твоего кеша не имеет значение, если вышестоящий сервер вернет тебе данные из своего кеша (если он кеширует дольше чем ты)

если ходить сразу на руты а не на чужие рекурсоры то ты избегаешь этого эффекта и избавляешься от лишнего запроса на промежуточный сервер

[Туйон 1 265]

7 часов назад, mixtery сказал:

Микротик топ за свои деньги же!

Да, топ.

Сарказм не понятен.

ДНС был настроен мной много лет назад и работает себе отлично.

Просто стало интересно, можно ли сделать правильней.

5 часов назад, l1ght сказал:

и пинги есесно закрыты, и те айпишки в большинстве случаев это эникаст из кучи серверов а не один сервер, ровно так же как 1.1.1.1 и 8.8.8.8

 

Я имел в виду не то, что пинги закрыты, а то, что время отклика там 100-200 мс. ну кое где поменьше.

[masters 126]

19 часов назад, Dimension сказал:

Ну да. Своих зон нет. Отдаём абонам сразу 8.8.8.8 и 1.1.1.1. Уже около года - полёт нормальный. В чём может быть подвох ?!

 

У них есть лимит на количество запросов с IP. Если много IP за НАТом, прочувствуете.

У нас в корпоративной сети, сраз проблемы с 8.8.8.8 начались.

[Dimension 37]

3 часа назад, masters сказал:

 

У них есть лимит на количество запросов с IP. Если много IP за НАТом, прочувствуете.

У нас в корпоративной сети, сраз проблемы с 8.8.8.8 начались.

если много IP за натом - то проблемы будут не только с днс. Да и сколько это много ? Какой лимит ? Тут, как я понимаю, люди форвардяд свой днс на теже 8ки - тоесть вся сеть шлёт свои запросы на 8ки от одного адреса (адрес днс сервера) и всё работает.... Или я что то не так понимаю ?

[melvin 66]

Ребятки, в чем вопрос то.

Если есть своя автономка и блок ip адресов (а если еще и свой почтовик в своем домене), то наличие своего DNS сервера - обязательно-правильное явление. 

Лимит по запросом - не совсем правильная формулировка, т.к. проверяются одновременные запросы на один и тот же ресурс с одного и того же IP, а если будут запросы на разные доменные имена, то лимит (как Вы выражаетесь) будет "шире".

Что касается НАТа, то есть каноны, которые уберегут Вас от заебы со стороны Ваших абонентов в виде каптчи, к примеру, в том же гугле. 64 абона(серых) на 1 белый IP (прокатывает и 128 человек(серых)).

Опять же обратные зоны - это то, что регистрируется в RIPE на ряду со своим primary и secondary DNS.

Никто не заставляет ничего кешить, можно настроить рекурсию на любые доступные free DNS сервера (мы любим гугл  ) и жить спокойно, но:....

Есть автономка, есть пул адресов, есть ядро - маст хэв.

[tkapluk 908]

В 24.11.2020 в 22:22, Туйон сказал:

У меня в ДНС время жизни кеша стоит 7 дней.

пофиг на TTL? Т.е. сайт неделю назад переехал на новый ip а вы клиентам все еще лепете старый? 

В 24.11.2020 в 20:11, Туйон сказал:

В том, что если есть свой днс-сервер с кешем, то странички будут открываться быстрее.

Очень сомнительное утверждение, те сервера CF хрен обгонишь. 

 

43 минуты назад, melvin сказал:

Если есть своя автономка и блок ip адресов (а если еще и свой почтовик в своем домене), то наличие своего DNS сервера - обязательно-правильное явление. 

но гнать туда всех хомяков не обязательно. Да и есть ДНС хостинги умеющие PTR.

 

Единственное когда действительно нужен днс сервер у вас в сети(и куда заганять нужно всех), это когда хочется, чтоб всему миру резолвился ваш домен с внешним ip, а своим хомякам с внутренним. Но ИМХО это уже прошлый век, локальные ресурсы в мелкосредних сетях вымерли. 

[martin 170]

Мы не 2000-ных живем )), не балуйтесь с суточным кешем )), абоны спасибо не скажут. Почти все высоконагруженные юзают RR балансировку, поэтому не стоит играться с их TTL.

Проблем с абонами за натом нет никаких и никогда не было при выдече гуг днс или клауда. Проблема может возникнуть как при форварде со своего ДНС кеша, вот на такое стоят лимиты.

Свой кеш сейчас выгоден если у тебя больше 3-5 тыщ абонов, вот тогда хит в кеш большой и сам кеш постоянно набит, и резолв по тестам быстрее чем у гугла и CF.. Но эта разница в 10-30% настолько маленькая, что и тут особого смысла в огороде своих кешей не вижу..

 

[karyon 48]

бывает  зафлудил 1 абонент (точнее троян с его компа) dns запросами клауд или гугл, клауд порезал количество ответов на 1 айпи и остальные абоны за натом на этом айпи курят n минут, пока флудера не отпустит. А потом жалуются: "чего интернет тупит?"

Відредаговано 2020-11-30 17:33:23 karyon

[foreverok 95]

В 24.11.2020 в 23:22, Туйон сказал:

Т.е. если я в адреса пересылки напихаю десяток тех айпишников (на которые пинг не алё, уже вижу) в итоге мой ДНС-сервер будет хорошо работать?

Не будет. Ничего просто не ответит.

 

nslookup -type=a local.com.ua a.root-servers.net
Server:         a.root-servers.net
Address:        198.41.0.4#53

Non-authoritative answer:
*** Can't find local.com.ua: No answer

nslookup -type=a local.com.ua 8.8.8.8
Server:         8.8.8.8
Address:        8.8.8.8#53

Non-authoritative answer:
Name:   local.com.ua
Address: 104.31.79.44
Name:   local.com.ua
Address: 172.67.139.175
Name:   local.com.ua
Address: 104.31.78.44

Корневые (root) нужны если Вы хотите поднять свой рекурсивный resolver.

[martin 170]

https://developers.google.com/speed/public-dns/docs/isp

[karyon 48]

23 минуты назад, martin сказав:

https://developers.google.com/speed/public-dns/docs/isp

Ага, т.е  сгенерил 1000 запросов днс на гугл и абоненты могут расслабится, отойти от компьютера, попить чай... Хуже когда такое редко возникает и непонятно в чем причина проблем.

Відредаговано 2020-11-30 19:31:28 karyon

[Туйон 1 265]

40 минут назад, foreverok сказал:

Не будет. Ничего просто не ответит.

 

Ок. Рут-серверы не годятся (не отвечают).

1.1.1.1 итд не годятся (ограничения).

У вышестоящего провайдера тоже хз что.

Каким образом тогда поднять корректный днс-сервер?

 

[KaYot 3 708]

1 минуту назад, Туйон сказал:

Каким образом тогда поднять корректный днс-сервер?

Обычный кеширующий сервер. Рекурсивный, вынимающий все из рутов, или форвардящий все на те же 1.1.1.1 и 8.8.8.8

[DenimMark 32]

Так вот вопрос то только в этом «или».

[KaYot 3 708]

Один хрен, можно и так, и так. Запросы мимо кеша весьма редки для любых негативных последствий.

У меня сделано классически с рекурсией, но IMHO с форвардом будет работать быстрее.

[DenimMark 32]

Ok попробую запустить один с форвардом, что порекомендуєте ОС и ПО?

[foreverok 95]

31 минуту назад, Туйон сказал:

Ок. Рут-серверы не годятся (не отвечают).

1.1.1.1 итд не годятся (ограничения).

У вышестоящего провайдера тоже хз что.

Каким образом тогда поднять корректный днс-сервер?

Вариантов куча, опять же от задач зависит.

1. Есть авторитарные серверы - это надо если у вас есть своя зона (прямая или обратная). Можно вынести в облако

2. Есть dns-resolver - сервер отвечающий на запросы клиентов. Он может быть как рекурсивным, так и форвардером (на любые другие рекурсивные DNS в том числе 8.8.8.8 и 1.1.1.1).

Один и тот же сервер может быть и тем и другим.

 

Только что, foreverok сказал:

Вариантов куча, опять же от задач зависит.

1. Есть авторитарные серверы - это надо если у вас есть своя зона (прямая или обратная). Можно вынести в облако

2. Есть dns-resolver - сервер отвечающий на запросы клиентов. Он может быть как рекурсивным, так и форвардером (на любые другие рекурсивные DNS в том числе 8.8.8.8 и 1.1.1.1).

Один и тот же сервер может быть и тем и другим.

 

Проще говоря,

Авторитативный сервер = это моя зона я всё о ней знаю.

рекурсивный = я сейчас узнаю и отвечу

форвардер = я ничего не знаю, спрошу у соседа.

[otchem 92]

а что на счет opendns?