Нужен ли Master и Slave для локального DNS?

276
Tmanok

Я думаю о внедрении большего количества локальных вещей для производительности, использования Интернета, а также конфиденциальности. Мне нравится идея, что мне не нужно полагаться на Google 8.8.8.8 и 8.8.4.4 для моих собственных служб DNS (как для производительности, так и для конфиденциальности), и мне нравится идея иметь локальное зеркало для моих обновлений Debian для моих 40+ компьютеров здесь. вместо этого ... Вернемся к вопросу: во многих статьях говорится о наличии главного и подчиненного серверов для DNS (BIND9), но мне действительно нужен только один сервер кэширования или сервер пересылки.

Также пытаетесь выяснить мой лучший вариант, пересылка или кэширование? Кэширование, кажется, имеет смысл, но они оба очень похожи ...

Настройка не кажется слишком сложной, но выбор немного запутанный. Смотрите здесь и здесь, они оба оставили меня в замешательстве относительно того, нужен ли мне Master и Slave или просто один независимый сервер. Спасибо всем.

1

1 ответ на вопрос

2
Anaksunaman

Меня немного смущает вопрос, нужен ли мне Master и Slave или просто один независимый сервер.

Наличие всего лишь одного сервера имен является вполне работоспособным решением и в некоторых случаях является хорошим вариантом. Тем не менее, поддержка двух (или более) серверов имен является гораздо более распространенной практикой.

Основным преимуществом наличия нескольких серверов имен является доступность. В частности, он охватывает избыточность (то есть, что, если сервер имен отключен?) И потенциальные улучшения производительности от разделения работы по обработке DNS-запросов.

Однако обратите внимание, что поддержание двух серверов имен требует передачи зон (репликация базы данных DNS). Хотя обычно это происходит быстро и автоматически, это добавляет еще один уровень к конфигурации и управлению вашими серверами.

Я также пытаюсь выяснить мой лучший вариант, пересылка или кэширование?

Серверы пересылки, вероятно, работают быстрее (и, возможно, работают лучше в целом), поскольку они не разрешают (большинство) запросов самостоятельно. Но это и их главная слабость. Они передают данные сторонним лицам, и если их внешний распознаватель недоступен, они вообще не могут обслуживать внешние запросы.

Кэширующие серверы, с другой стороны, не имеют этой проблемы. Они относительно крепкие и автономные. Это дает вам больше конфиденциальности и отвлекает вас от сторонних DNS, например Google (что кажется вам желательным). Возможно, они требуют немного больше конфигурации с точки зрения безопасности, но, вероятно, не так много. Они могут или не могут работать так же хорошо, как сервер пересылки, но это будет сильно зависеть от вашего трафика.

СПАСИБО за то, что на самом деле ответили на вопрос, иногда редкость в отношении услуг, о которых никто не знает, но утверждает, что знает. Спасибо Anaksunaman, вы случайно не знаете о каких-либо недостатках безопасности с серверами DNS-кэширования? Tmanok 6 лет назад 0
Добро пожаловать и спасибо. =) Что касается безопасности, основная проблема с конфигурациями кэширования заключается в том, что процесс разрешения может использоваться для создания проблем злонамеренными третьими лицами. Чаще всего это принимает такие вещи, как отравление кэша (которое может распространиться на другие DNS-серверы) или атаки с усилением DNS (которые являются типом атаки распределенного отказа в обслуживании [DDoS]). Многие проблемы безопасности конфигурации кэширования могут быть устранены с помощью надлежащих списков контроля доступа (ACL), чтобы ограничить рекурсию (поиск доменов) только для локальных клиентов и поддерживать ваше программное обеспечение обновленным. Anaksunaman 6 лет назад 1
Тем не менее, есть определенно больше тем и шагов, которые нужно предпринять, если вы хотите быть бдительными в отношении своей безопасности. Если вам нужен очень простой обзор некоторых проблем безопасности, вы можете обратиться к этой [статье] (https://www.esecurityplanet.com/network-security/how-to-prevent-dns- attacks.html). Это также помогает помнить, что общедоступные серверы, используемые для предоставления служб DNS для внешних доменов (авторитетные серверы имен), вероятно, требуют более тщательного изучения, чем те, которые, возможно, предоставляют только локальные доменные имена, независимо от рекурсии. Anaksunaman 6 лет назад 1
На самом деле забавно, что вы упомянули общедоступные DNS-серверы. Мне было очень интересно, что с использованием [https://public-dns.info//nameserver/ca.html] одного из них могло бы быть положительным / отрицательным для моей сети. Очевидно, я не вижу, как Google рушится, но я вижу, что они отслеживают мои результаты и получают небольшую прибыль и вторжение в личную жизнь от этого. Tmanok 6 лет назад 0
Я бы сказал, что все будет зависеть от выбранных вами серверов. С точки зрения производительности, скорее всего, это будет зависеть от географического местоположения (насколько они близки вам?), Инфраструктуры (действительно ли их оборудование лучше вашего?) И размера кеша (сколько запросов они обслуживают?). Размер кэша - наиболее вероятная область, в которой я вижу преимущество. Но если они обслуживают кучу запросов, которые не кэшируются (вы не посещаете много сайтов, которые есть у других), то это преимущество уменьшается. Снаряжение - это настоящая трата времени, и вы никогда не сможете стать географически ближе, чем сейчас. Anaksunaman 6 лет назад 1
С точки зрения конфиденциальности, это вопрос доверия. Я полагаю, что многие из этих провайдеров не являются Google - но это не гарантировано. Вы также можете подумать о проблемах безопасности - возможно, вы полагаетесь на то, что они обеспечивают безопасность своих серверов (или безопаснее, чем свои собственные), что может быть или не быть разумным ожиданием. Я не говорю, что какая-либо служба в этом списке является «плохой» (а ее меньший размер может даже предотвратить какое-либо целенаправленное зло), но это, вероятно, такая же азартная игра, как и использование любого другого стороннего поставщика. Anaksunaman 6 лет назад 1

Похожие вопросы