[caiu] Falha DNS
Douglas Fischer
fischerdouglas em gmail.com
Seg Fev 22 08:21:28 -03 2021
As metodologias do DNSMASQ para alternância e Failover entre Recursivos 1º,
2º, 3º(e pra falar a verdade de boa parte dos S.O.s até um tempo atrás) é
UMA VERGONHA ABSOLUTA!
Não tem capacidade de lembrar que as 10 consultas de DNS feitas a menos de
1 segundo atrás para o NS 1º falharam...
E na próxima consulta, a PORCARIA da engine vai continuar fazendo a
consulta para o 1º, 2º e assim por diante, mesmo que isso adicione 2
segundos até timeout em cada consulta.
Windows(client) e alguns BSDs(client) já implementavam isso com maestria há
muitos anos!
Apenas recentemente as Distro linux começaram a melhorar isso...
CPEs, não conheço NENHUM que tenha isso BEM resolvido.
Aí você faz uma Estrutura FODA de resiliência de DNS, e mesmo assim os
clientes sentem impacto.
(única alternativa é usar Anycast para publicação de DNS)
E nem vamos falar de DNSSEC, porque aí vai ser uma vergonha geral para uma
boa parte dos Serviços de DNS recursivos.
Em dom., 21 de fev. de 2021 às 12:39, Marcio Rodrigo Pereira <
marciorp em gmail.com> escreveu:
> My 5 cents.
>
> Magoei rsrsrs
> Não dá pra colocar o Dnsmasq nesse "bolo", seria como querer comparar um
> Fusca com um Bugatti.
> Uso o Dnsmasq c/ OpenWRT na minha casa, tem uns 8 meses, para atender uns
> 6-7 clientes simultâneos, ainda não tive problemas.
> O Dnsmasq é para isso, na minha opinião. Já o Bind se propõe a bem mais do
> que isso, se entrega ou não já é outra questão.
>
> Atenciosamente,
>
> Marcio Rodrigo Pereira
>
>
> Em sáb., 20 de fev. de 2021 às 18:32, Rubens Kuhl <rubensk em gmail.com>
> escreveu:
>
> > >
> > > Unbound se mostrou muito superior para usar como recursivo para seus
> > > clientes.
> > > Sugiro trocarem.
> > >
> > >
> > Vulnerabilidades do Unbound: 1 a cada 3 anos
> > Vulnerabilidades do BIND como recursivo: 1 a cada 3 meses (às vezes até
> > mais)
> >
> > Mas o Unbound não é o único recursivo sólido... tem o Knot Resolver e o
> > PowerDNS recursor (não confundir com o pdns).
> > E o BIND nem é o pior recursivo, o dns-masq existe para até o BIND não se
> > sentir tão mal.
> >
> >
> > Rubens
> > _______________________________________________
> > caiu mailing list
> > caiu em eng.registro.br
> > https://eng.registro.br/mailman/listinfo/caiu
> >
> >
> > --> PARA SAIR DA LISTA SIGA AS INSTRUÇÕES em:
> >
> > https://eng.registro.br/mailman/options/caiu
> >
> _______________________________________________
> caiu mailing list
> caiu em eng.registro.br
> https://eng.registro.br/mailman/listinfo/caiu
>
>
> --> PARA SAIR DA LISTA SIGA AS INSTRUÇÕES em:
>
> https://eng.registro.br/mailman/options/caiu
>
--
Douglas Fernando Fischer
Engº de Controle e Automação
Mais detalhes sobre a lista de discussão caiu