[GTER] Servidores DNS recursivos.
Leonardo Rodrigues
leolistas at solutti.com.br
Mon May 11 08:34:49 -03 2009
Joelson Vendramin escreveu:
> Prezados,
>
> Em se tratando da escolha de software open source para montar um servidor DNS recursivo (caching-only nameserver), alguém na lista já teve alguma experiência (positiva ou negativa) com softwares alternativos, tais como: MaraDNS, djbdns, PowerDNS, etc.?
>
>
Tive péssimas experiências com o MaraDNS em relação à resolver
registros que apontam pra CNAME .... e o outro aponta pra CNAME ....
exemplo:
[root at iweb ~]# host www.hotmail.com
www.hotmail.com is an alias for mail.live.com.
mail.live.com is an alias for toplevel.mail.live.com.akadns.net.
toplevel.mail.live.com.akadns.net is an alias for origin.mail.live.com.
origin.mail.live.com has address 64.4.20.186
origin.mail.live.com has address 64.4.20.169
origin.mail.live.com has address 64.4.20.174
origin.mail.live.com has address 64.4.20.184
[root at iweb ~]#
www.hotmail.com resolve CNAME para mail.live.com
mail.live.com resolve CNAME para toplevel.mail.live.com.akadns.net
toplevel.mail.live.com.akadns.com resolve CNAME para
origin.mail.live.com
e ai o origin.mail.live.com, finalmente, resolve pra IPs
o MaraDNS simplesmente engasga demais nesse tipo de registro e
retorna falha de resolução. Pra registros que apontam direto pra IP
(registros do tipo A), sempre funcionou perfeitamente. Mas quando tinha
CNAMEs envolvidos, ele tropeçava sempre. E como usar A ou CNAME não está
sob minha decisão, tive que parar de usar o MaraDNS.
voltei pro bom e velho bind e estou satisfeitíssimo. Apesar dele ter
inúmeros recursos completamente desnecessários num servidor recursivo,
tem um recurso que eu acho interessante e utilizo: DNSSEC.
Como a utilização de DNSSEC já está disponível pra praticamente
todos os domínios .br, eu acho interessante validar isso. E o bind9
permite utilização de DNSSEC, diferente de outros servidores recursivos
'menores', que geralmente não implementam diversos outros recursos do
bind (que eu não uso nenhum, diga-se de passagem) e nem DNSSEC.
--
Atenciosamente / Sincerily,
Leonardo Rodrigues
Solutti Tecnologia
http://www.solutti.com.br
Minha armadilha de SPAM, NÃO mandem email
gertrudes at solutti.com.br
My SPAMTRAP, do not email it
More information about the gter
mailing list