[GTER] Servidores DNS recursivos.

Leonardo Rodrigues leolistas at solutti.com.br
Mon May 11 08:34:49 -03 2009


Joelson Vendramin escreveu:
> Prezados,
>
> Em se tratando da escolha de software open source para montar um servidor DNS recursivo (caching-only nameserver), alguém na lista já teve alguma experiência (positiva ou negativa) com softwares alternativos, tais como: MaraDNS, djbdns, PowerDNS, etc.?
>
>   

    Tive péssimas experiências com o MaraDNS em relação à resolver 
registros que apontam pra CNAME .... e o outro aponta pra CNAME .... 
exemplo:

[root at iweb ~]# host www.hotmail.com
www.hotmail.com is an alias for mail.live.com.
mail.live.com is an alias for toplevel.mail.live.com.akadns.net.
toplevel.mail.live.com.akadns.net is an alias for origin.mail.live.com.
origin.mail.live.com has address 64.4.20.186
origin.mail.live.com has address 64.4.20.169
origin.mail.live.com has address 64.4.20.174
origin.mail.live.com has address 64.4.20.184
[root at iweb ~]#


    www.hotmail.com resolve CNAME para mail.live.com
    mail.live.com resolve CNAME para toplevel.mail.live.com.akadns.net
    toplevel.mail.live.com.akadns.com resolve CNAME para 
origin.mail.live.com
    e ai o origin.mail.live.com, finalmente, resolve pra IPs

    o MaraDNS simplesmente engasga demais nesse tipo de registro e 
retorna falha de resolução. Pra registros que apontam direto pra IP 
(registros do tipo A), sempre funcionou perfeitamente. Mas quando tinha 
CNAMEs envolvidos, ele tropeçava sempre. E como usar A ou CNAME não está 
sob minha decisão, tive que parar de usar o MaraDNS.

    voltei pro bom e velho bind e estou satisfeitíssimo. Apesar dele ter 
inúmeros recursos completamente desnecessários num servidor recursivo, 
tem um recurso que eu acho interessante e utilizo: DNSSEC.

    Como a utilização de DNSSEC já está disponível pra praticamente 
todos os domínios .br, eu acho interessante validar isso. E o bind9 
permite utilização de DNSSEC, diferente de outros servidores recursivos 
'menores', que geralmente não implementam diversos outros recursos do 
bind (que eu não uso nenhum, diga-se de passagem) e nem DNSSEC.



-- 


	Atenciosamente / Sincerily,
	Leonardo Rodrigues
	Solutti Tecnologia
	http://www.solutti.com.br

	Minha armadilha de SPAM, NÃO mandem email
	gertrudes at solutti.com.br
	My SPAMTRAP, do not email it







More information about the gter mailing list