Benötige ich einen Master und einen Slave für lokales DNS?

353
Tmanok

Ich denke darüber nach, mehr lokales Material für die Leistung, die Internetnutzung und auch den Datenschutz einzuführen. Ich mag die Idee, dass ich mich nicht auf Googles 8.8.8.8 und 8.8.4.4 für meine eigenen DNS-Dienste verlassen muss (sowohl für die Leistung als auch für den Datenschutz). Ich mag die Idee, einen lokalen Spiegel für meine Debian-Updates für meine 40+ Maschinen hier zu haben Stattdessen ... Zurück zur Frage: Viele Artikel beziehen sich auf einen Master- und Slave-Server für DNS (BIND9), ich möchte jedoch nur einen Caching-Server oder einen Weiterleitungsserver.

Versuchen Sie auch, meine beste Option herauszufinden, Weiterleiten oder Zwischenspeichern? Caching scheint am sinnvollsten zu sein, aber beide sind sich so ähnlich ...

Das Setup erscheint nicht allzu schwierig, aber die Auswahl ist etwas verwirrend. Sehen Sie hier und hier, beide haben mich etwas verwirrt gelassen, ob ich einen Master und einen Slave oder einfach nur einen unabhängigen Server brauche. Danke euch allen.

1

1 Antwort auf die Frage

2
Anaksunaman

Ich bin etwas verwirrt, ob ich einen Master und einen Slave oder einfach nur einen unabhängigen Server brauche.

Ein einziger Nameserver ist eine perfekt funktionierende Lösung und in manchen Fällen eine gute Option. Das Aufrechterhalten von zwei (oder mehr) Nameservern ist weitaus üblicher.

Der Hauptvorteil mehrerer Nameserver ist die Verfügbarkeit. Insbesondere werden Redundanz behandelt (dh, was ist, wenn ein Nameserver offline ist?) Und potenzielle Leistungsverbesserungen durch die Aufteilung der Arbeit bei der Verarbeitung von DNS-Anforderungen.

Aber Sie beachten, dass mitzuhalten zwei Name - Servern erfordert Zonenübertragungen (DNS - Datenbank - Replikation). Dies ist normalerweise schnell und automatisch, fügt jedoch der Konfiguration und Verwaltung Ihrer Server eine weitere Ebene hinzu.

Ich versuche auch, meine beste Option herauszufinden, Weiterleiten oder Zwischenspeichern?

Weiterleitungsserver sind wahrscheinlich schneller (und erzielen im Allgemeinen eine bessere Leistung), da sie (die meisten) Anforderungen nicht selbst lösen. Aber das ist auch ihre hauptsächliche Schwäche. Sie geben Daten an Dritte weiter und wenn ihr externer Resolver nicht verfügbar ist, können sie keine externen Anfragen bedienen.

Beim Caching von Servern ist dieses Problem jedoch nicht aufgetreten. Sie sind relativ robust und in sich geschlossen. Dies gibt Ihnen mehr Datenschutz und entfernt Sie von Drittanbieter-DNS, z. B. Google (was Ihnen wünschenswert erscheint). Sie erfordern zwar aus Sicherheitsgründen etwas mehr Konfiguration, aber wahrscheinlich nicht viel. Sie funktionieren möglicherweise nicht so gut wie ein Weiterleitungsserver, dies hängt jedoch stark von Ihrem Datenverkehr ab.

DANKE, dass Sie die Frage tatsächlich beantwortet haben, manchmal eine Seltenheit über Services, die niemand kennt, aber behauptet, sie zu kennen. Vielen Dank Anaksunaman, Sie würden nicht zufällig über Sicherheitslücken bei DNS-Caching-Servern Bescheid wissen, oder? Tmanok vor 6 Jahren 0
Gern geschehen und vielen Dank. =) In Bezug auf die Sicherheit besteht das grundlegende Problem bei Caching-Konfigurationen darin, dass der Lösungsprozess genutzt werden kann, um böswillige Dritte Probleme zu verursachen. Am häufigsten handelt es sich dabei um Dinge wie Cache Poisoning (das sich auf andere DNS-Server ausbreiten kann) oder DNS-Amplifikationsangriffe (eine Art DDoS-Angriff). Viele der Sicherheitsprobleme einer Caching-Konfiguration können durch geeignete Zugriffssteuerungslisten (ACLs) ausgeschlossen werden, um die Rekursion (Nachschlagen von Domänen) auf lokale Clients zu beschränken und die Software auf dem neuesten Stand zu halten. Anaksunaman vor 6 Jahren 1
Das heißt, es gibt definitiv mehr Themen und Schritte, die Sie ergreifen müssen, wenn Sie wachsam sein wollen. Wenn Sie einen extrem knappen Überblick über einige der damit verbundenen Sicherheitsprobleme haben möchten, sollten Sie sich diesen Artikel ansehen (https://www.esecurityplanet.com/network-security/how-to-prevent-dns- Angriffe.html). Es ist auch hilfreich zu wissen, dass öffentlich verfügbare Server, die für die Bereitstellung von DNS-Diensten für extern zugreifbare Domänen (autorisierende Nameserver) verwendet werden, wahrscheinlich ein wenig mehr Prüfung erfordern als Server, die unabhängig von der Rekursion möglicherweise nur lokale Domänennamen bereitstellen. Anaksunaman vor 6 Jahren 1
Eigentlich lustig, dass Sie öffentlich verfügbare DNS-Server erwähnen. Ich habe mich wirklich gefragt, was ich mit [https://public-dns.info//nameserver/ca.html] tun würde, wenn ein positives / negatives Netzwerk zu meinem Netzwerk führen würde. Offensichtlich sehe ich nicht, dass Google untergeht, aber ich sehe, dass sie meine Ergebnisse verfolgen und daraus einen kleinen Gewinn machen und in die Privatsphäre eindringen. Tmanok vor 6 Jahren 0
Ich würde sagen, es würde völlig von den Servern abhängen, die Sie gewählt haben. In Bezug auf die Leistung würde es höchstwahrscheinlich auf den geografischen Standort (wie nah sind sie zu Ihnen?), Die Infrastruktur (ist ihre Ausrüstung tatsächlich besser als Ihre eigene?) Und die Cachegröße (wie viele Anforderungen sind sie zurückzuführen) zurückzuführen. Die Cache-Größe ist der wahrscheinlichste Bereich, in dem ich einen Vorteil sehe. Aber wenn sie eine Reihe von Anfragen bearbeiten, die nicht zwischengespeichert werden (Sie besuchen nicht viele Websites, die andere sind), dann verringert sich dieser Vorteil. Die Ausrüstung ist ein echter Wurf, und Sie können nie näher kommen als wo Sie jetzt sind. Anaksunaman vor 6 Jahren 1
Aus Sicht der Privatsphäre ist es eine Vertrauenssache. Ich könnte mir vorstellen, dass viele dieser Anbieter nicht Google sind - aber das ist nicht garantiert. Sie können auch Sicherheitsbedenken in Betracht ziehen - Sie sind sicher darauf angewiesen, dass ihre Server sicher sind (oder sicherer sind, als Sie selbst aufrechterhalten können). Dies kann eine vernünftige Erwartung sein oder nicht. Ich sage nicht, dass ein Dienst auf dieser Liste "schlecht" ist (und wenn man kleiner ist, kann sogar ein gezielter Unfug verhindert werden), aber es ist wahrscheinlich genauso ein Glücksspiel wie bei anderen Drittanbietern. Anaksunaman vor 6 Jahren 1

Verwandte Probleme