[FUG-BR] Bind.

Adiel de Lima Ribeiro adiel.netadmin em gmail.com
Terça Dezembro 13 16:27:12 BRST 2016 

On 10/31/2016 02:08 AM, Adiel de Lima Ribeiro wrote:
> On 10/28/2016 03:15 PM, Ricardo Ferreira wrote:
>> Em 28/10/2016 13:04, Otavio Augusto escreveu:
>>> Recentemente montei troquei um Bind por unbound compilado com
>>> libevent, para servir uns 4000 clientes, o load da máquina antes éa de
>>> 15 a agora esta em 0.54 cpu menos de 1%, segundo o pessoal do provedor
>>> os clientes sentiram melhora na experiencia de navegação.
>>>
>>>
>>> Em 28 de outubro de 2016 13:20, Alexandre Silva Nano
>>> <alexnanow em gmail.com> escreveu:
>>>> Em 28 de outubro de 2016 11:43, Adiel de Lima Ribeiro <
>>>> adiel.netadmin em gmail.com> escreveu:
>>>>
>>>>> Sim, este foi o ultimo Bind que instalei.
>>>>> Estou pensando mesmo em largar mão dele e ir pro Unboud faz tempo.
>>>>> Obrigado.
>>>>
>>>> O unbound se torna melhor ainda depois de alguns ajustes finos no 
>>>> S.O e no
>>>> arquivo de configuração.
>>>>
>>>> Remontei um unbound do zero em um FreeBSD 10.3 e está simplesmente
>>>> perfeito. Antes a CPU dele ficava entre 30, 40% e dava muito delay nas
>>>> consultas. Hoje fica em 3% e as consultas estão extremamente rápidas.
>>>>
>>>> Servimos em média uns 5000 clientes, entre provedores e usuários
>>>> residenciais. Fora alguns provedores com AS também.
>>>>
>>>>   --
>>>> Att, Alexandre Silva Nano
>>>> Enterasys Security Systems Engineer - IPS/SIEM
>>>> Enterasys Certified Specialist - NAC, Switching
>>>>
>>>> Analista de Tecnologia da Informação e Comunicação
>>>>
>>>> Perfil LinkedIn: 
>>>> http://br.linkedin.com/pub/alexandre-silva-nano/33/59/77a
>>>> -------------------------
>>>> Histórico: http://www.fug.com.br/historico/html/freebsd/
>>>> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
>>>
>>>
>> Aqui deixei o BIND apenas como autoritativo. Como recursivo vá de 
>> unbound e se possível implemente DNS Anycast distribuindo-os ao longo 
>> de sua rede. O usuário vai ficar grato. Estou tentando construir uma 
>> versão embarcada usando Cubieboard apenas para levar o DNS o mais 
>> próximo possível do usuário.
>>
>> []s
>> Ricardo Ferreira
>> -------------------------
>> Histórico: http://www.fug.com.br/historico/html/freebsd/
>> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
>
> Bom dia pessoal.
> Relativo aos ajustes finos de S.O, sempre faço (recompilação de 
> kernel, pelando mesmo o sistema, instalação apenas do necessário, uso 
> de flags em arquivos, opções de montagem, chega a ficar parecido com 
> um OpenBSD, rs).
> Estudei bastante as opções de configuração e tal, fiz alguns testes e 
> cheguei a seguinte conclusão:
> Com o dns aberto a consultas recursivas para o mundo, não existe 
> configuração a nível de Bind que barre um DDOS.
> Resumo da ópera, desabilitei o rate limit e fechei o DNS para que 
> apenas as redes do provedor consigam chegar nele.
> Este DNS também era autoritativo apenas para a rede interna do 
> provedor, mesmo assim eu desabilitei isso.
> Melhorou bastante, verifiquei os logs por alguns dias e percebí que a 
> nível de Bind o problema estava resolvido.
> Eu agradeço as dicas e gostei dos projetos tb.
> E fica a experiência, BIND, não mais! Vou gastar tempo apredendendo o 
> Unbound.
>

Boa tarde lista.
Estudei o unbound e para servidores autoritativos é melhor utilizar o 
Bind mesmo.
A respeito de servidores recursivos, gostaria de saber se algum de vocês 
tem alguma documentação de como o Google e o OpenDNS implementam isso 
aberto pro mundo.
Obrigado.


-- 
Adiel de Lima Ribeiro
Consultor de TI
(31) 9-8961-5984
MCSA (Microsoft Certified Systems Administrator)
Pós Graduação em Administração de Redes Linux
facebook.com/bsdworld

Mais detalhes sobre a lista de discussão freebsd