[FUG-BR] Bind.

Adiel de Lima Ribeiro adiel.netadmin em gmail.com
Segunda Outubro 31 02:08:53 BRST 2016 

On 10/28/2016 03:15 PM, Ricardo Ferreira wrote:
> Em 28/10/2016 13:04, Otavio Augusto escreveu:
>> Recentemente montei troquei um Bind por unbound compilado com
>> libevent, para servir uns 4000 clientes, o load da máquina antes éa de
>> 15 a agora esta em 0.54 cpu menos de 1%, segundo o pessoal do provedor
>> os clientes sentiram melhora na experiencia de navegação.
>>
>>
>> Em 28 de outubro de 2016 13:20, Alexandre Silva Nano
>> <alexnanow em gmail.com> escreveu:
>>> Em 28 de outubro de 2016 11:43, Adiel de Lima Ribeiro <
>>> adiel.netadmin em gmail.com> escreveu:
>>>
>>>> Sim, este foi o ultimo Bind que instalei.
>>>> Estou pensando mesmo em largar mão dele e ir pro Unboud faz tempo.
>>>> Obrigado.
>>>
>>> O unbound se torna melhor ainda depois de alguns ajustes finos no 
>>> S.O e no
>>> arquivo de configuração.
>>>
>>> Remontei um unbound do zero em um FreeBSD 10.3 e está simplesmente
>>> perfeito. Antes a CPU dele ficava entre 30, 40% e dava muito delay nas
>>> consultas. Hoje fica em 3% e as consultas estão extremamente rápidas.
>>>
>>> Servimos em média uns 5000 clientes, entre provedores e usuários
>>> residenciais. Fora alguns provedores com AS também.
>>>
>>>   --
>>> Att, Alexandre Silva Nano
>>> Enterasys Security Systems Engineer - IPS/SIEM
>>> Enterasys Certified Specialist - NAC, Switching
>>>
>>> Analista de Tecnologia da Informação e Comunicação
>>>
>>> Perfil LinkedIn: 
>>> http://br.linkedin.com/pub/alexandre-silva-nano/33/59/77a
>>> -------------------------
>>> Histórico: http://www.fug.com.br/historico/html/freebsd/
>>> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
>>
>>
> Aqui deixei o BIND apenas como autoritativo. Como recursivo vá de 
> unbound e se possível implemente DNS Anycast distribuindo-os ao longo 
> de sua rede. O usuário vai ficar grato. Estou tentando construir uma 
> versão embarcada usando Cubieboard apenas para levar o DNS o mais 
> próximo possível do usuário.
>
> []s
> Ricardo Ferreira
> -------------------------
> Histórico: http://www.fug.com.br/historico/html/freebsd/
> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd

Bom dia pessoal.
Relativo aos ajustes finos de S.O, sempre faço (recompilação de kernel, 
pelando mesmo o sistema, instalação apenas do necessário, uso de flags 
em arquivos, opções de montagem, chega a ficar parecido com um OpenBSD, rs).
Estudei bastante as opções de configuração e tal, fiz alguns testes e 
cheguei a seguinte conclusão:
Com o dns aberto a consultas recursivas para o mundo, não existe 
configuração a nível de Bind que barre um DDOS.
Resumo da ópera, desabilitei o rate limit e fechei o DNS para que apenas 
as redes do provedor consigam chegar nele.
Este DNS também era autoritativo apenas para a rede interna do provedor, 
mesmo assim eu desabilitei isso.
Melhorou bastante, verifiquei os logs por alguns dias e percebí que a 
nível de Bind o problema estava resolvido.
Eu agradeço as dicas e gostei dos projetos tb.
E fica a experiência, BIND, não mais! Vou gastar tempo apredendendo o 
Unbound.

-- 
Adiel de Lima Ribeiro
Consultor de TI
(31) 9-8961-5984
MCSA (Microsoft Certified Systems Administrator)
Pós Graduação em Administração de Redes Linux
facebook.com/bsdworld

Mais detalhes sobre a lista de discussão freebsd