Forum » Omrežja in internet » Kateri DNS server uporabljate?
Kateri DNS server uporabljate?
HotBurek ::
Dobro jutro.
Evo, iz čistega dolgčasa odpiram temo na temo DNS serverjev.
Se pravi, kater DNS server uporabljate in kako ste z njim zadovoljni?
Opcije: BIND, Unbound, PowerDNS... CoreDNS...
Ter, ravno našel, Knot DNS. Tega razvijajo čehi, Unbound pa nizozemci.
Evo, iz čistega dolgčasa odpiram temo na temo DNS serverjev.
Se pravi, kater DNS server uporabljate in kako ste z njim zadovoljni?
Opcije: BIND, Unbound, PowerDNS... CoreDNS...
Ter, ravno našel, Knot DNS. Tega razvijajo čehi, Unbound pa nizozemci.
root@debian:/# iptraf-ng
fatal: This program requires a screen size of at least 80 columns by 24 lines
Please resize your window
fatal: This program requires a screen size of at least 80 columns by 24 lines
Please resize your window
pegasus ::
Tistega, ki se najlažje integrira v obstoječo infrastrukturo in ki ponuja fičurje, ki jih rabiš.
HotBurek ::
Sem šel iskat, če debian najde paket "control", in je našel dml-controld, potem grem greldan na internete, kaj je to, in naletim na spletno stran ClusterLabs: https://clusterlabs.org/projects/
Tudi to je nekaj.
Tudi to je nekaj.
root@debian:/# iptraf-ng
fatal: This program requires a screen size of at least 80 columns by 24 lines
Please resize your window
fatal: This program requires a screen size of at least 80 columns by 24 lines
Please resize your window
Matwic ::
Službeno:
Bind - pride v sklopu kontrolne plošče (Plesk + CentOS), recimo, da good enough. Preverjen, stabilen, pač deluje, ga je pa kakšen PowerDNS povozil na celi črti glede možnosti in enostavnosti uporabe.
Microsoft DNS - pač uporabljamo tudi Windows strežnike in se nobenemu ni dalo inštalirati kaj drugega gor, ker ni bilo potrebe. Za resolving čisto zadostuje. Za recimo kakšen Active Directory ali Domain Controller je pa tako ali tako obvezen. Seveda se uporablja izključno samo v notranjem omrežju (po toliko letih še kar ni opcije, da ne bi deloval kot open resolver, če ga odpreš na internet).
PowerDNS - ga uporabljamo kot dedicated DNS mašino za serviranje DNS zon, kot tudi za recursive resolving. Nimam kaj reči, deluje fantastično. Pobere relativno malo sistemskih sredstev, zelo enostavno konfiguracija, management, podpira čisto vse kar si lahko zaželiš. Super opcija je tudi, da podatke o zonah hrani v bazi kar pomeni, da so mass updati otročje lahki.
Doma:
Technitium DNS - Tole imam namen namestiti na Mikrotik RB5009, kot container. Alternativa Pi-Hole ali Adguard s tem, da je tole lepo all in one package spisan iz nule in ni samo en skupek open source programov z navlečenim vmesnikom čez. Najboljše je to, da je to polni DNS strežnik ne samo DNS level ad-blocker, kar pomeni, da deluje tudi kot DNS recurser (ne samo kot DNS forwarder), ponuja pa tudi polni zone editing, če želiš recimo imeti svoje notranje IPje mapirane na hostname in se še kaj dodatno igračkati.
Bind - pride v sklopu kontrolne plošče (Plesk + CentOS), recimo, da good enough. Preverjen, stabilen, pač deluje, ga je pa kakšen PowerDNS povozil na celi črti glede možnosti in enostavnosti uporabe.
Microsoft DNS - pač uporabljamo tudi Windows strežnike in se nobenemu ni dalo inštalirati kaj drugega gor, ker ni bilo potrebe. Za resolving čisto zadostuje. Za recimo kakšen Active Directory ali Domain Controller je pa tako ali tako obvezen. Seveda se uporablja izključno samo v notranjem omrežju (po toliko letih še kar ni opcije, da ne bi deloval kot open resolver, če ga odpreš na internet).
PowerDNS - ga uporabljamo kot dedicated DNS mašino za serviranje DNS zon, kot tudi za recursive resolving. Nimam kaj reči, deluje fantastično. Pobere relativno malo sistemskih sredstev, zelo enostavno konfiguracija, management, podpira čisto vse kar si lahko zaželiš. Super opcija je tudi, da podatke o zonah hrani v bazi kar pomeni, da so mass updati otročje lahki.
Doma:
Technitium DNS - Tole imam namen namestiti na Mikrotik RB5009, kot container. Alternativa Pi-Hole ali Adguard s tem, da je tole lepo all in one package spisan iz nule in ni samo en skupek open source programov z navlečenim vmesnikom čez. Najboljše je to, da je to polni DNS strežnik ne samo DNS level ad-blocker, kar pomeni, da deluje tudi kot DNS recurser (ne samo kot DNS forwarder), ponuja pa tudi polni zone editing, če želiš recimo imeti svoje notranje IPje mapirane na hostname in se še kaj dodatno igračkati.
Zgodovina sprememb…
- spremenil: Matwic ()
antrim ::
Matwic ::
Za MS Active Directory in MS Domain controller bi te pa zares rad videl, tudi jaz se zavedam, da bi hipotetično to moralo delovati, ampak v praksi? Ah daj no (on premises Exchange?)!
Zgodovina sprememb…
- spremenil: Matwic ()
jecok ::
Alternativa Pi-Hole ali Adguard s tem
DNS based blokiranje je nesmiselno, ga je preveč preprosto obiti, kar sploh "domača zabavna elektronika" rada počne. Povezujejo se direktno na ip in gre mimo dnsa.
Zgodovina sprememb…
- spremenilo: jecok ()
darkolord ::
Technitium DNS - Tole imam namen namestiti na Mikrotik RB5009, kot container. Alternativa Pi-Hole ali Adguard s tem, da je tole lepo all in one package spisan iz nule in ni samo en skupek open source programov z navlečenim vmesnikom čez. Najboljše je to, da je to polni DNS strežnik ne samo DNS level ad-blocker, kar pomeni, da deluje tudi kot DNS recurser (ne samo kot DNS forwarder), ponuja pa tudi polni zone editing, če želiš recimo imeti svoje notranje IPje mapirane na hostname in se še kaj dodatno igračkati.Jaz sem PowerDNS zamenjal z Technitiumom in sem zelo zadovoljen. Kar dela, res je hiter, ima vse. Meni je super, da ima web interface out of the box.
Matwic ::
Deluje v real-world praksi. Tudi z Exchange.
A se razumemo? Torej ti praviš, da on-premises Exchange, kar nekako deluje? Nehaj se zajebavat tu, če si pa resen pa odpremo novo temo tu!
Technitium DNS - Tole imam namen namestiti na Mikrotik RB5009, kot container. Alternativa Pi-Hole ali Adguard s tem, da je tole lepo all in one package spisan iz nule in ni samo en skupek open source programov z navlečenim vmesnikom čez. Najboljše je to, da je to polni DNS strežnik ne samo DNS level ad-blocker, kar pomeni, da deluje tudi kot DNS recurser (ne samo kot DNS forwarder), ponuja pa tudi polni zone editing, če želiš recimo imeti svoje notranje IPje mapirane na hostname in se še kaj dodatno igračkati.Jaz sem PowerDNS zamenjal z Technitiumom in sem zelo zadovoljen. Kar dela, res je hiter, ima vse. Meni je super, da ima web interface out of the box.
Veš Technitium je kar nova zadeva, zadeva je še vedno dokaj nova in nepreizkušena, previdnost je priporočena. Nekako pa ne vidim kako si lahko zamenjal tole z PowerDNS - ki je enterprise grade, in opravlja samo eno funkcijo?
antrim ::
Matwic ::
Ne govorim, da ni možno, ampak samo o vseh preprekah o samo osnovni inštalaciji Exchanga... Če ti je ratalo, za "production ready", kot sem rekel, ne se tukaj delat nadutega, deli z nami! Dajmo odpret novo temo ane!
Ni pa to ta tema, torej govorili smo o DNS "strežnikih", jah gremo dalje ane!
Ni pa to ta tema, torej govorili smo o DNS "strežnikih", jah gremo dalje ane!
antrim ::
Si vse povedal. Razumem problem, če ti že osnovna Exchange instalacija dela težave. Namig, Exchange nima nobenih eksotičnih zahtev glede DNS zapisov. Menim sicer, da se nima smisla tega zdaj učiti, ker gre za legacy tech. Bomo že starine poskrbeli za antikvitete.
Se opravičujem za smetenje. Gremo naprej.
Se opravičujem za smetenje. Gremo naprej.
darkolord ::
Veš Technitium je kar nova zadeva, zadeva je še vedno dokaj nova in nepreizkušena, previdnost je priporočena. Nekako pa ne vidim kako si lahko zamenjal tole z PowerDNS - ki je enterprise grade, in opravlja samo eno funkcijo?Nova in nepreizkušena napram desetletjem ostalih, ja, ampak nekaj let je pa vseeno zunaj in v tem času ni bilo videti nobenih težav, tudi pri tistih, ki servirajo milijone in milijone requestov dnevno. Osnovni protokol ni kakorkoli kompliciran, da bi lahko sčasoma pričakoval kakšne večje težave.
PowerDNS sem zamenjal, ker sem imel eno instanco preko dockerja skupaj z PowerDNS-Admin (rabim nek web interface, da lahko še kdo drug ureja posamezne domene) in je sedaj postal cel mess ("mental health issues" maintainerja pdns-admin), tako da je bilo treba v vsakem primeru zmigrirati na neko drugo instanco.
twom ::
Sem poskušal sledit, pa morda se mi je začelo malo svitat, tko da... če obstaja kakšen šnel kurs za telebane 
Doma imam na proxmox pi-hole virtualko z nastavljenim open-dns (lahko bi bil tudi googlov) in DHCP strežnikom.
Vi verjetno govorite o lokalnih DNS serverjih. Kaj pa na navzven? Od kje pa tam dobijo podatke? So to ločene stvari? Večji sistemi?
Pa, ali lahko moj pi-hole zamenjam s čim bolj učinkovitim (home use only)?
Doma imam na proxmox pi-hole virtualko z nastavljenim open-dns (lahko bi bil tudi googlov) in DHCP strežnikom.
Vi verjetno govorite o lokalnih DNS serverjih. Kaj pa na navzven? Od kje pa tam dobijo podatke? So to ločene stvari? Večji sistemi?
Pa, ali lahko moj pi-hole zamenjam s čim bolj učinkovitim (home use only)?
Matwic ::
DNS strežniki se delijo na dva tipa. Na avtoritativne DNS strežnike (ti servirajo samo DNS zapise in domene, ki so vpisani v njih) in na rekurzivne strežnike, ki naredijo poizvedbo na avtoritativni strežnik za določeno domeno in nato servirajo zapise za njo. Bind in MicrosoftDNS sta all in one in je stvar konfiguracije kako deluje, PowerDNS je pa razdeljen na dve aplikaciji, na powerdns (avtoritativni strežnik) in powerdns-recursor (rekurzivni strežnik). Oba tipa DNS strežnikov sta lahko ali private ali public ali oboje.
Rekurzivni strežniki lahko delujejo v dveh načinih, ali da sami naredijo celotno DNS poizvedbo (prvo poizvedbo naredijo na tako imenovane "root" DNS strežnike, to je 13 vrhovnih strežnikov, ki skrbijo za celotni svetovni domenski sistem in grejo potem po verigi naprej), ali pa se vseeno zanašajo še na public DNS serverje, ki jih omenjaš (v tem načinu samo posredujejo poizvedbe naprej). Vsi public DNSji, ki jih omenjaš (Quad9, CloudFlare, Google, Siol, ...) delujejo na prvi način (poizvedbe direktno na root strežnike).
Podjetja (in določeni zasebniki v tej temi) ponavadi postavimo private DNS recursorje, tako, da se nam ni potrebno zanašati na public DNSje. To je zelo dobro zaradi zasebnosti plus dodatne nastavitve. Pač imaš tudi DNS popolnoma pod svojo kontrolo.
Rekurzivni strežniki lahko delujejo v dveh načinih, ali da sami naredijo celotno DNS poizvedbo (prvo poizvedbo naredijo na tako imenovane "root" DNS strežnike, to je 13 vrhovnih strežnikov, ki skrbijo za celotni svetovni domenski sistem in grejo potem po verigi naprej), ali pa se vseeno zanašajo še na public DNS serverje, ki jih omenjaš (v tem načinu samo posredujejo poizvedbe naprej). Vsi public DNSji, ki jih omenjaš (Quad9, CloudFlare, Google, Siol, ...) delujejo na prvi način (poizvedbe direktno na root strežnike).
Podjetja (in določeni zasebniki v tej temi) ponavadi postavimo private DNS recursorje, tako, da se nam ni potrebno zanašati na public DNSje. To je zelo dobro zaradi zasebnosti plus dodatne nastavitve. Pač imaš tudi DNS popolnoma pod svojo kontrolo.
Matwic ::
tole sem pozabil dodati
Zdaj za home use čisto odvisno. Če ti pi-hole + public DNS strežniki ustrezajo in si zadovoljen z delovanjem jaz ne bi šel zdaj menjati, edino če se želiš eksperimentirati. Edino kar sem zasledil na internetu je, da določeni containerji in VM image-i znajo biti problematični saj avtorji navlečejo notri praktično 90% celotnega Ubuntuja in jih potem tudi nikoli več na posodabljajo. To je problematično zaradi varnosti kot tudi glede optimalnega delovanja (stotine procesov v ozadju, ki nimajo ničesar veze z delovanjem Pi-Hole, so pa potencialne varnostne luknje in tratijo sistemska sredstva).
Zdaj za home use čisto odvisno. Če ti pi-hole + public DNS strežniki ustrezajo in si zadovoljen z delovanjem jaz ne bi šel zdaj menjati, edino če se želiš eksperimentirati. Edino kar sem zasledil na internetu je, da določeni containerji in VM image-i znajo biti problematični saj avtorji navlečejo notri praktično 90% celotnega Ubuntuja in jih potem tudi nikoli več na posodabljajo. To je problematično zaradi varnosti kot tudi glede optimalnega delovanja (stotine procesov v ozadju, ki nimajo ničesar veze z delovanjem Pi-Hole, so pa potencialne varnostne luknje in tratijo sistemska sredstva).
BlaY0 ::
Alternativa Pi-Hole ali Adguard s tem
DNS based blokiranje je nesmiselno, ga je preveč preprosto obiti, kar sploh "domača zabavna elektronika" rada počne. Povezujejo se direktno na ip in gre mimo dnsa.
Ne gre, če forwardiraš ves DNS promet na svoj DNS. Razen če ti vsak kos od te zabavne elektronike uporavlja svoj/njihov DNS over HTTPS.
bind ze 20 let...no, prej je bil named al kaj ze...nad njim pa pihole.
Zakaj pa? A ni Pi-hole zadosti?
Zgodovina sprememb…
- spremenilo: BlaY0 ()
Matwic ::
Jarno ::
"Problematični uporabniki" brez recimo VPN-a tako ali tako tukaj brezveze komplicirajo.
Pri Cluodflare so casualci pač del neke statistike, to bo to.
Pri Cluodflare so casualci pač del neke statistike, to bo to.
#65W!
Vredno ogleda ...
| Tema | Ogledi | Zadnje sporočilo | |
|---|---|---|---|
| Tema | Ogledi | Zadnje sporočilo | |
| » | PiHole (strani: 1 2 )Oddelek: Omrežja in internet | 7571 (1903) | Geho |
| » | Ubuntu Pro prinaša 10-letno podporoOddelek: Novice / Operacijski sistemi | 3764 (2905) | estons |
| » | Moja domaca mrezaOddelek: Omrežja in internet | 7549 (5397) | mahoni |
| » | Odkrita resna ranljivost v DNS sistemihOddelek: Novice / Varnost | 6798 (4280) | denial |
| » | Mnenje: 100 milijonov tolarjev?Oddelek: Novice / Omrežja / internet | 5966 (3815) | poweroff |