Bind9: s'affranchir des DNS de son FAI

miki_x · Le 20/02/2013, à 14:23

Bonjour,

J'ai installé Bind sur mon serveur dans le but de gérer cez différentes tâches:
-Gérer la zone "home.lan"
-Gérer toutes les requêtes DNS de mon réseau en se basant uniquement sur les serveurs racines (sans jamais utiliser un serveur DNS de mon FAI et/ou Google/OpenDNS)
-Faire office de cache pour les requêtes de mon réseau

Je crois que j'y suis arrivé, mais je voudrais juste confirmer avec vous que ma config est bonne et que plus aucune requête ne passe par le DNS de mon FAI.

Voici mes fichiers de conf.

-named.conf

options {
        directory "/var/cache/bind";

        dnssec-validation auto;

        auth-nxdomain no;    # conform to RFC1035
        allow-query-cache {localhost;192.168.1/24;};
        listen-on-v6 { none; };
};

-named.conf.local

# Domaine local
zone "home.lan" {
   type master;
   file "/etc/bind/zones/home.lan.db";
};

# For reverse DNS
zone "1.168.192.in-addr.arpa" {
   type master;
   file "/etc/bind/zones/rev.1.168.192.in-addr.arpa";
};

-named.conf.default-zones

// prime the server with knowledge of the root servers
zone "." {
        type hint;
        file "/etc/bind/db.root";
};

// be authoritative for the localhost forward and reverse zones, and for
// broadcast zones as per RFC 1912

zone "localhost" {
        type master;
        file "/etc/bind/db.local";
};

zone "127.in-addr.arpa" {
        type master;
        file "/etc/bind/db.127";
};

zone "0.in-addr.arpa" {
        type master;
        file "/etc/bind/db.0";
};

zone "255.in-addr.arpa" {
        type master;
        file "/etc/bind/db.255";
};

D'avance, merci!

tiramiseb · Le 20/02/2013, à 15:55

Ça m'a l'air correct.
Mais niveau performance c'est plus que discutable, vu qu'à chaque nouveau domaine à résoudre tu feras au moins trois requêtes DNS...

miki_x · Le 20/02/2013, à 18:13

Merci pour ta réponse.
Déjà j'ai réussi à passer outre le DNS de mon FAI et c'est déjà un premier pas

Concernant l'optimisation et la performance, je suis preneur de tous les conseils. Une idée pour améliorer cette histoire de 3 requêtes?

D'avance, merci!

tiramiseb · Le 20/02/2013, à 18:38

Une idée pour améliorer cette histoire de 3 requêtes?

... utiliser le DNS de ton FAI...

miki_x · Le 20/02/2013, à 18:43

Y-a-t-il un moyen pour analyser une requête DNS en détails autre que dig ou nslookup, pour justement voir ces 3 requêtes?

D'avance, merci!

tiramiseb · Le 20/02/2013, à 19:47

Ces 3 requêtes sont simples. Quand tu cherches à accéder à une adresse, disons "www.google.fr" :
- les serveurs racine répondent "pour les .fr, aller demander aux serveurs de l'AFNIC"
- les serveurs de l'AFNIC répondent "pour le domaine google.fr, aller demander aux serveurs de Google"
- les serveurs de Google donnent enfin l'adresse de "www.google.fr"

Brunod · Le 20/02/2013, à 19:49

Ne pas utiliser les dns de ton fai, je peux encore concevoir; mais par ex. ne pas utiliser opendns en remplacement, tu peux m'expliquer ?

src · Le 20/02/2013, à 19:52

Brunod a écrit :

Ne pas utiliser les dns de ton fai, je peux encore concevoir; mais par ex. ne pas utiliser opendns en remplacement, tu peux m'expliquer ?

Parce qu'il n'y a aucune raison de faire plus confiance à OpenDNS qu'à un FAI...

miki_x · Le 20/02/2013, à 20:03

Ce qui m'énerve avec OpenDNS c'est toutes les petites choses qui se passent "en coulisses" sur lesquelles tu n'as pas la main (correction d'URL, redirect sur une page de recherche, filtre parental, etc.).

@tiramiseb
Je comprends bien ton raisonnement, mais (question sûrement bête) pourquoi en passant par mon FAI cela serait-il plus court? Ma requete ne ferait-elle pas le chemin suivant:
FAI->racine>AFNIC->Google et rajouerait donc une etape supplementaire?

tiramiseb · Le 20/02/2013, à 20:14

miki_x : Le DNS du FAI a tellement de requêtes que bien souvent l'adresse que tu cherches est déjà en cache. Alors que si tu es seul sur ton serveur DNS, bah tu es le seul à alimenter son cache...

Par ailleurs j'ai l'impression que tu as mal compris mon explication ; ce n'est pas le chemin d'une requête, ce sont trois requêtes successives. Je refais en plus explicite (disons que le serveur est vierge, rien en cache) :

1/ tu demandes à ton serveur DNS l'adresse IP de www.google.fr
2/ ton serveur DNS demande à un des serveurs racine l'adresse de www.google.fr
3/ le serveur racine répond à ton serveur DNS "pour les .fr, va voir l'AFNIC" en lui donnant les adresses des DNS qui vont bien
4/ ton serveur DNS demande à un des serveurs de l'AFNIC l'adresse de www.google.fr
5/ le serveur de l'AFNIC répond à ton serveur DNS "pour google.fr, va voir les DNS de Google" en lui donnant les adresses des DNS qui vont bien
6/ ton serveur DNS demande à un des serveurs de Google l'adresse de www.google.fr
7/ le serveur de Google donne à ton serveur DNS l'adresse IP de www.google.fr
8/ ton serveur DNS te répond avec l'adresse donnée par le serveur de Google

Si tu utilises le serveur de ton FAI, alors tu remplaces "ton serveur DNS" par "le serveur DNS du FAI".

Sauf que, comme dit au début de ce message, le FAI gère beaucoup plus de requêtes que ton serveur perso, il a donc un cache plus vivant, plus souvent à jour et plus complet.

Si tout le monde se configurait un serveur DNS qui taperait directement sur les serveurs racone, alors :
- le trafic DNS mondial serait beaucoup beaucoup plus importants car des caches communs ne seraient pas utilisés
- les serveurs racine seraient surchargés car tout le monde les utilise directement

miki_x · Le 20/02/2013, à 20:39

merci pour ces explications, c'est plus clair...

Cela dit, ce qui me parait "bizarre" c'est qu'une requête sur les DNS de mon FAI a un temps de latence plus important que vers les serveurs racines:

-DNS FAI (via forwarders de Bind):

; <<>> DiG 9.8.1-P1 <<>> www.latimes.com
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 26810
;; flags: qr rd ra; QUERY: 1, ANSWER: 4, AUTHORITY: 13, ADDITIONAL: 0

;; QUESTION SECTION:
;www.latimes.com.		IN	A

;; ANSWER SECTION:
www.latimes.com.	138	IN	CNAME	trb.edgesuite.net.
trb.edgesuite.net.	1088	IN	CNAME	a1574.g.akamai.net.
a1574.g.akamai.net.	1	IN	A	195.18.221.137
a1574.g.akamai.net.	1	IN	A	195.18.221.147

;; AUTHORITY SECTION:
.			672	IN	NS	c.root-servers.net.
.			672	IN	NS	m.root-servers.net.
.			672	IN	NS	i.root-servers.net.
.			672	IN	NS	a.root-servers.net.
.			672	IN	NS	g.root-servers.net.
.			672	IN	NS	k.root-servers.net.
.			672	IN	NS	f.root-servers.net.
.			672	IN	NS	h.root-servers.net.
.			672	IN	NS	e.root-servers.net.
.			672	IN	NS	l.root-servers.net.
.			672	IN	NS	d.root-servers.net.
.			672	IN	NS	j.root-servers.net.
.			672	IN	NS	b.root-servers.net.

;; Query time: 187 msec
;; SERVER: 127.0.0.1#53(127.0.0.1)
;; WHEN: Wed Feb 20 20:35:12 2013
;; MSG SIZE  rcvd: 333

-Serveurs racines (via Bind)

; <<>> DiG 9.8.3-P1 <<>> www.latimes.com
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 42707
;; flags: qr rd ra; QUERY: 1, ANSWER: 4, AUTHORITY: 8, ADDITIONAL: 0

;; QUESTION SECTION:
;www.latimes.com.		IN	A

;; ANSWER SECTION:
www.latimes.com.	300	IN	CNAME	trb.edgesuite.net.
trb.edgesuite.net.	4469	IN	CNAME	a1574.g.akamai.net.
a1574.g.akamai.net.	20	IN	A	195.18.221.147
a1574.g.akamai.net.	20	IN	A	195.18.221.137

;; AUTHORITY SECTION:
g.akamai.net.		4469	IN	NS	n1g.akamai.net.
g.akamai.net.		4469	IN	NS	n3g.akamai.net.
g.akamai.net.		4469	IN	NS	n7g.akamai.net.
g.akamai.net.		4469	IN	NS	n2g.akamai.net.
g.akamai.net.		4469	IN	NS	n4g.akamai.net.
g.akamai.net.		4469	IN	NS	n6g.akamai.net.
g.akamai.net.		4469	IN	NS	n5g.akamai.net.
g.akamai.net.		4469	IN	NS	n0g.akamai.net.

;; Query time: 170 msec
;; SERVER: 192.168.1.1#53(192.168.1.1)
;; WHEN: Wed Feb 20 18:34:27 2013
;; MSG SIZE  rcvd: 269

Alors, je te l'accorde, c'est minime... Mais ça m'étonne un peu

Ubuntu-fr

Navigation

Liens de recherche

Annonce

#1 Le 20/02/2013, à 14:23

Bind9: s'affranchir des DNS de son FAI

#2 Le 20/02/2013, à 15:55

Re : Bind9: s'affranchir des DNS de son FAI

#3 Le 20/02/2013, à 18:13

Re : Bind9: s'affranchir des DNS de son FAI

#4 Le 20/02/2013, à 18:38

Re : Bind9: s'affranchir des DNS de son FAI

#5 Le 20/02/2013, à 18:43

Re : Bind9: s'affranchir des DNS de son FAI

#6 Le 20/02/2013, à 19:47

Re : Bind9: s'affranchir des DNS de son FAI

#7 Le 20/02/2013, à 19:49

Re : Bind9: s'affranchir des DNS de son FAI

#8 Le 20/02/2013, à 19:52

Re : Bind9: s'affranchir des DNS de son FAI

#9 Le 20/02/2013, à 20:03

Re : Bind9: s'affranchir des DNS de son FAI

#10 Le 20/02/2013, à 20:14

Re : Bind9: s'affranchir des DNS de son FAI

#11 Le 20/02/2013, à 20:39

Re : Bind9: s'affranchir des DNS de son FAI

Pied de page des forums