solution serveur DNS : bind, powerdns ou nsd ?
solution serveur DNS : bind, powerdns ou nsd ? - Logiciels - Linux et OS Alternatifs
Marsh Posté le 15-04-2014 à 08:22:27
Bonjour,
Tu ne précises pas l'OS utilisé mais je vais admettre que c'est une distribution GNU/Linux quelconque. Personnellement je ferais le rate limit directement via iptables. Pour le choix entre les différentes solutions de serveur DNS, essayes les tous et utilises celui qui te convient.
Pour ma part, ayant des serveurs DNS exposés sur Internet, j'ai choisi nsd qui ne fait pas (par design) de récursion.
---------------
Solutions Internet & Hébergement Web - http://www.adresse-numerique.com/
Marsh Posté le 16-04-2014 à 20:25:51
merci de ta réponse
la distrib sera debian ou centos
quel avantage de faire ça directement par iptables ?
c'est effectivement exposé sur internet, c'est un FAI associatif.
nsd ne fait pas de récursion mais unbound oui.
mais au final, est-ce powerdns a la fonction rate limit ou non ? pour ma culture g
Marsh Posté le 16-04-2014 à 20:42:05
http://www.bortzmeyer.org/rate-limiting-dos.html
http://www.bortzmeyer.org/rate-lim [...] olver.html
Message édité par o'gure le 16-04-2014 à 20:42:24
---------------
Relax. Take a deep breath !
Marsh Posté le 19-04-2014 à 16:14:48
Une autre recommandation (émanent du même auteur 
) est d'utiliser au moins 2 solutions différentes pour tes serveurs DNS, comme ça en cas de faille connue sur l'un d'eux, t'en as toujours un qui n'y est pas sensible 
Message édité par e_esprit le 19-04-2014 à 16:15:15
---------------
Ce n'est point ma façon de penser qui a fait mon malheur, c'est celle des autres.
Marsh Posté le 19-04-2014 à 17:57:01
| e_esprit a écrit : Une autre recommandation (émanent du même auteur |
C'est une best practice en sécurité. Si chainage de deux firewalls => fw différent , deux technos de raccordements wan, deux fournisseurs différents (bon sauf s'il s'agit d'un truc ce chez nous un ![[:whatde]](https://forum-images.hardware.fr/images/perso/whatde.gif "[:whatde]")
)
Message édité par o'gure le 19-04-2014 à 17:57:57
---------------
Relax. Take a deep breath !
Marsh Posté le 23-04-2014 à 12:21:18
https://groups.google.com/forum/#!t [...] 4PeJfyr3MQ
Bortzmeyer :
| Citation : |
Il dit bien que la fonction rate limiting de bind ou nsd peut être plus efficace que netfilter...
Message édité par Torlik le 23-04-2014 à 12:22:13
Marsh Posté le 23-04-2014 à 12:30:03
| Torlik a écrit : https://groups.google.com/forum/#!t [...] 4PeJfyr3MQ Bortzmeyer :
Il dit bien que la fonction rate limiting de bind ou nsd peut être plus efficace que netfilter... |
| Citation : The idea is to use the Netfilter u32 module to recognize the attack, |
Tant qu'à quoter, autant quoter tout. Meilleur que le module u32 qui de par sa nature même peut être moins performant oui, ça se comprend
Pour rappel, u32 rentre dans le payload à la recherche d'un pattern...
Message édité par o'gure le 23-04-2014 à 12:31:29
---------------
Relax. Take a deep breath !
Marsh Posté le 23-04-2014 à 16:41:02
Ca change quoi cette partie ?
Si ton DNS ne fait pas de rate limiting => netfilter => netfilter u32 module
Donc comme tu le dis, moins performant. Etant donné que le DNS n'est pas en place, j'ai autant à partir sur un qui a la fonction.
Sinon pour me répondre, powerdns ne fait pas de rate limiting, j'ai été demandé sur leur irc.
Sujets relatifs:
- Serveur Linux
- serveur dhcp + nat
- Problèmes sur DNS, port 25 bloqué
- Mise en place d'un Serveur Web/Fichier/Media et virtualisation
- Proftpd sur un serveur derrière une livebox - LIST impossible (err425)
- Serveur Maison [Résolu]
- android et passerelle DNS
- [Dédié] Site ne répond plus aux ping sur serveur Centos
- Debug serveur Centos
- Partition Serveur DEBIAN kimsufi
Marsh Posté le 09-04-2014 à 22:45:41
salut,
je suis actuellement en train d'étudier les différentes solutions pour dns
les 3 cités dans le titre me conviendrait. Mais je n'arrive pas à trouver l'information : est-ce que powerdns est capable, oui ou non, de faire du rate limit (ddos tou ça) ?
Merci