BIND9: ¿Los promotores tienen alguna prioridad?

11

Solo estoy configurando mi servidor BIND9 y funciona bien hasta ahora. Decidí integrar un pequeño truco en las capacidades de mi DNS. Quiero que resuelva dominios compatibles con IANA como * .com y * .net por el servidor DNS de mi ISP, pero también quiero integrar dominios OpenNIC como .geek y .project utilizando un servidor DNS de OpenNIC como promotor. Así que mi sección de reenviadores básicamente se ve así:

forwarders {
   IP.OF.ISP.DNS;
   IP.OF.OPENNIC.DNS;
}

A pesar de que OpenNIC-DNS puede resolver dominios IANA, no quiero confiar en ellos, porque secuestrar dominios importantes como paypal.com o ebay.com es simplemente demasiado fácil. ¿Bind9 está pidiendo registros de los reenviadores paso a paso (desde la primera ip hasta la última ip) o está pidiendo arbitrariamente? Quiero asegurarme de que el DNS de mi ISP tenga la máxima prioridad al resolver dominios.

¿Hay alguna forma de "depurar" la consulta DNS directamente en mi servidor DNS para ver qué servidor utiliza para buscar el dominio solicitado?

grindhold
fuente

Respuestas:

5

He buscado esto antes, pero tengo problemas para encontrar algo mejor que esto en este momento: https://lists.isc.org/pipermail/bind-users/2012-April/087455.html

BIND8 y posteriores consideran que cada uno de los reenviadores comienza con "igual peso". Según el SRTT de las respuestas, el servidor de nombres comienza a favorecer a uno sobre el otro. Un cierto porcentaje de consultas siempre alcanzará el que tenga una latencia más alta, para volver a probar las aguas y mantener justa la preferencia de peso calculada. (teniendo en cuenta que una vez que se almacena en caché un registro, los reenviadores no serán consultados nuevamente hasta que el TTL haya expirado)

En resumen, la directiva de reenviadores está diseñada teniendo en cuenta la redundancia y la latencia minimizada, no en un modelo de conmutación por error de espera activa. Esto no hará lo que desea, y no conozco ninguna directiva BIND para reconfigurar este comportamiento. Termino mirando un poco a la documentación de BIND en mi línea de trabajo, así que me siento bastante seguro acerca de esta declaración.

Andrew B
fuente
44
Dicho esto, es posible que pueda lograr lo que está tratando de hacer mediante la construcción de zonas de reenviador para cada uno de los sufijos de dominio que desea que maneje OpenNIC. También es posible usar zonas de "pistas", pero parece interesado en usar cachés aguas arriba en lugar de manejar la recursión usted mismo.
Andrew B