Nastaveni BIND

[keksik]

V prilohe obrazok nastavenia mojho BINDu. Snazim sa to pochopit, no moje english nic moc. Dole je vysledok zbesileho googlenia.
Otazky:
1) tuna

na obrazku je konfig co mam teraz, Otazka znie - ako tento DNS server teraz na zaklade toho kokfigu vlastne funguje?

2.) asi najlepsie by bolo, keby sa BIND dotazoval root serverov a cahoval odpovede a nepouzival forwarding dotazov ?

Neviem ci s tym nejak suvisi, ze v poslednej dobe nenabiehaju klientom niektore .com stranky, napr google.com co youtube.com ?

Plus v status BINDU mam hlasky :

co to znamena?

[ludvik]

Něco málo angličtiny by to chtělo ... Alespoň translator

Jeden z forwarderů tě zjevně odmítá. A to je i odpověď na tvoji otázku - když vyhodíš direktivy forward a forwarders, bude používat root servery. Což tedy dělá i teď (nemáš tam forward only), ale nevím přesně z hlavy za jakých podmínek se k nim dostane.

Jenže pokud tomu nerozumíš, asi bych zůstal u těch forwarderů. Použil buď od svého ISP, nebo třeba ty google.

[keksik]

Něco málo angličtiny by to chtělo ... Alespoň translator

Jeden z forwarderů tě zjevně odmítá. A to je i odpověď na tvoji otázku - když vyhodíš direktivy forward a forwarders, bude používat root servery. Což tedy dělá i teď (nemáš tam forward only), ale nevím přesně z hlavy za jakých podmínek se k nim dostane.

Jenže pokud tomu nerozumíš, asi bych zůstal u těch forwarderů. Použil buď od svého ISP, nebo třeba ty google.

No ale ked dam dig na tu stranku ktoru forwarder odmieta, potom vidim cez ktory forwarder to slo. Skusal som aj svojho ISP DNSko aj google DNSko. Oba reaguju rovnako na tie podivne domeny.
Co sa tyka english - ta je zas lepsia ako ten translator. Ale nie tak dobra vo fraazah aby som pochopil vsetky nuancie. Preto potrebujem poradit od niekoho kto sa tomu DNS a BIND fest rozumie. Ci teda ten konfig nehat tak ako je alebo ci tam vypnut tie forwardery a pripadne poridat aj toto:

allow-query-cache {
/* Use the cache for the "trusted" ACL. */
trusted;
};
aby to cachovalo, alebo to cahuje uz same?
Dik.

[keksik]

Něco málo angličtiny by to chtělo ... Alespoň translator

Jeden z forwarderů tě zjevně odmítá. A to je i odpověď na tvoji otázku - když vyhodíš direktivy forward a forwarders, bude používat root servery. Což tedy dělá i teď (nemáš tam forward only), ale nevím přesně z hlavy za jakých podmínek se k nim dostane.

Jenže pokud tomu nerozumíš, asi bych zůstal u těch forwarderů. Použil buď od svého ISP, nebo třeba ty google.

No ale ked dam dig na tu stranku ktoru forwarder odmieta, potom vidim cez ktory forwarder to slo. Skusal som aj svojho ISP DNSko aj google DNSko. Oba reaguju rovnako na tie podivne domeny.
Co sa tyka english - ta je zas lepsia ako ten translator. Ale nie tak dobra vo fraazah aby som pochopil vsetky nuancie . Preto potrebujem poradit od niekoho kto sa tomu DNS a BIND fest rozumie. Ci teda ten konfig nehat tak ako je alebo ci tam vypnut tie forwardery a pripadne poridat aj toto:

allow-query-cache {
/* Use the cache for the "trusted" ACL. */
trusted;
};
aby to cachovalo, alebo to cahuje uz same?
Dik.

[ludvik]

Ona je tam i odpověď na tu tvoji chybu. https://kb.isc.org/article/AA-00503/0/W ... rsion.html

Ale jinak to dělá něco jiného, než myslíš. Bind cachuje ve výchozím stavu. Ani nevím, jestli to jde vypnout ...

[pepulis]

Bind cachuje sam od sebe, neni potreba mu nastavovat nic specialniho, jen povolit rozsahy (defaultne je tam myslim jen localhost):

allow-query { 127.0.0.1; 192.168.0.0/16;};

Ty root servery jsou ulozeny v souboru db.root, popr. jde udelat:

forwarders {
8.8.8.8;
8.8.4.4;
};

Dulezite je prenstavit i resolv.conf v /etc/ a pripadne ho zapnout v /etc/default/bind ...

[the.max]

Tak zrovna goolovo DNSka bych moc nepoužíval. Už několikrát jsem na různých místech řešil nefunkční net. Problém byly DNSka, připadá mi, že když na ně chodí mnoho dotazů ze stejného IPčka, tak odpověďi zřejmě nějak throotlujou. Navíc, veškerý dotazy si google analyuje kvůli personalizaci vyhledávače atd... Když nemám vlastní kešovací DNS, a mám jen forwarder, tak raději použiji OpenDNS, nebo DNSko providera.

[keksik]

Ona je tam i odpověď na tu tvoji chybu. https://kb.isc.org/article/AA-00503/0/W ... rsion.html

Ale jinak to dělá něco jiného, než myslíš. Bind cachuje ve výchozím stavu. Ani nevím, jestli to jde vypnout ...

Dakujem za ten odkaz. Zas som o nieco mudrejsi.

Ale stale neviem ci je lepsie - rychlejsie a spolahlivejsie pre klientov - nehat Bind bezat cisto ako rekurzor, alebo zapnut radsej forwarding.
teraz mi to bezi zo tyzden takto:

acl mojasiet {192.168.0.0/16; 10.0.0.0/8; 127.0.0.1; 172.20.0.0/16; };

options {
directory "/var/cache/bind";
recursion yes;
allow-query {mojasiet;};
allow-recursion {mojasiet;};
dnssec-enable yes;

Plus nezavisle, ci je totakto, alebo tam supnem forwarding. Stava sa, ze ludom sa nenacita Youtube, vo facebooku obrazky a ine stranky nahodne.
Zacalo to tym, ze som spojazdnil tento vlastny DNS server v lokalnej sieti, a nan natvrdo natujem na edge routri port 53 (TCP aj UDP).
Predtym som v tom NATE mal ako ciel IP DNSiek mojho ISP, ci free dnes alebo google. A slo to ok - okrem vyssie popisovanehothortlingu ggoogla, vypadkov dns mojho ISPA a tiez od augusta nejakej nespolahlivosti free dns. Kym rokyyy to slo super. Tak som sa vrhol na vlastny DNS. A vcul takato habadura.
Pomoze az, ked na wifine zakaznika na LAN u DHCP dam natvrdo IP svojho DNS servera a nejakweho dalieho ako druhy. Doteraz to nebolo treba.
Netusim cosa deje.

[ludvik]

Že bys byl jediný, komu nefunguje Bind? Z těch miliónů instalací? Problém bude jinde.

forwarding má tu výhodu, že používáš cache nějakého (teoreticky) většího serveru. Může se to pak jako celek tvářit výkonněji. Ovšem také nemusí ... Také záleží na počtu klientů - pokud si zvládneš cache plnit sám, nemá forwarding moc smyslu. Otázkou je, kde je hranice ...

[keksik]

Vsak zamerne piseom o tom forwardingu, nestazujem si na chudiatko BIND - na ten sa pytam len v akom rezime je najlepsie ho mat.