On 10/31/2016 02:08 AM, Adiel de Lima Ribeiro wrote:
On 10/28/2016 03:15 PM, Ricardo Ferreira wrote:
Em 28/10/2016 13:04, Otavio Augusto escreveu:
Recentemente montei troquei um Bind por unbound compilado com
libevent, para servir uns 4000 clientes, o load da máquina antes éa de
15 a agora esta em 0.54 cpu menos de 1%, segundo o pessoal do provedor
os clientes sentiram melhora na experiencia de navegação.
Em 28 de outubro de 2016 13:20, Alexandre Silva Nano
<alexna...@gmail.com> escreveu:
Em 28 de outubro de 2016 11:43, Adiel de Lima Ribeiro <
adiel.netad...@gmail.com> escreveu:
Sim, este foi o ultimo Bind que instalei.
Estou pensando mesmo em largar mão dele e ir pro Unboud faz tempo.
Obrigado.
O unbound se torna melhor ainda depois de alguns ajustes finos no
S.O e no
arquivo de configuração.
Remontei um unbound do zero em um FreeBSD 10.3 e está simplesmente
perfeito. Antes a CPU dele ficava entre 30, 40% e dava muito delay nas
consultas. Hoje fica em 3% e as consultas estão extremamente rápidas.
Servimos em média uns 5000 clientes, entre provedores e usuários
residenciais. Fora alguns provedores com AS também.
--
Att, Alexandre Silva Nano
Enterasys Security Systems Engineer - IPS/SIEM
Enterasys Certified Specialist - NAC, Switching
Analista de Tecnologia da Informação e Comunicação
Perfil LinkedIn:
http://br.linkedin.com/pub/alexandre-silva-nano/33/59/77a
-------------------------
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Aqui deixei o BIND apenas como autoritativo. Como recursivo vá de
unbound e se possível implemente DNS Anycast distribuindo-os ao longo
de sua rede. O usuário vai ficar grato. Estou tentando construir uma
versão embarcada usando Cubieboard apenas para levar o DNS o mais
próximo possível do usuário.
[]s
Ricardo Ferreira
-------------------------
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Bom dia pessoal.
Relativo aos ajustes finos de S.O, sempre faço (recompilação de
kernel, pelando mesmo o sistema, instalação apenas do necessário, uso
de flags em arquivos, opções de montagem, chega a ficar parecido com
um OpenBSD, rs).
Estudei bastante as opções de configuração e tal, fiz alguns testes e
cheguei a seguinte conclusão:
Com o dns aberto a consultas recursivas para o mundo, não existe
configuração a nível de Bind que barre um DDOS.
Resumo da ópera, desabilitei o rate limit e fechei o DNS para que
apenas as redes do provedor consigam chegar nele.
Este DNS também era autoritativo apenas para a rede interna do
provedor, mesmo assim eu desabilitei isso.
Melhorou bastante, verifiquei os logs por alguns dias e percebí que a
nível de Bind o problema estava resolvido.
Eu agradeço as dicas e gostei dos projetos tb.
E fica a experiência, BIND, não mais! Vou gastar tempo apredendendo o
Unbound.
Boa tarde lista.
Estudei o unbound e para servidores autoritativos é melhor utilizar o
Bind mesmo.
A respeito de servidores recursivos, gostaria de saber se algum de vocês
tem alguma documentação de como o Google e o OpenDNS implementam isso
aberto pro mundo.
Obrigado.
--
Adiel de Lima Ribeiro
Consultor de TI
(31) 9-8961-5984
MCSA (Microsoft Certified Systems Administrator)
Pós Graduação em Administração de Redes Linux
facebook.com/bsdworld
-------------------------
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
