[dns-esp] consulta sobre opciones para bind
Nico
nicomail en gmail.com
Mie Jun 14 22:52:41 -04 2017
Miguel
Un problema bastante común con dns es que los firewalls están configurados
con connection tracking. Y se satura la tabla correspondiente.
2100 qps es un volunen que no debería ser problema
Saludos
On Jun 14, 2017 21:29, "Miguel Angel Amador" <sysadmin en motd.cl> wrote:
> Gracias Mave...
>
> me diste la opción para investigar, y estoy buscando la opción para el
> max*query*client* , esto fue un problema que se me presento en una red
> interna, sobre un servicio de dns que es resolver hacia internet y
> autoritativo para zonas internas. este equipo tiene una vip (ipvip -
> anycast por ospf ) por donde se consulta el servicio, que es levantada
> sobre una interfaz que ya tiene una ip. (ipif).
> El problema fue que por una degradación en el firewall que presta el
> servicio de internet, se presento un problema a nivel de dns en que este
> dejo de responder. básicamente el problema fue que al aumentar latencia y
> no haber respuestas a las consultas hacia internet, la ip de la vip dejo de
> contestar consultas al servicio DNS; no asi contestar ping (el ospf no
> cayo), tampoco hubo un problema de capacidad, pues la maquina tiene muchos
> recursos, y tampoco dejo de responder consultas por la ip configurada en la
> interfaz (ipif). Por lo que la conclusión es que el listener que estaba en
> la vip llego a su máxima capacidad y por eso dejo de contestar nuevas
> querys. (el limite al que llego fue cerca de las 2100 querys/s), esto
> porque al haber problemas con las consultas enviadas a internet, y no tener
> respuesta, no concluía las conexión esperando la respuesta desde Internet.
> esto solo afecto a la vip, la otra interfaz respondía sin problemas las
> consultas y la maquina tenia recursos holgados . (de ahí que piense que era
> un parámetro que llego a su limite).
> Por este motivo es que me surgen las consultas... si hay parámetros para
> aumentar el máximo de querys y si se puede bajar el tiempo de espera para
> las consultas forwardeadas. como dato adicional, no contestaba el servicio,
> osea tampoco contestaba consultas internas, sin embargo se corto el
> internet y el dns contestaba las consultas internas y daba timeout para las
> externas.
> la maquina que provee el servicio de dns es una apliance de algun tipo
> de felino azul... asi que los parametros del bind tampoco son tan
> ajustables, pero tiene un bind por debajo.
>
> Saludos,
>
>
>
> El 14 de junio de 2017, 14:32, Mauricio Vergara Ereche <mave en cero32.cl>
> escribió:
>
>> Hola!
>>
>> Comento entre líneas
>>
>> 2017-06-14 11:17 GMT-07:00 Miguel Angel Amador <miguel en motd.cl>:
>>
>>> Estimados
>>> Recurro a esta lista para saber si alguien me puede guiar, existe
>>> alguna opcion en bind, para una configuracion de dns recursivo, que hace
>>> forward de las consultas a otro dns. que haga lo siguiente:
>>> - bajar el tiempo de espera de respuesta desde el dns al cual hace
>>> forward, para matar la query antes del tiempo de espera por defecto. (bajar
>>> el timeout)
>>>
>>
>> si tienes el forwarder específico definido dentro de un zone {}, podrías
>> usar los
>> max-transfer-idle-in
>> max-transfer-time-in
>>
>> Puedes revisar las opciones de la versión en específico que tengas en el
>> BIND ARM (Doc PDF que puedes buscar en isc.org o que tal vez tengas tu
>> mismo dentro de tu distribución / codigo fuente)
>> ...o sino, puedes buscar como referencia las opciones más genéricas para
>> BIND 9 acá:
>> http://www.zytrax.com/books/dns/ch7/xfer.html#max-retry-time
>>
>>
>>> - manejar el maximo numero de querys que puede responder el servicio de
>>> dns.
>>>
>>
>> Que yo sepa, esa opción no la conozco... pero puedo equivocarme.
>> En realidad, nunca había pensado en querer limitar el número de queries
>> en uno de mis servidores, sino que todo lo contrario :-)
>>
>>
>>> Tuve un incidente donde la VIP de un servidor dns se colapso y no
>>> contesto mas consultas, pero a traves de otras ip's configuradas en la
>>> interfaz si respondia, esto debido a tiempos altos en la respuesta desde
>>> los resolver a los cuales hacia forwarding.
>>>
>>
>> Acá hay algo que no entiendo muy claro... pero por qué tiene que ser un
>> forwarding y no directamente un recursivo?
>> Son zonas privadas?
>>
>> Saludos!
>>
>> --
>> Mauricio Vergara Ereche
>> Los Angeles, CA
>> http://mave.cero32.cl
>>
>> _______________________________________________
>> dns-esp mailing list
>> dns-esp en listas.nic.cl
>> https://listas.nic.cl/mailman/listinfo/dns-esp
>>
>>
>
> _______________________________________________
> dns-esp mailing list
> dns-esp en listas.nic.cl
> https://listas.nic.cl/mailman/listinfo/dns-esp
>
>
------------ próxima parte ------------
Se ha borrado un adjunto en formato HTML...
URL: <https://listas.nic.cl/pipermail/dns-esp/attachments/20170614/898b68ee/attachment-0001.html>
Más información sobre la lista de distribución dns-esp