<div dir="auto">Miguel <div dir="auto">Un problema bastante común con dns es que los firewalls están configurados con connection tracking. Y se satura la tabla correspondiente. </div><div dir="auto"><br></div><div dir="auto">2100 qps es un volunen que no debería ser problema </div><div dir="auto">Saludos</div></div><div class="gmail_extra"><br><div class="gmail_quote">On Jun 14, 2017 21:29, "Miguel Angel Amador" <<a href="mailto:sysadmin@motd.cl">sysadmin@motd.cl</a>> wrote:<br type="attribution"><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div dir="ltr">Gracias Mave... <div><br></div><div> me diste la opción para investigar, y estoy buscando la opción para el max*query*client* , esto fue un problema que se me presento en una red interna, sobre un servicio de dns que es resolver hacia internet y autoritativo para zonas internas. este equipo tiene una vip (ipvip - anycast por ospf ) por donde se consulta el servicio, que es levantada sobre una interfaz que ya tiene una ip. (ipif).</div><div> El problema fue que por una degradación en el firewall que presta el servicio de internet, se presento un problema a nivel de dns en que este dejo de responder. básicamente el problema fue que al aumentar latencia y no haber respuestas a las consultas hacia internet, la ip de la vip dejo de contestar consultas al servicio DNS; no asi contestar ping (el ospf no cayo), tampoco hubo un problema de capacidad, pues la maquina tiene muchos recursos, y tampoco dejo de responder consultas por la ip configurada en la interfaz (ipif). Por lo que la conclusión es que el listener que estaba en la vip llego a su máxima capacidad y por eso dejo de contestar nuevas querys. (el limite al que llego fue cerca de las 2100 querys/s), esto porque al haber problemas con las consultas enviadas a internet, y no tener respuesta, no concluía las conexión esperando la respuesta desde Internet. esto solo afecto a la vip, la otra interfaz respondía sin problemas las consultas y la maquina tenia recursos holgados . (de ahí que piense que era un parámetro que llego a su limite).</div><div> Por este motivo es que me surgen las consultas... si hay parámetros para aumentar el máximo de querys y si se puede bajar el tiempo de espera para las consultas forwardeadas. como dato adicional, no contestaba el servicio, osea tampoco contestaba consultas internas, sin embargo se corto el internet y el dns contestaba las consultas internas y daba timeout para las externas.</div><div> la maquina que provee el servicio de dns es una apliance de algun tipo de felino azul... asi que los parametros del bind tampoco son tan ajustables, pero tiene un bind por debajo.</div><div><br></div><div>Saludos,</div><div> <br></div><div><br></div></div><div class="gmail_extra"><br><div class="gmail_quote">El 14 de junio de 2017, 14:32, Mauricio Vergara Ereche <span dir="ltr"><<a href="mailto:mave@cero32.cl" target="_blank">mave@cero32.cl</a>></span> escribió:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div dir="ltr">Hola!<div><br></div><div>Comento entre líneas<br><div class="gmail_extra"><br><div class="gmail_quote">2017-06-14 11:17 GMT-07:00 Miguel Angel Amador <span dir="ltr"><<a href="mailto:miguel@motd.cl" target="_blank">miguel@motd.cl</a>></span>:<br><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex"><div dir="ltr">Estimados <div> Recurro a esta lista para saber si alguien me puede guiar, existe alguna opcion en bind, para una configuracion de dns recursivo, que hace forward de las consultas a otro dns. que haga lo siguiente:</div><div> - bajar el tiempo de espera de respuesta desde el dns al cual hace forward, para matar la query antes del tiempo de espera por defecto. (bajar el timeout)</div></div></blockquote><div><br></div><div>si tienes el forwarder específico definido dentro de un zone {}, podrías usar los</div><div>max-transfer-idle-in</div><div>max-transfer-time-in</div><div><br></div><div>Puedes revisar las opciones de la versión en específico que tengas en el BIND ARM (Doc PDF que puedes buscar en <a href="http://isc.org" target="_blank">isc.org</a> o que tal vez tengas tu mismo dentro de tu distribución / codigo fuente)</div><div>...o sino, puedes buscar como referencia las opciones más genéricas para BIND 9 acá:</div><div><a href="http://www.zytrax.com/books/dns/ch7/xfer.html#max-retry-time" target="_blank">http://www.zytrax.com/books/dn<wbr>s/ch7/xfer.html#max-retry-time</a><br></div><div> </div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex"><div dir="ltr"><div> - manejar el maximo numero de querys que puede responder el servicio de dns.</div></div></blockquote><div><br></div><div>Que yo sepa, esa opción no la conozco... pero puedo equivocarme. </div><div>En realidad, nunca había pensado en querer limitar el número de queries en uno de mis servidores, sino que todo lo contrario :-)</div><div> </div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex"><div dir="ltr"><div>Tuve un incidente donde la VIP de un servidor dns se colapso y no contesto mas consultas, pero a traves de otras ip's configuradas en la interfaz si respondia, esto debido a tiempos altos en la respuesta desde los resolver a los cuales hacia forwarding.</div></div></blockquote><div><br></div><div>Acá hay algo que no entiendo muy claro... pero por qué tiene que ser un forwarding y no directamente un recursivo?</div><div>Son zonas privadas?</div><div><br></div><div>Saludos!</div></div><span class="m_5246534067313589829HOEnZb"><font color="#888888"><div><br></div>-- <br><div class="m_5246534067313589829m_2728046445523690546gmail_signature"><div dir="ltr">Mauricio Vergara Ereche<br>Los Angeles, CA<br><a href="http://mave.cero32.cl" target="_blank">http://mave.cero32.cl</a></div></div>
</font></span></div></div></div>
<br>______________________________<wbr>_________________<br>
dns-esp mailing list<br>
<a href="mailto:dns-esp@listas.nic.cl" target="_blank">dns-esp@listas.nic.cl</a><br>
<a href="https://listas.nic.cl/mailman/listinfo/dns-esp" rel="noreferrer" target="_blank">https://listas.nic.cl/mailman/<wbr>listinfo/dns-esp</a><br>
<br></blockquote></div><br></div>
<br>______________________________<wbr>_________________<br>
dns-esp mailing list<br>
<a href="mailto:dns-esp@listas.nic.cl">dns-esp@listas.nic.cl</a><br>
<a href="https://listas.nic.cl/mailman/listinfo/dns-esp" rel="noreferrer" target="_blank">https://listas.nic.cl/mailman/<wbr>listinfo/dns-esp</a><br>
<br></blockquote></div></div>