4 votes

Tommiie avatar

DNS forwarding ou indications de racine

Demandé el 18 de Août, 2018
Quand la question a-t-elle été
739 affichage
Nombre de visites la question a
2 Réponses
Nombre de réponses aux questions
Résolu
Situation réelle de la question

L'auteur de Best practices for DNS forwarding [petri.com] recommande d'utiliser les serveurs DNS de votre FAI comme forwarders au lieu de faire les recherches récursives vous-même, la raison principale étant la performance. Cela a du sens car vous ne faites qu'une seule requête, recevant probablement la réponse immédiatement, compte tenu d'un cache suffisamment grand chez le FAI et d'un site suffisamment populaire.

Un inconvénient d'utiliser les serveurs DNS de votre FAI pourrait être leur stabilité. Il était courant que les FAI aient des serveurs DNS pas très stables. Cependant, cela peut être résolu en redirigeant simplement vers des serveurs de noms tels que 1.1.1.1, 8.8.8.8, ou 9.9.9.9.

Quels sont les avantages de faire les recherches vous-même?

Modification : l'utilisation de serveurs de noms publics comme Quad9 ajoute également une sécurité en filtrant les domaines malveillants connus.

Demandé el 18 de Août, 2018 par Tommiie

2 votes

Avatar de Peder

Certains résolveurs de fournisseur de services Internet renvoient des enregistrements A pour des noms d'hôtes inexistants à des fins publicitaires, ce qui est une raison pour laquelle vous pourriez ne pas vouloir utiliser les résolveurs de fournisseur de services Internet.

Commenté el 18 de Août, 2018 par Peder

Réponses

Trop de publicités?

5voto

John Mahowald avatar
John Mahowald Points 28597

Les avantages de résoudre vous-même incluent le fait de ne pas dépendre de, ou faire confiance à, un tiers pour le faire. Cela inclut les FSI qui peuvent changer, et des DNS publics qui collectent vos données ou imposent leur idée de filtrage.

Si un service DNS répond à vos besoins, n'hésitez pas à le transmettre.

Répondu el 18 de Août, 2018 par John Mahowald (28597 Points )

4 votes

Avatar de Patrick Mevzek

Aussi, si vous voulez valider les enregistrements DNSSEC de la manière la plus sensée, c'est de le faire vous-même, ce qui signifie récupérer tous les enregistrements vous-même, et non pas déléguer ce rôle à une autre entité. Les choses pourraient changer radicalement une fois que le DNS sur HTTPS et le DNS sur TLS prendront le dessus sur le monde.

Commenté el 21 de Août, 2018 par Patrick Mevzek

3voto

Tommiie avatar
Tommiie Points 5467

Pour répondre à ma propre question...

John a raison de dire que "si un service DNS répond à vos besoins, il est certainement possible de le faire suivre". Voici quelques raisons pour lesquelles cela peut ne pas répondre à vos besoins:

  • Le fournisseur DNS pourrait bloquer certains sites web (par exemple les sites de torrents) en renvoyant une adresse IP qu'ils - ou le gouvernement - possèdent, hébergeant un site web indiquant que le site est interdit pour des activités illégales.
  • Le fournisseur DNS pourrait renvoyer des enregistrements A pour des noms de domaine inexistant à des fins publicitaires (commentaire de Torin Carey).

Une raison de faire fonctionner vos propres résolveurs:

  • Si votre entreprise est connectée à deux fournisseurs d'accès Internet différents, il pourrait ne pas être possible d'utiliser les serveurs DNS de l'ISP1 lorsque le trafic sort de votre réseau via l'ISP2. Dans ce cas, vous devriez utiliser des serveurs DNS publics (par exemple 8.8.8.8) ou faire fonctionner vos propres résolveurs.
  • Si la latence à partir de l'ISP ou d'un serveur DNS public est trop élevée, vous devriez faire fonctionner vos propres résolveurs.

Si les deux options (propres résolveurs ou publics) sont des options valides pour votre entreprise, vous pouvez choisir celle que vous préférez, en fonction de vos préférences personnelles ou architecturales. Bien sûr, faire fonctionner vos propres résolveurs signifie plus de systèmes à gérer, vous devez avoir des administrateurs système ayant des connaissances en DNS dans votre équipe, etc.

Répondu el 11 de Septembre, 2018 par Tommiie (5467 Points )

Questions en vedette

Top Tags

Dans notre réseau

SistemesEz.com

SystemesEZ est une communauté de sysadmins où vous pouvez résoudre vos problèmes et vos doutes. Vous pouvez consulter les questions des autres sysadmins, poser vos propres questions ou résoudre celles des autres.

Powered by:

Yandex
X