SERVIDOR DNS, qual usar e vale a pena ?

maycon escreveu:Boa noite pessoal, conversei com alguns amigos da areá, e também tem duvidas, hoje em dia acredito que a maioria usa dns das operadoras que normalmente da problema ou usa o do Google 8.8.8.8 ou 8.8.4.4, quero saber dos experientes se é vantajoso montar um servidor de dns dentro da rede e qual vai ser a vantagem e se vai ser percebível a diferença, agradeço aos amigos.

Bom dia amigo, vou dar minha opinião, tenho um servidor interno na minha rede, e posso te garantir que e muito melhor que usar servidores externo envolve ai , latência, terá os caches dos sites costumeiro da sua rede já dentro do dns assim agilizando pesquisa e diminuindo tempo de resposta.


abraÇo

Amigo , não vejo vantagens no servidor DNS local pois utilizaria da mesma forma um dns externo para resolver nomes da internet, ele somente lhe ajudaria com máquinas locais, o ideal é utilizar mesmo o da operadora... no final das contas é mais uma coisa para se preocupar com processamento e também manutenção dentro de sua rede.
Esta é minha opinião ..

Vlw !

Eu discordo. Há benefícios consideráveis. Acessar seus equipamentos por nome é uma deles.
Cache: as entradas têm TTL e podem ser guardadas em cache até expirarem. Isso reduz a latência na navegação. Os hits no cache DNS são pacotes que não sairão da sua rede e não terão que voltar com a resposta.
Stats: ter uma idéia de que tipo de conteúdo os clientes estão acessando e com isso otimizar políticas de shaping e cache mais eficientes (detecção de CDNs). O Google não é "bonzinho" ao disponibilizar o 8.8.8.8. Ele faz faz isso para saber o que você acessa antes mesmo de você chegar lá.
Segurança: ataques comuns podem ser evitados usando as listas negras disponíveis. É semelhante ao método "imunize" que alguns anti-vírus e caçadores da malware fazem no arquivo "hosts" do cliente.
Mesmo que não se queira usar o "complexo" Bind o dnsmasq é excelente para um mero cache.
Sou totalmente a favor do DNS local. Suas vantagens superam suas desvantagens.

Marco concordo 100% tanto com você quanto com demattos sobre os benefícios que podem ter implantando o servidor DNS, mas tendo em vista hoje em dia todos os links MPLS, caches com performances boas como estou percebendo no Thunder e outros fatores mais , não vejo se ter mais um hardware assim como mais um sistema na topologia para ter possíveis dores de cabeça , eu prefiro ter tudo centralizado e o mais simples possível , como por exemplo servidores de e-mail que sempre fugi por serem uma dor de cabeça a mais , finalizando , penso eu que é cabível de ser testado e avaliar corretamente sobre seus benefícios ..

Abraço !

Marcio Marques escreveu:Marco concordo 100% tanto com você quanto com demattos sobre os benefícios que podem ter implantando o servidor DNS, mas tendo em vista hoje em dia todos os links MPLS, caches com performances boas como estou percebendo no Thunder e outros fatores mais , não vejo se ter mais um hardware assim como mais um sistema na topologia para ter possíveis dores de cabeça , eu prefiro ter tudo centralizado e o mais simples possível , como por exemplo servidores de e-mail que sempre fugi por serem uma dor de cabeça a mais , finalizando , penso eu que é cabível de ser testado e avaliar corretamente sobre seus benefícios ..

Abraço !

Mais um hardware? Por quê? Virtualização funciona muito bem.

Marco escreveu:Eu discordo. Há benefícios consideráveis. Acessar seus equipamentos por nome é uma deles.
Cache: as entradas têm TTL e podem ser guardadas em cache até expirarem. Isso reduz a latência na navegação. Os hits no cache DNS são pacotes que não sairão da sua rede e não terão que voltar com a resposta.
Stats: ter uma idéia de que tipo de conteúdo os clientes estão acessando e com isso otimizar políticas de shaping e cache mais eficientes (detecção de CDNs). O Google não é "bonzinho" ao disponibilizar o 8.8.8.8. Ele faz faz isso para saber o que você acessa antes mesmo de você chegar lá.
Segurança: ataques comuns podem ser evitados usando as listas negras disponíveis. É semelhante ao método "imunize" que alguns anti-vírus e caçadores da malware fazem no arquivo "hosts" do cliente.
Mesmo que não se queira usar o "complexo" Bind o dnsmasq é excelente para um mero cache.
Sou totalmente a favor do DNS local. Suas vantagens superam suas desvantagens.

So confirmando suas palavras

Eta debate bom !
Assim que se faz um debate digno de pessoas educadas e com os devidos termos técnicos ..
Parabéns para a gente pessoal , vamos que vamos .
Tomara que nosso amigo criador do tópico esteja tirando proveito de nosso debate ..

Abraço a todos !

Boa Noite,

Vamos seguir o conteúdo do tópico em questão não fugindo do assunto, caso a interesse de um debate sobre OSPF e BGP podem usar o tópico já aberto para este fim

https://fpibrasil.forumeiros.com/t277-qual-o-verdadeiro-objetivo-de-implantar-ospf

Obrigado pela atenção e conto a compreensão de todos educadamente.

Att demattos FPI Team

Um servidor dns sempre é bem vindo para rede. Mais nunca confie somente em um dns .
Um exemplo bom é colocar.

201.1.1.5 dns da sua operadora
8.8.8.8 dns do google # ou outro de sua preferencia.


Pois se um dns cair a consulta busca o proximo.

megabyte escreveu:Um servidor dns sempre é bem vindo para rede. Mais nunca confie somente em um dns .
Um exemplo bom é colocar.

201.1.1.5 dns da sua operadora
8.8.8.8 dns do google # ou outro de sua preferencia.


Pois se um dns cair a consulta busca o próximo.

Ótima sugestão meu amigo , principalmente se conseguir regras que fiquem independentes caso tenha que seguir por outro caminho como citou , pois fazendo isto não compromete o resto do sistema.

Gostaria de deixar bem claro amigos , alguns pontos de vista meus ..

Quando eu digo que não gosto ou não sou a favor , não quer dizer que sou contra , na verdade sou contra a implantação de qualquer sistema ou hardware que não traga um benefício à sua altura , vamos à um bom exemplo .

Quando um provedor tem um bom link com PTTs passando em sua porta , um bom cache com uma boa quantidade de clientes dando uma boa economia de link e de repente deseja implantar um servidor DNS.

1- Há necessidade mesmo de se implantar o mesmo ?
2- Se você por exemplo tem link de sobra e de bom desempenho porque implantar ?
3 -Qual o % de benefício que isto trará ?

Estas e outras perguntas assim como suas respostas devem ser analisadas antes de qualquer implantação.

Caso uma implantação de algo novo não ultrapasse uma melhoria de pelo menos 10 % em suas redes amigos , me desculpem , mas sou totalmente contra.


Abraço !

Marco escreveu:

Marcio Marques escreveu:Marco concordo 100% tanto com você quanto com demattos sobre os benefícios que podem ter implantando o servidor DNS, mas tendo em vista hoje em dia todos os links MPLS, caches com performances boas como estou percebendo no Thunder e outros fatores mais , não vejo se ter mais um hardware assim como mais um sistema na topologia para ter possíveis dores de cabeça , eu prefiro ter tudo centralizado e o mais simples possível , como por exemplo servidores de e-mail que sempre fugi por serem uma dor de cabeça a mais , finalizando , penso eu que é cabível de ser testado e avaliar corretamente sobre seus benefícios ..

Abraço !

Mais um hardware? Por quê? Virtualização funciona muito bem.

Bom meu amigo vamos lá !

Com toda certeza a virtualização funciona bem sim , mas , sou das antigas e não gosto de misturar as coisas , gosto de cada coisa em seu lugar e processando no seu devido lugar também , caso eu fosse usar um servidor DNS eu usaria com seu próprio hardware com as regras podendo ser desabilitadas sem que parasse o serviço dos clientes , ou seja apenas desabilitar e desligar a máquina , caso houvesse algum problema de software ou hardware .
Vamos lembrar também que um servidor DNS pode ser uma faca de 2 gumes pois caso não tenha uma boa estrutura de rede tanto wireless quanto cabo , como a resposta fica mais rápida , o servidor DNS pode ocasionar um gargalo caso a estrutura não esteja adequada pois ele fará a entrega das requisições com mais rapidez.

Abraço !

megabyte escreveu:Um servidor dns sempre é bem vindo para rede. Mais nunca confie somente em um dns .
Um exemplo bom é colocar.

201.1.1.5 dns da sua operadora
8.8.8.8 dns do google # ou outro de sua preferencia.


Pois se um dns cair a consulta busca o proximo.

No Bind isso é opcional. Caso não seja configurado nenhum "forwarder" o Bind consulta diretamente a lista dos 13 servidores DNS root. Até hoje não tive notícia de que um deles estivesse fora do ar.

Código:

# dig

; <<>> DiG 9.8.4-rpz2+rl005.12-P1 <<>>
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 46725
;; flags: qr rd ra; QUERY: 1, ANSWER: 13, AUTHORITY: 0, ADDITIONAL: 0

;; QUESTION SECTION:
;.                IN    NS

;; ANSWER SECTION:
.            300274    IN    NS    m.root-servers.net.
.            300274    IN    NS    l.root-servers.net.
.            300274    IN    NS    g.root-servers.net.
.            300274    IN    NS    h.root-servers.net.
.            300274    IN    NS    d.root-servers.net.
.            300274    IN    NS    a.root-servers.net.
.            300274    IN    NS    i.root-servers.net.
.            300274    IN    NS    c.root-servers.net.
.            300274    IN    NS    e.root-servers.net.
.            300274    IN    NS    j.root-servers.net.
.            300274    IN    NS    k.root-servers.net.
.            300274    IN    NS    b.root-servers.net.
.            300274    IN    NS    f.root-servers.net.

;; Query time: 8 msec
;; SERVER: 127.0.0.1#53(127.0.0.1)
;; WHEN: Tue Mar 12 09:35:26 2013
;; MSG SIZE  rcvd: 228


Ótima contribuição Marco !
Parabéns !
Gostaria também de pedir a participação de nosso amigo que abriu o tópico maycon , para que possa nos dar sua opinião , pois até agora não se pronunciou sobre seu questionamento e nossas respostas.

Vlw !

A pior escolha possível é usar o DNS da operadora.
Os amigos devem se lembrar do grande caos causado no serviço Speed da Telefónica. Todo aquele problema foi causado pelo DNS deles (eles caíram no golpe do DNS do Vista). Até hoje o problema não foi resolvido. A solução foi que o iG e UOL disponibilizaram seus servidores DNS e a Telefónica os repassou aos clientes via DHCP.
Nos fóruns em geral, a solução típica para problemas com ADSL é colocar o DNS do Google ou OpenDNS como fixo.
Eu mesmo uso o localhost como DNS na minha estação de trabalho.

Obrigado a todos pelo debate dos amigos, acabou me surgindo outra duvida.... servidor de cache exemplo thundercache substitui servidor DNS ? a implantação deste servidor de DNS é fácil, a configuração para este computador para rodar server DNS tem que ser Muito como funciona ?

já tive muito problemas com cache na minha rede acabei desistindo...agora não sei tem muitos que reclamam outros elogiam vejo vários tópicos e cada usuário gosta de 1 tipo e 1 fala mal do outro.

maycon escreveu:Obrigado a todos pelo debate dos amigos, acabou me surgindo outra duvida.... servidor de cache exemplo thundercache substitui servidor DNS ? a implantação deste servidor de DNS é fácil, a configuração para este computador para rodar server DNS tem que ser Muito como funciona ?

Já tive muito problemas com cache na minha rede acabei desistindo...agora não sei tem muitos que reclamam outros elogiam vejo vários tópicos e cada usuário gosta de 1 tipo e 1 fala mal do outro.

Boa Tarde, não tenho plena certeza , já usei alguns caches que já tem seu próprio servidor de DNS ativado, o próprio mikrotik tem um servidor de DNS que você pode ativar e fazer ele pesquisar através do google, openDNS outros.

demattos escreveu:

Boa Tarde, não tenho plena certeza , já usei alguns caches que já tem seu próprio servidor de DNS ativado, o próprio mikrotik tem um servidor de DNS que você pode ativar e fazer ele pesquisar através do google, openDNS outros.

Isso é diferente. Se você não definir um servidor DNS no MikroTik ele não poderá acessar serviços por nome.
O MikroTik em modo Hotspot pode capturar pacotes DNS e responder (mentir, na verdade) que o IP do site requisitado é o captive portal dele.
Também é possível definir entradas fixas que também são capturadas.
O MikroTik também usa um cache DNS interno.

Se for somente um servidor dns para sua rede local não precisa ser uma máquina parruda.
Minha configuração de maquina nada muito especial. Já ate antiga um pouco.
AMD Athlon(tm) 64 X2 Dual Core Processor 4000
1 GB de Memoria
HD 80

Rodo serviço DNS + Mk-AUTH + mais alguns script .

Mais é como o Marcio falou, ter mais 01 hardware somente para este serviço não vale a pena. Aqui já aproveitei a maquina do MK-AUTH .
Boa sorte aí.

Também concordo. Mas discordo do que você fez.
Deveria ter virtualizado o MK-AUTH e deixado DNS numa outra VM ou no host. O MK-AUTH já é melindroso demais sem ficar fuçando nele.

Não indico fazer isso quem não tem experiencia com linux.
Pra min aqui foi tranquilo fazer desta forma .

realmente....seria uma boa colocar o servidor DNS na mesma maquina do MK-Auth, mas dá um baita receio de dar pau no MK-auth que tá rodando há 2 anos sem dar problema! quando sobrar um tempo vou pegar uma maquina parada e tentar montar o BIND para testes...

Marco escreveu:

demattos escreveu:

Boa Tarde, não tenho plena certeza , já usei alguns caches que já tem seu próprio servidor de DNS ativado, o próprio mikrotik tem um servidor de DNS que você pode ativar e fazer ele pesquisar através do google, openDNS outros.

Isso é diferente. Se você não definir um servidor DNS no MikroTik ele não poderá acessar serviços por nome.
O MikroTik em modo Hotspot pode capturar pacotes DNS e responder (mentir, na verdade) que o IP do site requisitado é o captive portal dele.
Também é possível definir entradas fixas que também são capturadas.
O MikroTik também usa um cache DNS interno.

Mas entao, ele pesquisa e cria um cache com as entradas pesquizadas, mesmo que ele use outros servidores externos para funcionar mesmo assim ja agiliza a pesquiza na rede interna por que estas entradas ja estao no memorizadas no mikrotik

O ideal é ter 01 maquina ( MK-AUTH de backup ) pois se dar pau e não tiver outra ferra a rede toda. E os backup do MK-AUTH é facil de subir.

megabyte escreveu:O ideal é ter 01 maquina ( MK-AUTH de backup ) pois se dar pau e não tiver outra ferra a rede toda. E os backup do MK-AUTH é facil de subir.

Virtualizado é mais fácil ainda:

megabyte escreveu:Não indico fazer isso quem não tem experiencia com linux.
Pra min aqui foi tranquilo fazer desta forma .

Eu contra-indico mesmo assim.
O sistema é bom, funciona. O Pedro é um bom desenvolvedor.
Ele só precisa aprender a usar o gerenciador de pacotes do Debian.

Bom pessoal , seu eu fosse implantar um servidor DNS , faria desta forma :

LINK ====> SERVIDOR CACHE EM BRIDGE =====> SERVIDOR CONTROLADOR DE BANDA EM PARALELO COM UM SERVIDOR DNS , SENDO INTERLIGADOS POR UMA ETH NO SERVIDOR APENAS PARA O DNS ======> CLIENTES .

Desta forma , nenhum dos servidores seriam comprometidos , como eu disse antes , nada contra virtualização , porém estando desta forma , se houver algum problema em algum dos servidores , basta desabilitar o que não estiver funcionando e pronto, usuários navegando novamente .

Vlw !

Por padrão, no POSIX é possível especificar até três servidores DNS. Eles podem ser acionados em sequência, failover ou round-robin. Caso o servidor DNS pare de responder os clientes voltam a ter a sua latência de praxe.
É muito barulho por poucos megabytes de memória.

é....oque eu quero é melhorar minha rede, quem não quer ter a rede redonda... agilizar mais ...estou procurando uma forma dai agora com este debate fiquei na dúvida de um cache ou server DNS.

maycon escreveu:é....oque eu quero é melhorar minha rede, quem não quer ter a rede redonda... agilizar mais ...estou procurando uma forma dai agora com este debate fiquei na dúvida de um cache ou server DNS.

Bem meu amigo ,vou lhe dar minha opinião, são serviços destintos , mas em minha opinião o que você deve fazer é :
- Se tiver mais de 100 clientes, coloque um servidor cache e também um servidor DNS , pois como os amigos acima citaram , pode tanto virtualizar quanto colocar em um hardware a parte , aproveite nosso debate acima e decida se monta um hardware para o DNS ou virtualize , deixando claro que servidor cache tem que ter um hardware a parte.

- Caso tenha menos de 100 clientes, apenas coloque um servidor DNS e como citei acima decida entre virtualizar ou usar um hardware a parte .

Deixando claro que esta margem que indiquei de 100 clientes é uma base claro , caso tenha 90 clientes por exemplo , deve seguir seus próprios parâmetros e tomar suas próprias decisões sobre o que irá implantar pois somente você pode saber o perfil de seus clientes.

Deixando claro também que uso esta margem de 100 clientes para citar como exemplo devido ao uso do cache em relação às probabilidades de acesso e cacheamento , pois qualquer um com uma boa calculadora , poderá fazer um cálculo de probabilidades e constatar que, dentro de uma margem de 100 clientes a probabilidade de um mesmo cliente acessar o mesmo arquivo são mínimas , então antes de usar o cache deve sempre fazer este cálculo de probabilidades para decidir se usar ou não , deixando um exemplo aqui que são raros os profissionais que têm a honestidade de comparecer no fórum como o Luiz do Thunder Cache afirmando que acima de 45 clientes o Thunder já gera uma economia de 15 % , ou seja , a decisão também sua sobre usar ou não o cache depois de toda esta explicação.

Esclarecendo sua dúvida sobre caches problemáticos , eu posso lhe dizer com toda experiência ,que ,quem cria problemas somos nós , pois já testei todos os caches que estão no mercado e todos não me deram grandes problemas , basta instalar através de algum profissional qualificado , e não mexer em nada , pois muitos ficam o tempo todo mexendo em plugins e outras coisas mais , em meras palavras , ficam mexendo aonde não devem, e isto sim causa sempre problemas , mas a questão maior para se escolher um cache hoje em dia é a economia e suporte , temos tópicos aqui que poderá avaliar e decidir o cache a ser usado por você https://fpibrasil.forumeiros.com/t5-qual-o-melhor-cache-ou-opcao-para-fazer-cacheamento-no-momento .

Espero ter esclarecido suas dúvidas meu amigo !

Grande Abraço !

Aqui sempre que estou na dúvida utilizo o programa DNSBench ( http://www.grc.com/dns/benchmark.htm )

Ele vem com alguns DNS's já pré-configurados, porém, pesquisando na internet adicionei todos os possíveis DNS's brasileiros relativamente confiáveis, e deixei o DNSBench testar pra mim.

Código:

8.8.4.4            google-public-dns-b.google.com
8.8.8.8            google-public-dns-a.google.com
143.106.2.5        ns2.unicamp.br
143.106.51.37      styx.iqm.unicamp.br
143.107.253.3      bee.uspnet.usp.br
143.108.25.103      ··· no official Internet DNS name ···
156.154.70.1        rdns1.ultradns.net
156.154.71.1        rdns2.ultradns.net
189.38.95.95        dns1.gigadns.com.br
189.38.95.96        dns2.gigadns.com.br
189.40.220.41      www.timbrasil.com.br
189.127.128.199    stat.unotel.com.br
200.19.74.21        cherokee.pop-pr.rnp.br
200.137.65.132      srv2.voip.ufes.br
200.142.130.10      pinheiros2.vivo.com.br
200.147.255.105    borges.uol.com.br
200.149.55.104      ··· no official Internet DNS name ···
200.149.55.140      ··· no official Internet DNS name ···
200.149.55.141      ··· no official Internet DNS name ···
200.149.55.142      ··· no official Internet DNS name ···
200.150.4.4        infoviasdns1.redeinfovias.net.br
200.150.4.5        infoviasdns2.redeinfovias.net.br
200.150.13.243      200150013243.static.corp.wayinternet.com.br
200.150.13.244      ns1.wayinternet.com.br
200.162.192.3      200-162-192-3.rsvr1.ajato.com.br
200.162.192.5      200-162-192-5.rsvr5.ajato.com.br
200.165.132.148    ns4.velox.net.br
200.165.132.155    ns6.velox.net.br
200.169.117.14      200-169-117-14.claro.net.br
200.173.112.4      ··· no official Internet DNS name ···
200.175.5.139      resolver1.gvt.net.br
200.175.89.139      resolver2.gvt.net.br
200.175.139.139    ··· no official Internet DNS name ···
200.175.182.139    resolver3.gvt.net.br
200.176.2.10        laquenogami.terra.com.br
200.176.2.12        manticoke.terra.com.br
200.176.2.75        ··· no official Internet DNS name ···
200.176.3.130      core-web01.terra.com.br
200.176.254.10      ··· no official Internet DNS name ···
200.177.2.10        dl-lns1-tic-c8b1020a.dynamic.dialterra.com.br
200.177.250.10      bogari.terra.com.br
200.179.42.35      ··· no official Internet DNS name ···
200.180.128.68      200-180-128-68.paemt301.ipd.brasiltelecom.net.br
200.184.26.3        ns1.intelignet.com.br
200.184.26.4        ns2.intelignet.com.br
200.184.26.9        intspo1013.intelignet.com.br
200.185.6.131      dns1.optiglobe.net.br
200.185.6.163      dns2.optiglobe.net.br
200.185.56.49      ··· no official Internet DNS name ···
200.192.112.8      ntp.pucpr.br
200.193.136.60      ··· no official Internet DNS name ···
200.193.193.234    ··· no official Internet DNS name ···
200.195.192.8      fortaleza.onda.com.br
200.195.192.10      brava.onda.com.br
200.195.192.130    buzius.onda.com.br
200.196.91.210      ··· no official Internet DNS name ···
200.196.91.250      ··· no official Internet DNS name ···
200.196.94.146      s17.palm.com.br
200.196.94.149      s20.palm.com.br
200.198.100.3      ··· no official Internet DNS name ···
200.198.100.6      ··· no official Internet DNS name ···
200.199.201.23      ··· no official Internet DNS name ···
200.199.201.24      ··· no official Internet DNS name ···
200.199.241.17      brt-v800-wsbsa15.brasiltelecom.net.br
200.199.252.68      ··· no official Internet DNS name ···
200.199.252.72      ··· no official Internet DNS name ···
200.202.0.34        amr-spo.matrix.com.br
200.202.0.39        ··· no official Internet DNS name ···
200.202.7.1        server1.spo.matrix.com.br
200.202.17.1        dns.matrix.com.br
200.202.93.75      ··· no official Internet DNS name ···
200.202.193.69      caetes.telemar.net.br
200.202.193.71      ns6.telemar.net.br
200.202.193.74      ns2.telemar.net.br
200.202.193.75      ns1.telemar.net.br
200.202.193.76      ns5.telemar.net.br
200.202.193.171    ··· no official Internet DNS name ···
200.203.0.83        200-203-0-83.cslce701.dsl.brasiltelecom.net.br
200.203.0.84        200-203-0-84.cslce701.dsl.brasiltelecom.net.br
200.203.191.8      ··· no official Internet DNS name ···
200.203.199.2      ··· no official Internet DNS name ···
200.203.199.3      ··· no official Internet DNS name ···
200.203.251.250    ··· no official Internet DNS name ···
200.204.0.10        resolver1.telesp.net.br
200.204.0.138      resolver2.telesp.net.br
200.205.125.57      themis.telefonica.net.br
200.205.125.58      atlas.telefonica.net.br
200.212.223.43      ··· no official Internet DNS name ···
200.212.223.44      ··· no official Internet DNS name ···
200.215.1.43        corais.telesc.net.br
200.215.1.44        arataca.telesc.net.br
200.219.150.4      panda.sul.com.br
200.219.150.5      tiger.sul.com.br
200.220.227.200    ··· no official Internet DNS name ···
200.221.11.98      eliot.uol.com.br
200.221.11.100      brahms.uol.com.br
200.221.11.101      ravel.uol.com.br
200.222.0.34        ns3.telemar.net.br
200.222.0.35        ns4.telemar.net.br
200.222.0.38        mail.telemar.net.br
200.222.0.39        bare01a.telemar.net.br
200.223.0.35        ··· no official Internet DNS name ···
200.223.0.83        ns7.telemar.net.br
200.223.0.84        ns8.telemar.net.br
200.225.157.104    ··· no official Internet DNS name ···
200.225.157.105    ··· no official Internet DNS name ···
200.225.197.3      ··· no official Internet DNS name ···
200.225.197.37      ··· no official Internet DNS name ···
200.230.128.21      ··· no official Internet DNS name ···
200.245.127.130    ··· no official Internet DNS name ···
200.245.255.33      wks01.rjoen.embratel.net.br
200.245.255.65      ··· no official Internet DNS name ···
200.246.5.2        ··· no official Internet DNS name ···
200.246.5.87        ··· no official Internet DNS name ···
200.246.248.10      ··· no official Internet DNS name ···
200.248.149.1      ··· no official Internet DNS name ···
200.255.121.39      ··· no official Internet DNS name ···
200.255.122.6      ··· no official Internet DNS name ···
200.255.125.211    wks11.rjo.embratel.net.br
200.255.244.1      vm01.rjoen.embratel.net.br
200.255.244.3      vm03.rjoen.embratel.net.br
200.255.253.238    srv36.embratel.net.br
200.255.253.241    wks01.rjo.embratel.net.br
201.6.0.108        ldap3.virtua.com.br
201.6.0.112        spotvtsrv11.spo.virtua.com.br
201.10.1.2          dns05.brasiltelecom.net.br
201.10.1.3          dns07.brasiltelecom.net.br
201.10.120.2        dns03.brasiltelecom.net.br
201.10.120.3        dns04.brasiltelecom.net.br
201.10.128.2        dns01.brasiltelecom.net.br
201.10.128.3        dns02.brasiltelecom.net.br
208.67.220.220      resolver2.opendns.com
208.67.222.222      resolver1.opendns.com


Aqui como uso Links da OI e da GVT, não posso utilizar o DNS da operadora pois elas "se bloqueiam", ou seja, não é possível resolver endereços por uma navegando pela outra.

Sabendo-se então eu uso 2 links, preciso usar o DNSBench 2x , navegando pela OI e depois pela GVT, e analizar os resultados e escolher o DNS que se deu bem com ambas.

O DNSBench avalia tanto resultados Cacheados quanto não-Cacheados, por isso, obviamente, os DNS's interno (MK) e da Operadora sempre são os primeiros colocados Cacheados.

Aqui pra mim, os DNS's de terceiros que se saem melhor tanto por um link quanto pelo outro são os DNS's do Terra, da Unotel e da GigaDNS.

Porém, deve-se levar em consideração que estou no sul do brasil, e geograficamente falando, estes servidores estão relativamente próximos.

Eu veemente não aconselho a usar DNS primário e secundário "mistos", como sugerido mais acima, as tabelas possuem sutis diferenças na janela de tempo, e hora ou outra seu cliente irá receber um categórico 404, pois será apontado para um endereço IP que, ou não existe mais, ou ainda não existe.

Usem primário e secundário do mesmo "dono".

Operadoras bloqueando consultas DNS uma das outras parece muito estranho. Isso vai de encontro a como o DNS foi projetado para funcionar.

Saudações meu amigo Márcio, desculpe não estar sempre por aqui, mas sempre que posso apareço.

Vamos a minha opinião sobre servidor de DNS.

Acho fundamenta ter, com ele você agiliza a sua rede e não fica dependente de terceiros.  

Eu estava usando os do google 8.8.8.8 e 8.8.4.4, porem, depois da retirada desses servidores do Brasil aumentou muito a latência para eles, que nesse momento esta entre 160 e 200ms isso quando não é mais e ainda ocorre perdas, um problema sério para sua rede que as vezes você nem fica sabendo que esta ocorrendo, porem você consegue resolver isso de uma forma muito pratica e eficiente.

O que eu fiz:

"Receita de Bolo"

* Servidor: Uma maquina simples, HD 80 + 2GB de memoria (apenas uma placa de rede) com Ubuntu Server 12.04 + Bind9 + configuração simples (posso postar aqui caso alguem tenha dificuldades).

* Configura-lo em paralelo ao mikrotik, onde você vai dar internet para esse servidor (regra no firewall), e colocar o MK para buscar o dns no ip dele.

* Pronto, não tem erro...


A diferença de desempenho de sua rede será notada... não faz milagres, mas muito vai ajudar.

Até mais pessoal!

Ola em relação a tudo que foi citado eu só faria uma pequena alteração eu dou preferencia as coisas nacionais e temo hoje a gigadns que é bem melhor que o google os dns deles são 189.38.95.95 e 189.38.95.96

bom gente em tudo que foi dito, sou a favor de um servidor DNS próprio, devido ao fato
das violações com DNS-falso, porem um servidor interno na rede com configs de DNSSec e tudo mais, mesmo assim um DNS "publico" no auxilio de resoluções de nomes.

Bom esse é meu palpite.

Sou a favor de um servidor de dns proprio. Aqui uso virtualizado, sao dois servidores bind rodando uma em uma maquina e outro em outra maquina - duas maquinas virtualizadas com citrix xen server.

Desde que eu instalei ele, na primeira semana foi registrado mais de 1 milhao de consultas. E olha que tenho 50 clientes, imagina que tem mais de 100.

E bem tranquilo gente, tem muito tutorial na internet e no youtube ensinando a fazer o bind rodar no ubuntu ou qualquer outra distro. Agora, vale as recomendacoes:


-Usar DNSSEC como amigo comentou
-Apenas resolver para a sua rede e nao para fora dela


Um detalhe: Um servidor de dns verdadeiro faz a consulta direto nos servidores da internet - ou seja root-servers nao repassa para um outro - como o open ou o google. E sim, cada operadora faz apenas a resolucao dos nomes para dentro de sua rede - ou seja um servidor recursivo interno.

Amigo nalvo, poderia postar a configuração para que possamos verificar? Aqui fiz, mas geralmente na primeira solicitação sempre dar erro de pagina. Acredito estar faltando algo. Segui um tutorial de um video do youtube.

nalvo escreveu:Saudações meu amigo Márcio, desculpe não estar sempre por aqui, mas sempre que posso apareço.

Vamos a minha opinião sobre servidor de DNS.

Acho fundamenta ter, com ele você agiliza a sua rede e não fica dependente de terceiros.  

Eu estava usando os do google 8.8.8.8 e 8.8.4.4, porem, depois da retirada desses servidores do Brasil aumentou muito a latência para eles, que nesse momento esta entre 160 e 200ms isso quando não é mais e ainda ocorre perdas, um problema sério para sua rede que as vezes você nem fica sabendo que esta ocorrendo, porem você consegue resolver isso de uma forma muito pratica e eficiente.

O que eu fiz:

"Receita de Bolo"

* Servidor: Uma maquina simples, HD 80 + 2GB de memoria (apenas uma placa de rede) com Ubuntu Server 12.04 + Bind9 + configuração simples (posso postar aqui caso alguem tenha dificuldades).

* Configura-lo em paralelo ao mikrotik, onde você vai dar internet para esse servidor (regra no firewall), e colocar o MK para buscar o dns no ip dele.

* Pronto, não tem erro...


A diferença de desempenho de sua rede será notada... não faz milagres, mas muito vai ajudar.

Até mais pessoal!

Amigos era bom que vc,s posta-se as configurações para fazer um dns pois aqui estou quebrando a cabeça pra fazer, as duvidas são:

que sistema operacional usar.  
quais são as regras do firewall.

e jeansilva você esqueceu de postar o tutorial ( video do youtube ).

Amigo Paulo são vários vídeos por isso não postei, mas basta que você escreva na busca do youtube "configurar bind9" que aparece os vídeos mais populares. Existem vídeos mostrando como configurar via terminal, que seria um modo avançado de configuração, onde você vai fazer toda a estrutura do named.conf, resolv.conf, etc. É bom assim que você aprende fazer do zero. Tem tambem via Webmin, que você usa a interface web para aplicar as configurações. E também existe o Zentyal que ja vem pré configurado, bastando apenas instalar e fazer as configurações básicas. Só lembrando que tudo que escrevi até aqui é relacionado ao BIND9.

Sobre suas duvidas:
"que sistema operacional usar"? Resp. Aqui uso na minha rede e em testes o Debian com unbound, Ubuntu server 12.04 com BIND9, Zentyal 3.3 com BIND9, que é baseado no Ubuntu e o FreeBSD 10.0 com unbound.
Todos se equivalem, mas o BIND9 é o mais utilizado.

"quais são as regras do firewall?" Se for firewall no proprio servidor DNS, eu particularmente não utilizo nenhuma regra. Se for no mikrotik, pra quem usa hotspot não necessita, pois ele ja tem o redirecionamento pronto pra porta 53 (porta do DNS); Se for PPPoE, vc precisa da regra no NAT pra direcionar a range de IPs dos clientes pra porta 53.

Se alguém puder colaborar mais, fiquem à vontade.

paulo jose da silva escreveu:Amigos era bom que vc,s posta-se as configurações para fazer um dns pois aqui estou quebrando a cabeça pra fazer, as duvidas são:

que sistema operacional usar.  
quais são as regras do firewall.

e jeansilva você esqueceu de postar o tutorial ( video do youtube ).

amigos vejam si podem mim dar uma dica como resolver meu caso vamos lá-
montei um servidor de 'DNS Bind9" com o debian.

servidor mikrotik entrada de 'ether1REDE LINK OI' 'ether2 SAIDA CLIENTE' o servidor de dns esta na rede "ether1link" oi, e não na saída "ether cliente" fica muitos saites sem abrir as pagina tipo facebook e outros como bancos e youtub ate agora não consigo entender o porque isso já segui vários tutorias pela internet mas sempre a mesma coisa onde esto errando, postem algo ou mim indique a maneira correta de configuração,

aguardo resposta dos mestres, desde-já agradeço a quem possa mim dar uma luz.

As informação são menos do que mínimas na maior parte dos cenários aqui expostos.
Algumas informações mais gerais podem ajudar.
O Bind tem como comportamento padrão uma orientação idiot-proof. Um desses comportamentos é não permitir que consultas fora de sua autoridade retornem resultados úteis. Isso significa que que um cache DNS só responde a clientes dentro de sua própria rede; ou pelo menos dentro de alguma das redes nas quais a máquina tem um IP configurado naquela faixa. Isso acontece por questão de segurança.
A solução consiste em autorizar explicitamente o CIDR dos clientes:

Código:

options {
        allow-recursion {
                n.n.n.n/n;
                n.n.n.n;
                };
};


Tomar o seguinte atalho:

Código:

options {
        allow-recursion {
                "any";
                };
};


É uma péssima idéia.

http://thehackernews.com/2014/03/google-public-dns-server-traffic.html