dnscache

Petr Novotny Petr.Novotny na antek.cz
Čtvrtek Duben 6 11:03:53 CEST 2000 

-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1

On 6 Apr 00, at 10:41, Martin Trcka wrote:


> Predpokladam, ze DNScache mate nasazeny, setkal jste se s nejakymi
> problemy ?

Uvod: Je to djbware. Pokud jste se jeste s djbware nepotkal, bude 
to mit pro vas dost divny look-and-feel. Pokud jste nejaky djbware 
uz videl (qmail, ucspi-tcp, daemontools, anonftp, publicfile), tak vas 
to neprekvapi.


Problemy: Neni to BIND. :-) Znamena to, ze musite prizpusobit sve 
pozadavky tomu, co sw umi:
1. Musite vzit v potaz, ze cache a autoritativni zdroj jsou rozdilne 
programy, a tedy kazdy poslouchaji na jinem interface. (Normalne 
mate k dispozici interfejsu spoustu - udelate si loopback na 
127.0.0.2, 127.0.0.3 atd. :-))

U cache jsou rozdily
1. cache nedava autoritativni zaznamy. (Je to asi spravnejsi nez 
BIND, kde cache opakuje, co dostala, ale muze to prekvapit.)
2. cache poklada iterativni, ne rekurzivni dotaz; nelze tedy cache 
sestavit kaskadovite.
3. cache vraci TTL 0s. (Chyba to neni, funkcnost niceho to 
neohrozuje, podporuje to soukromi)

Rozdily autoritativniho zdroje
1. Nepodporuje CNAME rekordy (i kdyz je tam lze dostat jako 
genericky rekord)
2. Nepodporuje wildcard rekordy (a nejspis nikdy nebude)
3. Zonovy format vypada vyrazne jinak. (Je snadno parsovatelny 
pocitacem, a clovek se uci snaze nez pocitac.)
4. Nevysila NOTIFY pakety (lze pouzit kratky perlovsky skript)
5. Neprijima NOTIFY pakety. (Autor se domniva, ze AXFR je jeden 
z nejhloupejsich zpusobu, jak zonu prenaset. Nelze nez souhlasit. 
rsync-over-ssh je o dost efektivnejsi.)
5a. AXFR ovsem umi; jak odchozi, tak i prichozi. Akorat ten 
prichozi (jste-li sekundar) netriggeruje NOTIFY paket, ale treba 
cron job. (Porovnani SOA, aby se zjistilo, ze je zone transfer 
potreba, vas stoji asi 50 bytu. To lze delat dost casto.)
6. Nepodporuje BIND zone update mechanismus. (rsync-over-ssh a 
ssh ... "cd /etc/tinydns/root; make" je o dost efektivnejsi, a 
vzhledem k atomicnosti update zone nevznikaji problemy jako pri 
"ndc reload").


Pokud se s uvedenymi body smirite, dostanete se do sveta 
mnohych vyhod, kde treba split-DNS triky jsou uplne za babku, 
prima a reverzni zona jsou automaticky spravne, slunicko sviti a 
tak. :-)


Je to jako s qmailem: Pokud cekate, ze qmail je v podstate 
sendmail (akorat lip napsany), jste na spatne adrese. A pokud 
cekate, ze dnscache je BIND (akorat lip napsany), budete tez 
prekvapen.

-----BEGIN PGP SIGNATURE-----
Version: PGP 6.0.2 -- QDPGP 2.60 
Comment: http://community.wow.net/grt/qdpgp.html

iQA/AwUBOOxE6lMwP8g7qbw/EQJTuQCeO+Gv6KEw+Z/cgGts+hiQjLkPOSoAn2s0
LYllTabAOEBFKVrSkRZjuA93
=ccYK
-----END PGP SIGNATURE-----
--
Petr Novotny, ANTEK CS
Petr.Novotny na antek.cz
http://www.antek.cz
PGP key ID: 0x3BA9BC3F
-- Don't you know there ain't no devil there's just God when he's drunk.
                                                             [Tom Waits]

Další informace o konferenci Linux