bind9 neg hit cache problem

Miro Bobovsky Miroslav.Bobovsky na ives.vs.sk
Středa Srpen 15 12:51:10 CEST 2012 

Zdravim.

Problem co neviem vyriesit je v bind9.

Ak je PCserver priamo na internete tak je vsetko ok a problem nema

Ak je PCserver v LAN a ma nastavene forwarders { ipdns_nadradeneho}; forward 
only .. Tak problem je.

Problem je v tom ze lokalny server potom necacheuje negativne odpovede.

A ked mame nejake blbe aplikacie (konkretne novell klient s povolenym DNS na 
10 000 strojoch) ktory dava dotazy na DNS na mena ako "JANO" "MISO" "HP5435" 
(teda nemaju ziadne domeny), tak pekne vidim ze Lokalny server da dotaz na 
forwardera ze "Aku IP ma jano.?". Na co pride odpoved ze taky neexisuje. Ale 
debil klient tuto otazku polozi 10x za sekundu a namiesto toho co som 
ocakaval ( ze lokalny DNS server uz odpovie z cache ) vsetkych 10 otazok 
zase smeruje na nadradeny ktory 10x odpovie ze neexistuje.

Lebo proste ak ma bind9 nastaveny forwarder tak negativne dotazy necacheuje 
!.
Skusal som kadeco a kadejak (debian stable) ale nic nepomohlo.
(ked dom porovnaval dumpom v com je rozdiel ci sa pytam servra alebo priamo 
na inete tak mozno zadrhel je v tom ze ak som na inete tak mi pride 
autotirativna odpvoed ze neexistuje, a ked idem ako forwarder na "sefa" tak 
moj "sef  (tiez bind9)" uz priznak autoritativna nedava (co je zas vcelku 
logicke). No beztak to ovplyvnit neviem a to je len dohad.

-----
Vyskusal som to iste ale na lan servri nemat bind9 ale unbound a nastaveny 
forward pre vsetko teda v ich zapise "." na nadredeny DNS .. (teda presne to 
iste ako v bind9 ale cez unbound)

A ejhla zazrak .. vstetko fugnuje spravne .. unbound tieto nezmyselne dotazy 
na nadradeny posle len raz.

Nuz .. a otazka do plena na ludi znalych bind9tky ... Neda sa to v binde 
nastavit ? aby som nemusel vsetko preinstalovat a mozno narazim na iny 
problem zas v unbounde.
Je to bug/ficurina/ine pochopenie RFC ... ci ochrana proti nejakemu stavu ze 
nahodou nepojde linka a on si ulozi v cache tuto negativnu info aj o zijusom 
servri .. ? Alebo teda riskujem nieco ak pouzijem unbound ktory to teda robi 
inak (pre mna lepsie) ?

bbo

Další informace o konferenci Linux