+ Responder ao Tópico

  1. Citação Postado originalmente por TsouzaR Ver Post
    Unbound é apenas recursivo.
    NSD é o que faz autoritativo de domínios e reversos. Infelizmente ele não possui algo como o $GENERATE.

    Eu não gosto do BIND para fazer servidor apenas recursivo ou apenas autoritativo, parece que mesmo fazendo apenas uma função, ele mantém coisas da outra rodando e usando recursos da máquina.

    Não é correto ter DNS recursivo e autoritativo na mesma máquina! Para o autoritativo funcionar, você tem que liberar a porta 53 para acesso externo. Se o recursivo estiver na mesma máquina, isso vai deixá-lo aberto para toda a Internet também (ele tem que estar acessível apenas para a rede local), vulnerável a seu uso em ataques de amplificação, exploits, etc.

    Ou seja, não gosto de BIND de jeito algum, exceto por alguns features interessantes, mas que são dispensáveis.
    Além disso, NSD e Unbound (em máquinas separadas!) têm melhor desempenho e economizam mais recursos, o que é importante, já que estão querendo rodá-los em EdgeRouters.
    na verdade, você pode sim usar o recursivo e autoritativo na mesma maquina... basta saber configurar.
    ao criar as zonas do reverso, você configura ele para permitir consulta de todos.
    e no restante você configura para permitir consulta apenas das suas faixas de IP

    ex: http://www.vivaolinux.com.br/artigo/...Bind/?pagina=1

  2. Citação Postado originalmente por AndrioPJ Ver Post
    na verdade, você pode sim usar o recursivo e autoritativo na mesma maquina... basta saber configurar.
    ao criar as zonas do reverso, você configura ele para permitir consulta de todos.
    e no restante você configura para permitir consulta apenas das suas faixas de IP
    Ah sim, realmente. Eu estava considerando fazer o filtro das requisições apenas por firewall, me esqueci que há configuração de ACL do próprio servidor DNS recursivo.

    Mas apenas o ACL não resolve completamente o problema. Ainda é possível fazer ataques (DDoS, cache poisoning, etc), se a rede estiver vulnerável a spoofing de src-address. Praticamente ninguém se dá ao trabalho de habilitar o rp-filter no RouterOS para evitar isso, então imagine o tamanho do problema se alguém colocar nos pacotes um src-address de dentro da rede, liberada no ACL...

    Eu acho mais mais seguro contra falhas humanas rodar cada um (autoritativo e recursivo) em máquinas, mesmo que virtuais, separadas.



  3. eu realmente não sei o que quero direito, "falar o nome da função" mas o que eu quero é fazer meus reversos, e ter uma consulta rápida em meus clientes e sem problemas, pois aqui tenho a edge lite, e seto o ip delas em meus clientes como dns, mas as vezes ta dando erros

  4. Ola, o edgerouter lite é possível aumentar memória RAM e de armazenento?

    (Não que eu precise, apenas uma curiosidade)

  5. O armazenamento tem sim, é uma unidade flash USB, agora memória RAM não sei dizer!!






Visite: BR-Linux ·  VivaOLinux ·  Dicas-L