Discussione:
dns fowarder
(troppo vecchio per rispondere)
Marco Bianchi
2005-01-21 09:23:02 UTC
Permalink
Per far funzionare bene un dns oltre ad avere il maggior numero di root hint,
quanti fowarder è consigliabile utilizzare? Con telecom quali dns mi potete
consigliatre?
Grazie!
Rossano Orlandini
2005-01-21 09:29:45 UTC
Permalink
On Fri, 21 Jan 2005 01:23:02 -0800, "Marco Bianchi"
Post by Marco Bianchi
Per far funzionare bene un dns oltre ad avere il maggior numero di root hint,
O root hints o forwarders.
C'è chi preferisce lasciare i root hints, c'è chi preferisce impostare
i forwarders con 3-4 indirizzi DNS di diversi ISP (io personalmente
preferisco quest'ultima opzione). Diverse scuole di pensiero... con i
root-hints il DNS locale è sempre sotto sforzo in query ricorsive
(prima la query al root server, poi la query al DNS autoritativo per
il TLD ecc...). Lo svantaggio dei forwarders è però il fatto che ci si
basa unicamente sui DNS degli ISP che ogni tanto cadono, questo è
innegabile, ma se ne metti almeno 3 devi essere particolarmente
sfortunato...
Post by Marco Bianchi
quanti fowarder è consigliabile utilizzare? Con telecom quali dns mi potete
consigliatre?
http://spazioinwind.libero.it/zaccasoft/3hm220dp4all/dns.htm
--
Rossano Orlandini
ObiWan
2005-01-21 10:00:35 UTC
Permalink
Lo svantaggio dei forwarders è però il fatto che ci si basa unicamente
sui DNS degli ISP che ogni tanto cadono, questo è innegabile, ma se ne
metti almeno 3 devi essere particolarmente sfortunato...
Beh, il problema non è solo che i DNS ogni tanto cadano... è anche
(anzi soprattutto) che tali DNS molto spesso sono configurati "con i
piedi" ed oltre a non aggiornarsi correttamente sono anche piuttosto
lenti, mentre usando la risoluzione ricorsiva direttamente in locale la
velocità è molto più alta - considera che dopo la prima query per es.
un ".com" il DNS locale terrà in cache gli indirizzi dei gTLD per cui
nel momento in cui venisse ricevuta un'altra query per ".com" il DNS
non andrebbe di nuovo a richiedere info ai "root" ma punterebbe
direttamente ai gTLD, stessa cosa (ovviamente) anche per gli altri
TLD e per i vari domini

Ciao
--
* ObiWan

Microsoft MVP: Windows Server - Networking
http://www.microsoft.com/communities/MVP/MVP.mspx
http://mvp.support.microsoft.com

DNS "fail-safe" for Windows clients.
http://ntcanuck.com

408+ XP/2000 tweaks and tips
http://ntcanuck.com/tq/Tip_Quarry.htm
Christian Paparelli
2005-01-21 09:37:05 UTC
Permalink
Post by Marco Bianchi
Per far funzionare bene un dns oltre ad avere il maggior numero di root hint,
quanti fowarder è consigliabile utilizzare?
la buona regola dice che il dns non deve mai uscire ma deve delegare il
compito ai forwarder
Post by Marco Bianchi
Con telecom quali dns mi potete consigliatre?
non saprei comunque se ne metti 2 dns di 2 diversi carrier puoi dormire
sonni tranquilli
Post by Marco Bianchi
Grazie!
prego
--
Christian Paparelli
http://www.ithost.ch
ObiWan
2005-01-21 10:01:27 UTC
Permalink
Post by Christian Paparelli
Post by Marco Bianchi
quanti fowarder è consigliabile utilizzare?
la buona regola dice che il dns non deve mai
uscire ma deve delegare il compito ai forwarder
Solo se i forwarders sono anche loro sotto il TUO
controllo diretto, altrimenti non vedo vantaggi

Ciao
--
* ObiWan

Microsoft MVP: Windows Server - Networking
http://www.microsoft.com/communities/MVP/MVP.mspx
http://mvp.support.microsoft.com

DNS "fail-safe" for Windows clients.
http://ntcanuck.com

408+ XP/2000 tweaks and tips
http://ntcanuck.com/tq/Tip_Quarry.htm
Christian Paparelli
2005-01-21 12:10:25 UTC
Permalink
Post by ObiWan
Solo se i forwarders sono anche loro sotto il TUO
controllo diretto, altrimenti non vedo vantaggi
si sorry non era chiaro, di solito o meglio preferisco che il dns utilizzato
da AD non esca mai in internet, ma che utilizzi come forwarders un dns
scollegato dal dominio il quale verrà utilizzato unicamente per la
risoluzione dei nomi di dominio
--
Christian Paparelli
http://www.ithost.ch
ObiWan
2005-01-21 14:03:15 UTC
Permalink
Post by Christian Paparelli
Post by ObiWan
Solo se i forwarders sono anche loro sotto il TUO
controllo diretto, altrimenti non vedo vantaggi
si sorry non era chiaro, di solito o meglio preferisco che il dns
utilizzato da AD non esca mai in internet, ma che utilizzi come
forwarders un dns scollegato dal dominio il quale verrà utilizzato
unicamente per la risoluzione dei nomi di dominio
Su questo concordo al 100000000% :-) nel caso di un DNS
che gestisca AD, la soluzione migliore è quella di installare
un altro server DNS "non AD" e possibilmente in DMZ e poi
di impostare il "DNS AD" in modo da usare come forwarder
tale secondo DNS (in DMZ) giusto per completezza, di solito
configuro quest'ultimo impostando "." e "in-addr.arpa" come
zone secondarie ... tanto per tenere le cose "precisine" :-)
--
* ObiWan

Microsoft MVP: Windows Server - Networking
http://www.microsoft.com/communities/MVP/MVP.mspx
http://mvp.support.microsoft.com

DNS "fail-safe" for Windows clients.
http://ntcanuck.com

408+ XP/2000 tweaks and tips
http://ntcanuck.com/tq/Tip_Quarry.htm
Christian Paparelli
2005-01-21 14:25:58 UTC
Permalink
Post by ObiWan
Su questo concordo al 100000000% :-)
finalmente :-P
Post by ObiWan
nel caso di un DNS
che gestisca AD, la soluzione migliore è quella di installare
un altro server DNS "non AD" e possibilmente in DMZ e poi
di impostare il "DNS AD" in modo da usare come forwarder
tale secondo DNS (in DMZ) giusto per completezza, di solito
configuro quest'ultimo impostando "." e "in-addr.arpa" come
zone secondarie ... tanto per tenere le cose "precisine" :-)
non sono stato così precisino ma il concetto era quello
--
ITHost (your host company)
Technical Manager
C. Paparelli (MCSE,MCSD,MCDBA)
http://www.ithost.ch
ObiWan
2005-01-21 09:56:52 UTC
Permalink
Post by Marco Bianchi
Per far funzionare bene un dns oltre ad avere
il maggior numero di root hint, quanti fowarder
è consigliabile utilizzare?
Hem, anche se è possibile configurare entrambi
(forwarders + root-hints) sinceramente non te lo
consiglio; con una tale configurazione il DNS
tenterà di contattare i vari forwarders elencati
per la risoluzione delle queries, nel caso questo
fallisse (es. perchè nessun forwarder risponde)
il DNS tenterà di risolvere la query da solo usando
i root-hints e la ricorsione; personalmente, come
ho già scritto sopra preferisco utilizzare l'uno o
l'altro metodo; per quanto riguarda il numero di
"root-hints" beh, basta che ci siano tutti e che siano
aggiornati, nel caso non fossi sicuro, puoi trovare
l'elenco aggiornato dei root servers qui

ftp://rs.internic.net/domain/named.root

a questo punto, una volta aggiornati i root-hints
potrai anche rimuovere i forwarders e lasciare
che il DNS faccia tutto da solo, considera che
avendo una connessione ADSL o cmq veloce
questo NON penalizza la velocità dato che le
informazioni relative alle queries vengono poi
mantenute dal DNS nella cache accelerando
successive queries; considera inoltre che esiste
un terzo metodo di configurazione del DNS, ossia
creare come zone secondarie standard sia la "."
(root) sia la "in-addr.arpa" in pratica si tratta di:

* eliminare i root-hints

* creare una nuova zona "forward", nome "." tipo
secondaria standard, DNS primari 192.228.79.201
e 192.33.4.12

* forzare il transfer della zona dai primari, nel caso il
transfer fallisse sarà necessario controllare la config
del proprio firewall

* creare una nuova zona "reverse", nome "in-addr.arpa"
tipo secondaria standard, DNS primari 192.228.79.201
e 192.33.4.12

* di nuovo, forzare il transfer della zona dai primari

a questo punto il DNS locale avrà una copia aggiornata
di entrambe le root zones (diretta ed inversa) cosa che
permette di accelerare il lookup
Post by Marco Bianchi
Con telecom quali dns mi potete consigliatre?
beh, se proprio vuoi utilizzare dei forwarders
direi di lasciar perdere quelli di telecom e di
utilizzare quelli che trovi qui

http://european.orsn.net/tech-pubdns.php

per maggiori dettagli sul network ORSN vedi
anche http://european.orsn.net/network.php

Ciao
--
* ObiWan

Microsoft MVP: Windows Server - Networking
http://www.microsoft.com/communities/MVP/MVP.mspx
http://mvp.support.microsoft.com

DNS "fail-safe" for Windows clients.
http://ntcanuck.com

408+ XP/2000 tweaks and tips
http://ntcanuck.com/tq/Tip_Quarry.htm
Marco Bianchi
2005-01-21 12:23:03 UTC
Permalink
IO usavo i root hints e basta ma spesso qualche query falliva (ovviamente
con tutti i root hints) allora o messo dei dns fowarder ma con 2 ogni tanto
andavono giu' ora ne ho 4 , avete per telecom un dns server consigliabile?
che generalmente funziona bene?
Post by ObiWan
Post by Marco Bianchi
Per far funzionare bene un dns oltre ad avere
il maggior numero di root hint, quanti fowarder
è consigliabile utilizzare?
Hem, anche se è possibile configurare entrambi
(forwarders + root-hints) sinceramente non te lo
consiglio; con una tale configurazione il DNS
tenterà di contattare i vari forwarders elencati
per la risoluzione delle queries, nel caso questo
fallisse (es. perchè nessun forwarder risponde)
il DNS tenterà di risolvere la query da solo usando
i root-hints e la ricorsione; personalmente, come
ho già scritto sopra preferisco utilizzare l'uno o
l'altro metodo; per quanto riguarda il numero di
"root-hints" beh, basta che ci siano tutti e che siano
aggiornati, nel caso non fossi sicuro, puoi trovare
l'elenco aggiornato dei root servers qui
ftp://rs.internic.net/domain/named.root
a questo punto, una volta aggiornati i root-hints
potrai anche rimuovere i forwarders e lasciare
che il DNS faccia tutto da solo, considera che
avendo una connessione ADSL o cmq veloce
questo NON penalizza la velocità dato che le
informazioni relative alle queries vengono poi
mantenute dal DNS nella cache accelerando
successive queries; considera inoltre che esiste
un terzo metodo di configurazione del DNS, ossia
creare come zone secondarie standard sia la "."
* eliminare i root-hints
* creare una nuova zona "forward", nome "." tipo
secondaria standard, DNS primari 192.228.79.201
e 192.33.4.12
* forzare il transfer della zona dai primari, nel caso il
transfer fallisse sarà necessario controllare la config
del proprio firewall
* creare una nuova zona "reverse", nome "in-addr.arpa"
tipo secondaria standard, DNS primari 192.228.79.201
e 192.33.4.12
* di nuovo, forzare il transfer della zona dai primari
a questo punto il DNS locale avrà una copia aggiornata
di entrambe le root zones (diretta ed inversa) cosa che
permette di accelerare il lookup
Post by Marco Bianchi
Con telecom quali dns mi potete consigliatre?
beh, se proprio vuoi utilizzare dei forwarders
direi di lasciar perdere quelli di telecom e di
utilizzare quelli che trovi qui
http://european.orsn.net/tech-pubdns.php
per maggiori dettagli sul network ORSN vedi
anche http://european.orsn.net/network.php
Ciao
--
* ObiWan
Microsoft MVP: Windows Server - Networking
http://www.microsoft.com/communities/MVP/MVP.mspx
http://mvp.support.microsoft.com
DNS "fail-safe" for Windows clients.
http://ntcanuck.com
408+ XP/2000 tweaks and tips
http://ntcanuck.com/tq/Tip_Quarry.htm
Marco Bianchi
2005-01-21 12:23:06 UTC
Permalink
nel caso che i dnbs fowarder falliscano la query non vengono interrogati i
root hint?
Post by ObiWan
Post by Marco Bianchi
Per far funzionare bene un dns oltre ad avere
il maggior numero di root hint, quanti fowarder
è consigliabile utilizzare?
Hem, anche se è possibile configurare entrambi
(forwarders + root-hints) sinceramente non te lo
consiglio; con una tale configurazione il DNS
tenterà di contattare i vari forwarders elencati
per la risoluzione delle queries, nel caso questo
fallisse (es. perchè nessun forwarder risponde)
il DNS tenterà di risolvere la query da solo usando
i root-hints e la ricorsione; personalmente, come
ho già scritto sopra preferisco utilizzare l'uno o
l'altro metodo; per quanto riguarda il numero di
"root-hints" beh, basta che ci siano tutti e che siano
aggiornati, nel caso non fossi sicuro, puoi trovare
l'elenco aggiornato dei root servers qui
ftp://rs.internic.net/domain/named.root
a questo punto, una volta aggiornati i root-hints
potrai anche rimuovere i forwarders e lasciare
che il DNS faccia tutto da solo, considera che
avendo una connessione ADSL o cmq veloce
questo NON penalizza la velocità dato che le
informazioni relative alle queries vengono poi
mantenute dal DNS nella cache accelerando
successive queries; considera inoltre che esiste
un terzo metodo di configurazione del DNS, ossia
creare come zone secondarie standard sia la "."
* eliminare i root-hints
* creare una nuova zona "forward", nome "." tipo
secondaria standard, DNS primari 192.228.79.201
e 192.33.4.12
* forzare il transfer della zona dai primari, nel caso il
transfer fallisse sarà necessario controllare la config
del proprio firewall
* creare una nuova zona "reverse", nome "in-addr.arpa"
tipo secondaria standard, DNS primari 192.228.79.201
e 192.33.4.12
* di nuovo, forzare il transfer della zona dai primari
a questo punto il DNS locale avrà una copia aggiornata
di entrambe le root zones (diretta ed inversa) cosa che
permette di accelerare il lookup
Post by Marco Bianchi
Con telecom quali dns mi potete consigliatre?
beh, se proprio vuoi utilizzare dei forwarders
direi di lasciar perdere quelli di telecom e di
utilizzare quelli che trovi qui
http://european.orsn.net/tech-pubdns.php
per maggiori dettagli sul network ORSN vedi
anche http://european.orsn.net/network.php
Ciao
--
* ObiWan
Microsoft MVP: Windows Server - Networking
http://www.microsoft.com/communities/MVP/MVP.mspx
http://mvp.support.microsoft.com
DNS "fail-safe" for Windows clients.
http://ntcanuck.com
408+ XP/2000 tweaks and tips
http://ntcanuck.com/tq/Tip_Quarry.htm
Marco Bianchi
2005-01-21 12:39:01 UTC
Permalink
E' possibile che con il comando tracert o nslookup una query vada in timout
ma attraverso browser o smtp la risoluziona avvenga ugualmente?(chiedo questo
perchè mi succede spesso forse perche' di default tracert o nslookup hanno
tempi di timeout ristretti?)
Post by ObiWan
Post by Marco Bianchi
Per far funzionare bene un dns oltre ad avere
il maggior numero di root hint, quanti fowarder
è consigliabile utilizzare?
Hem, anche se è possibile configurare entrambi
(forwarders + root-hints) sinceramente non te lo
consiglio; con una tale configurazione il DNS
tenterà di contattare i vari forwarders elencati
per la risoluzione delle queries, nel caso questo
fallisse (es. perchè nessun forwarder risponde)
il DNS tenterà di risolvere la query da solo usando
i root-hints e la ricorsione; personalmente, come
ho già scritto sopra preferisco utilizzare l'uno o
l'altro metodo; per quanto riguarda il numero di
"root-hints" beh, basta che ci siano tutti e che siano
aggiornati, nel caso non fossi sicuro, puoi trovare
l'elenco aggiornato dei root servers qui
ftp://rs.internic.net/domain/named.root
a questo punto, una volta aggiornati i root-hints
potrai anche rimuovere i forwarders e lasciare
che il DNS faccia tutto da solo, considera che
avendo una connessione ADSL o cmq veloce
questo NON penalizza la velocità dato che le
informazioni relative alle queries vengono poi
mantenute dal DNS nella cache accelerando
successive queries; considera inoltre che esiste
un terzo metodo di configurazione del DNS, ossia
creare come zone secondarie standard sia la "."
* eliminare i root-hints
* creare una nuova zona "forward", nome "." tipo
secondaria standard, DNS primari 192.228.79.201
e 192.33.4.12
* forzare il transfer della zona dai primari, nel caso il
transfer fallisse sarà necessario controllare la config
del proprio firewall
* creare una nuova zona "reverse", nome "in-addr.arpa"
tipo secondaria standard, DNS primari 192.228.79.201
e 192.33.4.12
* di nuovo, forzare il transfer della zona dai primari
a questo punto il DNS locale avrà una copia aggiornata
di entrambe le root zones (diretta ed inversa) cosa che
permette di accelerare il lookup
Post by Marco Bianchi
Con telecom quali dns mi potete consigliatre?
beh, se proprio vuoi utilizzare dei forwarders
direi di lasciar perdere quelli di telecom e di
utilizzare quelli che trovi qui
http://european.orsn.net/tech-pubdns.php
per maggiori dettagli sul network ORSN vedi
anche http://european.orsn.net/network.php
Ciao
--
* ObiWan
Microsoft MVP: Windows Server - Networking
http://www.microsoft.com/communities/MVP/MVP.mspx
http://mvp.support.microsoft.com
DNS "fail-safe" for Windows clients.
http://ntcanuck.com
408+ XP/2000 tweaks and tips
http://ntcanuck.com/tq/Tip_Quarry.htm
Marco Bianchi
2005-01-21 13:03:04 UTC
Permalink
Scusate annullate le mail precedenti non avevo letto bene i post c'e una sola
cosa che non mi e' chiara se metto il flag su (do not use recursion for this
domain) uso solo i fowarder senza usare i root hint, ma perchè non è
consigliabile usare tutti e 2? inoltre a quanto è consigliabile lasciare il
(number of seconds before foward queries time out)?
Grazie a tutti!
Post by ObiWan
Post by Marco Bianchi
Per far funzionare bene un dns oltre ad avere
il maggior numero di root hint, quanti fowarder
è consigliabile utilizzare?
Hem, anche se è possibile configurare entrambi
(forwarders + root-hints) sinceramente non te lo
consiglio; con una tale configurazione il DNS
tenterà di contattare i vari forwarders elencati
per la risoluzione delle queries, nel caso questo
fallisse (es. perchè nessun forwarder risponde)
il DNS tenterà di risolvere la query da solo usando
i root-hints e la ricorsione; personalmente, come
ho già scritto sopra preferisco utilizzare l'uno o
l'altro metodo; per quanto riguarda il numero di
"root-hints" beh, basta che ci siano tutti e che siano
aggiornati, nel caso non fossi sicuro, puoi trovare
l'elenco aggiornato dei root servers qui
ftp://rs.internic.net/domain/named.root
a questo punto, una volta aggiornati i root-hints
potrai anche rimuovere i forwarders e lasciare
che il DNS faccia tutto da solo, considera che
avendo una connessione ADSL o cmq veloce
questo NON penalizza la velocità dato che le
informazioni relative alle queries vengono poi
mantenute dal DNS nella cache accelerando
successive queries; considera inoltre che esiste
un terzo metodo di configurazione del DNS, ossia
creare come zone secondarie standard sia la "."
* eliminare i root-hints
* creare una nuova zona "forward", nome "." tipo
secondaria standard, DNS primari 192.228.79.201
e 192.33.4.12
* forzare il transfer della zona dai primari, nel caso il
transfer fallisse sarà necessario controllare la config
del proprio firewall
* creare una nuova zona "reverse", nome "in-addr.arpa"
tipo secondaria standard, DNS primari 192.228.79.201
e 192.33.4.12
* di nuovo, forzare il transfer della zona dai primari
a questo punto il DNS locale avrà una copia aggiornata
di entrambe le root zones (diretta ed inversa) cosa che
permette di accelerare il lookup
Post by Marco Bianchi
Con telecom quali dns mi potete consigliatre?
beh, se proprio vuoi utilizzare dei forwarders
direi di lasciar perdere quelli di telecom e di
utilizzare quelli che trovi qui
http://european.orsn.net/tech-pubdns.php
per maggiori dettagli sul network ORSN vedi
anche http://european.orsn.net/network.php
Ciao
--
* ObiWan
Microsoft MVP: Windows Server - Networking
http://www.microsoft.com/communities/MVP/MVP.mspx
http://mvp.support.microsoft.com
DNS "fail-safe" for Windows clients.
http://ntcanuck.com
408+ XP/2000 tweaks and tips
http://ntcanuck.com/tq/Tip_Quarry.htm
ObiWan
2005-01-21 14:08:32 UTC
Permalink
Post by Marco Bianchi
Scusate annullate le mail precedenti non avevo letto bene i post c'e una
sola cosa che non mi e' chiara se metto il flag su (do not use recursion
for this domain) uso solo i fowarder senza usare i root hint, ma perchè
Hem delle due l'una, o usi i forwarders e disabiliti la ricorsione oppure
lasci la ricorsione abilitata e NON usi i forwarders ma solo i root-hints
o le zone slave-root (vedi terza soluzione)
Post by Marco Bianchi
non è consigliabile usare tutti e 2?
nella maggioranza dei casi avrai dei rallentamenti nella risoluzione
dei nomi; detto questo; ASSICURATI che il tuo firewall consenta il
traffico DNS sia su UDP (default) che su TCP, e nel caso modifica
la configurazione, altrimenti potresti avere problemi & rallentamenti
Post by Marco Bianchi
inoltre a quanto è consigliabile lasciare il
(number of seconds before foward queries
time out)?
dipende dalla linea che hai e dai forwarders che usi, tieni presente
che più alto è quel tempo, più il DNS attenderà una risposta dai
forwarders prima di usare i root-hints, di contro impostandolo ad un
valore troppo basso rischieresti di "scartare" i forwarders ed usare
quasi sempre i root-hints... anche se poi riceverai risposte "in ritardo"
dai forwarders visto che cmq tali queries verranno inoltrate; ripeto, se
possibile, evita l'uso dei forwarders e configura per bene il DNS con
i root hints

Ciao
Marco Bianchi
2005-01-21 16:49:04 UTC
Permalink
Ti ringrazio moltissimo, ho provato a usare solo i root hint ben configurati
con tutti i root hint corretti con le porte udp e tcp (53) aperte ma alcune
query me le fallisce comunque, con i fowarder, (tipo orsn ecc) funziona
correttamente quindi preferisco usare i fowarder. Grazie di tutto!
Post by ObiWan
Post by Marco Bianchi
Scusate annullate le mail precedenti non avevo letto bene i post c'e una
sola cosa che non mi e' chiara se metto il flag su (do not use recursion
for this domain) uso solo i fowarder senza usare i root hint, ma perchè
Hem delle due l'una, o usi i forwarders e disabiliti la ricorsione oppure
lasci la ricorsione abilitata e NON usi i forwarders ma solo i root-hints
o le zone slave-root (vedi terza soluzione)
Post by Marco Bianchi
non è consigliabile usare tutti e 2?
nella maggioranza dei casi avrai dei rallentamenti nella risoluzione
dei nomi; detto questo; ASSICURATI che il tuo firewall consenta il
traffico DNS sia su UDP (default) che su TCP, e nel caso modifica
la configurazione, altrimenti potresti avere problemi & rallentamenti
Post by Marco Bianchi
inoltre a quanto è consigliabile lasciare il
(number of seconds before foward queries
time out)?
dipende dalla linea che hai e dai forwarders che usi, tieni presente
che più alto è quel tempo, più il DNS attenderà una risposta dai
forwarders prima di usare i root-hints, di contro impostandolo ad un
valore troppo basso rischieresti di "scartare" i forwarders ed usare
quasi sempre i root-hints... anche se poi riceverai risposte "in ritardo"
dai forwarders visto che cmq tali queries verranno inoltrate; ripeto, se
possibile, evita l'uso dei forwarders e configura per bene il DNS con
i root hints
Ciao
ObiWan
2005-01-24 17:31:41 UTC
Permalink
Post by Marco Bianchi
Ti ringrazio moltissimo, ho provato a usare solo i root hint ben
configurati con tutti i root hint corretti con le porte udp e tcp (53)
aperte
ATTENZIONE... il discorso "aprire le porte sul firewall" NON
significa permettere queries esterne al DNS locale, ma solo
permettere al DNS di inviare queries (TCP ed UDP) VERSO
la porta 53 di servers esterni; tieni presente che normalmente
tali queries vengono generate impostando una "source port"
dinamica (superiore a 1024) e con una "destination port" che
corrisponde a 53; se poi vuoi mantenere le regole del firewall
al minimo potresti forzare il DNS ad usare una porta "fissa"
per l'invio delle queries, per fare questo dovrai editare il
registry creando il valore DWORD seguente

HKEY_LOCAL_MACHINE
\SYSTEM
\CurrentControlSet
\Services
\DNS
\Parameters
\SendPort

impostando poi SendPort al valore desiderato (es. 53 decimale)
a questo punto basterà impostare le regole del firewall in modo
da permettere il traffico dalla 53 verso la 53 (TCP ed UDP)
Post by Marco Bianchi
ma alcune query me le fallisce comunque, con i fowarder, (tipo orsn
ecc) funziona correttamente quindi preferisco usare i fowarder.
hmm... personalmente cercherei di capire _perchè_ il DNS senza
forwarders non funziona, anche perchè probabilmente si tratta di
una errata configurazione; potresti ad esempio abilitare il debug
logging nel DNS e controllare sia i logs del DNS sia i logs del tuo
firewall per capire dove nasce il problema

Ciao

Continua a leggere su narkive:
Loading...