Jump to content

НСДИ и pdns-recursor

aneye

By aneye
in У нага

 Share

Recommended Posts

aneye

aneye

Posted
Posted

Привет.

Операторам начали рассылать инструкции по подключению к "национальной системе доменных имен (НСДИ)". В инструкции указано несколько способов, как вы, как оператор, можете произвести подключение. Там ничего особенного: предлагается либо скопировать рутовую зону себе на сервер, если у вас bind, либо сделать форвардинг на предоставленные в инструкции адреса. Можно выбрать любой из способов. У нас для клиентов используются pdns-recursor-ы, но меня смущают некоторые вещи и вот хотел спросить, возможно, кто подскажет.

 

В pdns-recursor список рутовых серверов "вшит". В документации и в гугле я нигде не смог найти конкретного списка root.hints для pdns. Да собственно, он здесь не так важен. Важно другое: если мы форвардим все запросы на всего пару адресов (причем, они из одного блока, т.е. вариант случайного блэкхола по какой-то причине у апстрима вполне возможен), то что будет, если данные адреса по какой-то причине станут недоступны? Если кто работает с pdns, подскажите, как он ведет себя в случае, если мы жестко указываем адреса форвардинга, но они не отвечают? Есть ли у него какой-то fallback-механизм возвращения к использованию вшитого рутового списка?

  • Replies 107
  • Created
  • Last Reply

Top Posters In This Topic

Popular Days

Top Posters In This Topic

Popular Days

st_re

st_re

Posted
Posted
34 минуты назад, SOFTOLAB сказал:

Надеюсь это только для умирающих зон .ru, .su и рф?

нет это для нового Чебурнета.. весь Интернет мы разрушим, до основания, а затем, мы новый наш Чебурнет построим, и кто не спрятался, тот сам виноват.

 

Они, кстати, еще не в курсе, что в named.root не просто так сильно больше 1 ip.. anycast здорово, но не всегда достаточно..

aneye

aneye

Posted
  • Author
Posted

Я не уверен, что те адреса, которые в инструкции - anycast. Возможно, они разные для разных макро-регионов. Но в любом случае - их всего два (точнее сказать, их четыре, еще два ipv6, но 99% что это те же самые устройства). Поэтому, вопрос остаеться в силе - как поведет себя pdns (да и bind в общем то), если трафик до них внезапно пойдет в девнуль.

Умник

Умник

Posted
Posted
6 минут назад, aneye сказал:

Я не уверен, что те адреса, которые в инструкции - anycast. Возможно, они разные для разных макро-регионов. Но в любом случае - их всего два (точнее сказать, их четыре, еще два ipv6, но 99% что это те же самые устройства). Поэтому, вопрос остаеться в силе - как поведет себя pdns (да и bind в общем то), если трафик до них внезапно пойдет в девнуль.

 

Так или иначе - anycast. https://forum.nag.ru/index.php?/topic/153026-prikaz-221-svedeniya-v-roskomnadzor-prinyato/&do=findComment&comment=1630629

sol

sol

Posted
Posted

Что делать, что делать... Выполнять будем... Какие ещё варианты? Поднять DNS на роутере с опенврт и сдать его в РКН а у себя оставить "как было" что ли?

 

sdy_moscow

sdy_moscow

Posted
Posted

Запомните старый анекдот.

 

Брежнев созывает совещание:

- Товарищи, США высадили человека на Луну, я решил, мы должны высадить человека на Солнце!

- Но это невозможно, он-же сгорит!

- Не переживайте, я всё продумал! Мы полетим туда ночью!

 

Ну и авторское продолжение.

 

- Ну, раз партия сказала "надо на Солнце", то долетим Леонид Ильич! Не переживайте!

Через неделю приносят Брежневу фотографию: плохо видимый на темном фоне человек в скафандре стоит в каком-то облаке серой пыли, с флагом СССР.

- Вот Леонид Ильич, слетали, вернулись. Вот в доказательство - фотография.

- А почему такая темная?

- Так ночь же!

- А почему всё в пыли?

- Так зола-же, солнце то - вон как горит!

- А если, американцы проверить захотят, что наш флаг стоит?

- Ну ночью Солнца не видно, а днем так слепит, что ничего не разглядишь! Так что, или пусть верят на слово, или пусть сами долетят! Ведь Советские люди - никогда не обманывают!

aneye

aneye

Posted
  • Author
Posted

Ну, вариантов "обхода" этого достаточно. Начиная от поднятия "левых" рекурсоров, заканчивая выдачей клиентам публичных забугорных dns-ов. Форвардить все запросы к "нашим" меня не смущает, меня интересует потенциальная живость этих адресов. 

sdy_moscow

sdy_moscow

Posted
Posted
Только что, aneye сказал:

Ну, вариантов "обхода" этого достаточно. Начиная от поднятия "левых" рекурсоров, заканчивая выдачей клиентам публичных забугорных dns-ов. Форвардить все запросы к "нашим" меня не смущает, меня интересует потенциальная живость этих адресов. 

Она всех интересует...

alibek

alibek

Posted
Posted

Самый простой вариант — указать в памятке абонента новые адреса православных DNS с просьбой использовать их.

В конце концов у оператора может вообще не быть своих DNS-серверов.

aneye

aneye

Posted
  • Author
Posted

Всё, что требует от абонента дополнительных действий уже не может относиться к "самым простым вариантам".

 

Про единую точку отказа полностью согласен. Хотя, есть впечатление, что это и есть основная мысль.

alibek

alibek

Posted
Posted
1 час назад, aneye сказал:

Всё, что требует от абонента дополнительных действий

Причем тут "требует"?

Это уже дело абонента, какие DNS использовать.

edo

edo

Posted
Posted
12 часов назад, aneye сказал:

Если кто работает с pdns, подскажите, как он ведет себя в случае, если мы жестко указываем адреса форвардинга, но они не отвечают? Есть ли у него какой-то fallback-механизм возвращения к использованию вшитого рутового списка?

КМК проверить это дело нескольких минут

lugoblin

lugoblin

Posted
Posted
18 hours ago, aneye said:

В pdns-recursor список рутовых серверов "вшит". В документации и в гугле я нигде не смог найти конкретного списка root.hints для pdns. 

Дефолтный /usr/share/dns/root.hints

Менять в конфиге https://docs.powerdns.com/recursor/settings.html#hint-file

 

18 hours ago, aneye said:

если мы форвардим все запросы на всего пару адресов [...] то что будет, если данные адреса по какой-то причине станут недоступны?

(из общих соображений, в PowerDNS не эксперт)
То-же самое, как если бы аплинк отвалился. Что закэшированно и ещё не испортилось, будет резольвиться. Остальное будет NXDOMAIN.

 

18 hours ago, aneye said:

Есть ли у него какой-то fallback-механизм возвращения к использованию вшитого рутового списка?

В принципе, наверное можно просто добавить чебурашкины адреса корневых DNS к дефолтному root.hints. Если вражеские DNS отключат, то я бы ожидал что оно будет перебирать hints пока не найдёт живой сервер.

 

Стратегия сильно зависит от того, чего мы хотим достичь, какие конкретные требования у регулятора или у бизнеса.

Не резольвить ни через кого, кроме Чебурнета, а если он отвалится то не резольвить вообще?

Резольвить строго приоритетно через Чебурнет, а если он отвалится то так и быть через зарубеж?

Резольвить как угодно, но если буржуи отключат DNS, то обязательно обращаться к Чебурнету?

 

Разумеется, имеет смысл погонять разные сценарии на макете. Ещё было бы интересно завести робота, чтобы отслеживал, отличаются ли по существу ответы от Чебурнета и от остальных. Да и вообще, на аптайм поглядывать, результаты с коллегами сверять. Просто чтобы если что случится, узнать об этом не из нудного траблшутинга с клиентом, а от доверенного источника.

straus

straus

Posted
Posted
15 минут назад, lugoblin сказал:

Не резольвить ни через кого, кроме Чебурнета, а если он отвалится то не резольвить вообще?

Пока не указано, но планируется так. Более того, 53 порт всегда заворачивать на чебурнет, не пуская больше ни на какие чужие днсы. Но это озвучат позже, где-то в июне-июле.
 

snvoronkov

snvoronkov

Posted
Posted
19 минут назад, straus сказал:

Но это озвучат позже, где-то в июне-июле

Не прав. УЖЕ озвучивали.

Только это бесполезно, ибо DoH.

taf_321

taf_321

Posted
Posted
32 минуты назад, snvoronkov сказал:

Только это бесполезно, ибо DoH.

Прямо как дети. Появится в известном списке еще несколько строчек в разделе "банить по IP" и всех делов. Это, чай не за телегой гоняться.

snvoronkov

snvoronkov

Posted
Posted
3 минуты назад, taf_321 сказал:

Прямо как дети. Появится в известном списке еще несколько строчек в разделе "банить по IP" и всех делов. Это, чай не за телегой гоняться.

Рекомендую ознакомиться ЧТО придется банить. Результат будет примерно как в первые дни "охоты на Телегу". Даже, наверное, сильно хуже будет.

taf_321

taf_321

Posted
Posted
16 минут назад, snvoronkov сказал:

Рекомендую ознакомиться ЧТО придется банить. Результат будет примерно как в первые дни "охоты на Телегу". Даже, наверное, сильно хуже будет.

И что же там должно такого важного отсохнуть? DoH придумывался совсем не для "безопасности" и надежности, а для монетизации еще одного потока пользовательских данных.

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

×
 Share
Go to topic listing
×
×
  • Create New...
На сайте используются файлы cookie и сервисы аналитики для корректной работы форума и улучшения качества обслуживания. Продолжая использовать сайт, вы соглашаетесь с использованием файлов cookie и с Политикой конфиденциальности.