Разделяем DNS-запросы

[max9]

а я правильно понял, что dnslist безусловно разрешает рекурсию и надо быть аккуратнее с setLocal("0.0.0.0:53") не повесив это все в интернет?

[JBFW]

Разумеется это не должно висеть в интернет.

[aborouhin]

После нескольких случаев внезапных "поломок" DNS я теперь к корневым серверам хожу со своего DNS-сервера, без всяких гугловских или, упаси Боже, провайдерских серверов. А маршрутизацию запросов unbound из коробки умеет (да и простейший dnsmasq тоже, ЕМНИП). Немного сложнее становится когда серверов заводишь два (а это нынче полезно, иметь по своему DNS по обе стороны железного занавеса границы), тут у unbound встроенных механизмов синхронизации не хватает, приходится добавлять костыли.

[martin74ua]

А потом у вас заканчиваются деньги на счету, и вы даже не можете увидеть страничку провайдера с уведомлением об этом... Потому что провайдер пускает вас только на свои сервера, а всякие гугл сервера и ваши - просто недоступны...
Как же утомили вот такие настройщики )

[JBFW]

У вас единственный канал выхода в интернет? Это зря )

[martin74ua]

у меня? нет. У большинства клиентов - да. В домашнем инете все таки несколько провайдеров не такая уж и распространненая практика....

[JBFW]

Если человек может настроить себе собственный днс-сервер - он может настроить на нем и адрес сайта провайдера. Или прописать hosts

[Devastator82]

Стоит ли считать, что у современных людей имеющих дома 1-го провайдера при этом нет доступа к мобильному интернету?

[savagebk]

Уже да

[aborouhin]

Какой из моих провайдеров, простите? Я в интернет выхожу из кучи разных точек, во всех более или менее важных есть резерв (оптика + мобильный модем в роутере как минимум), ну и, в конце концов, мобильный интернет на телефоне никто не отменял. Баланс счёта у всех провайдеров мониторит Prometheus (писать скрипты для парсинга ЛК в паре случаев было нетривиальной задачкой :), алерты прилетают заблаговременно. И даже в том маловероятном случае, если уж я совсем всё просплю и всё отвалится, мне точно не доставит труда за минуту понять, в чём проблема, и справиться с ней.

Какие-то у Вас надуманные опасения, короче. Для кого это проблема - тот свой DNS-сервер не поднимает.

[the_vitas]

Уже более 15 лет не пользуюсь провайдерскими днс, слежу за балансом счета в лк провайдера, стараюсь во время оплатить. Если вдруг инет не работает имеется резервный канал, либо мобильный, с которого можно проверить баланс счета. ЧЯДНТ???

[inkvizitor68sl]

А у меня вот у одного из провайдеров DNS сломан как-то странно, ответы от корневых серверов возвращаются какие-то не такие, как будто бы от какого-то другого DNS-сервера, в итоге все утилиты и рекурсоры считают такие ответы невалидными...

[BulldozerBSG]

"продвинутые" провайдеры разворачивают shadow proxy для dns трафика и подменяют его

[inkvizitor68sl]

Ну проблема-то в том, что перехватывают запросы к k.root-servers.net (условному), а отвечают при этом рекурсивно.
Локальный анбаунд в ответ на такое справедливо говорит "чо?" и дропает ответ.

[Lx6g1ZG1]

Предпочитаю для такой задачи использовать локальный системный резолвер. И cейчас актуально применять DoH/DoT для защиты

[JBFW]

проблема в том что глушат, похоже, запросы. Говорю же, локально - не работает как должен.

Раньше - да..

[Lx6g1ZG1]

Не совсем ясно, что вы имеете в виду? Возможно, вы не используете шифрование - тогда да, могут блокировать

[JBFW]

Возможно. Просто пакеты не проходят.

[Lx6g1ZG1]

У меня все нормально: на локалхосте в линуксе использую резолвер для этих целей
(doh/dot и маршрутизация dns)

[BulldozerBSG]

А зачем было ставить dnsdist? Разве нельзя было это разрулить самим bind?

[JBFW]

А он умеет в зависимости от шаблона dns-имени форвардить запросы по разным подсетям? Если умеет - то да, можно.
Я сходу не нашел.

В любом случае, одна и та же задача как правило может решаться разными способами, вот таким, например.