Forum général.général DNS : Etat des lieux des solutions alternatives à Bind

Posté par  . Licence CC By‑SA.
Étiquettes : aucune
3
13
juin
2021

Bonjour.

Depuis quelques années déjà, j'utiise le vénérable bind chez moi qui me sert de proxy sur mon réseau local et gérer un DNS interne. Cette solution est une solution robuste et fiable, qui était incontournable il y a pas si longtemps.

Bind m'a été très utile pendant des années, et d'autres solutions apparaissent par ci-par là. Ces solutions pour certaines sont dédiées à du cache local, d'autres ont l'air plus orienté gestion d'outils de contenairisation ou de virtualisation, d'autres veulent tout faire, d'autres répondent à des besoins de service discovery, etc …. et j'avoue que je commence à m'y perdre un peu dans tout ça.

Bind était utilisées tant pour faire cache local que pour faire serveur dns à grande échelle (et étaient intégrés par exemple dans les OS tels que les xBSD), mais maintenant les OS ne semblent plus intégrer des outils de gestion de DNS complet mais plus des outils permettant de faire du cache dns en local (c'est ma perception, je n'ai peut-être pas bien compris), et les outils de style bind sont plus ou moins relégués dans les paquets optionels (alors que bind était installé par défaut il y a quelques temps sur les xBSD).

Les questions que je me pose: est-ce que ces alternatives couvrent les mêmes besoins ? du coup je me demande si vous ne connaîtriez pas un lien qui résumerait un peu les diverses solutions DNS libres, qui indiquerait par exemple le nom de l'outil, les OS/distributions sur lesquels il est plus ou moins installés par défaut, la dispo dans les gestionnaires de paquets, ainsi que les use cases qu'ils couvrent ou ne couvrent pas (une matrice de choix par exemple).

Si ça n'existe pas, ce serait bien de l'inventer … Par contre personnellement je ne suis pas sûr d'avoir le temps de le faire.

  • # RTFW

    Posté par  . Évalué à 3 (+2/-0). Dernière modification le 13/06/21 à 21:16.

    Hello,
    cette page peut-être ? https://en.wikipedia.org/wiki/Comparison_of_DNS_server_software

    Sinon chez moi j'ai longtemps utilisé dnsmasq, qui est sympa pour un petit réseau car il intègre le DHCP et le DNS dans la même config.

    Se poser la question de DoH, que bind supporte depuis peu.

    • [^] # Re: RTFW

      Posté par  . Évalué à 1 (+0/-0). Dernière modification le 13/06/21 à 22:01.

      j'ai longtemps utilisé dnsmasq, qui est sympa pour un petit réseau car il intègre le DHCP et le DNS dans la même config.

      Disons que j'aimerais l'éviter …

      Sinon merci pour le lien, c'est exactement ce que je cherchais.

      • [^] # Re: RTFW

        Posté par  . Évalué à 1 (+0/-0).

        Disons que j'aimerais éviter [dnsmasq]…

        Ah, pourquoi ? (si c'est pas indiscret bien sûr)

        • [^] # Re: RTFW

          Posté par  . Évalué à 1 (+0/-0).

          Je suis pas fan des outils "qui font tout".

          • [^] # Re: RTFW

            Posté par  . Évalué à 5 (+3/-0).

            Je vois ce que tu veux dire mais :
            - c'est ce qui est utilisé dans Openwrt, gage de qualité tout de même (il fait les deux, et plutôt bien)
            - de toutes façons tu n'es pas obligé d'utiliser ces deux fonctions, tu peux l'utiliser que pour une des deux
            - justement, avoir ces 2 services en 1 apporte une grande facilité dès lors qu'on veut résoudre les noms des machines connectées en DHCP (à peine connecté, déjà joignable par son petit nom)

            En théorie, la théorie et la pratique c'est pareil. En pratique c'est pas vrai.

  • # PowerDNS

    Posté par  . Évalué à 5 (+2/-0).

    Je crois que Powerdns existe dans les repose d'une grande majorité des distributions et le projet upstream lui-même héberge des packages pour debian, ubuntu LTS et les versions supportées de Centos/RHEL. Il est performant et très complet.

    Comparé à Bind les fonctions sont séparés en terme de binaires avec l'outil dnsdist (dns load balancing), le serveur pdns authoritatif et le server pdns recursif.

  • # des bizarreries que je ne comprend pas

    Posté par  . Évalué à 2 (+0/-0).

    vénérable bind chez moi qui me sert de proxy sur mon réseau local et gérer un DNS interne. Cette solution est une solution robuste et fiable, qui était incontournable il y a pas si longtemps.

    ah bon, bind fait du proxy ?
    j'ai du raté des evolutions alors, pour moi bind était un serveur DNS
    si tu l'installes chez toi, ca en fait un DNS local, qui peut faire suivre les requêtes qu'il ne peut pas honorer, est-ce alors ce que tu appelles proxy ?

    … d'autres solutions apparaissent par ci-par là. Ces solutions pour certaines sont dédiées à du cache local, d'autres ont l'air plus orienté gestion d'outils de contenairisation ou de virtualisation, d'autres veulent tout faire, d'autres répondent à des besoins de service discovery, etc …. et j'avoue que je commence à m'y perdre un peu dans tout ça.

    un DNS reste un DNS, non ?
    si ca veut faire de la conteneurisation, c'est que c'est plus qu'un DNS, tu as les noms de ces solutions moutons à 5 pattes ?

    • [^] # Re: des bizarreries que je ne comprend pas

      Posté par  . Évalué à 2 (+1/-0).

      ah bon, bind fait du proxy ?

      Plutôt cache (mauvaise expression de ma part).

      si ca veut faire de la conteneurisation, c'est que c'est plus qu'un DNS, tu as les noms de ces solutions moutons à 5 pattes ?

      Consul par exemple, qui intègre un serveur DNS pour faire du service discovery. La différence par rapport à bind est la façon dont tu mets à jour es enregistrements.

      • [^] # Re: des bizarreries que je ne comprend pas

        Posté par  . Évalué à 1 (+0/-0).

        Sinon, OpenBSD utilise deux outils différents pour le cache et le serveur dns en tant quer tel il me semble (ubound et NSD en authoritative nameserver).

        Celà dit je me suis peut-être un peu emmelé les pinceaux lorsque j'ai écrit: mes souvenirs ne sont plus clair: en peu de temps j'ai fait des recherches pour installer un serveur dhcp et un serveur DNS, et j'ai pu confondre et voir des moutons à 5 pattes qui faisaient du dns et dhcp implémentés dans des solutions de virtualisation/containerisation. Il y a aussi CoreDNS ( https://coredns.io/ ) dans le genre DNS/Service Registry

      • [^] # Re: des bizarreries que je ne comprend pas

        Posté par  . Évalué à 1 (+0/-0).

        Sinon, OpenBSD utilise deux outils différents pour le cache et le serveur dns en tant quer tel il me semble (ubound et NSD en authoritative nameserver).

        Celà dit je me suis peut-être un peu emmelé les pinceaux lorsque j'ai écrit: mes souvenirs ne sont plus clair: en peu de temps j'ai fait des recherches pour installer un serveur dhcp et un serveur DNS, et j'ai pu confondre et voir des moutons à 5 pattes qui faisaient du dns et dhcp implémentés dans des solutions de virtualisation/containerisation. Il y a aussi CoreDNS ( https://coredns.io/ ) dans le genre DNS/Service Registry

      • [^] # Re: des bizarreries que je ne comprend pas

        Posté par  . Évalué à 1 (+0/-0).

        Oups, désolé, oublié de supprimer la dernière phrase (reliquat d'une autre formulation).

  • # mon inventaire

    Posté par  . Évalué à 3 (+2/-0).

    Voici ce que je connais:
    - systemd-resolved: proxy + cache
    - dnsmasq: serveur statique + proxy + cache
    - unbound: serveur statique + proxy + cache
    - nsd: serveur
    - knot: serveur

    • [^] # Re: mon inventaire

      Posté par  . Évalué à 1 (+1/-1). Dernière modification le 14/06/21 à 22:01.

      Merci pour les infos.

      Pour moi systemd-resolved est un e plaie, car comme il est avec le gros truc systemd qui fait tout, il se retrouve en conflit avec d'autres trucs qu'on voudrait installer. Avoir systemd-resolved et dnsmasq sur la même machine, c'est à coup sûr avoir des probèmes (on ne sait plus qui fait quoi à un instant T ).

      Quand je vois cette page je me dis que pour foutre le bo**** dans un système, ya pas mieux.

      • [^] # Re: mon inventaire

        Posté par  . Évalué à 1 (+0/-0).

        Oui je n'étais pas fan non plus, par contre il est bien intégré à NetworkManager qui le configure automatiquement et même interface par interface (wifi/ethernet/vpn). Niveau sécurité (DoT, DNSSEC) c'est pas extraordinaire non plus d'après bug tracker.

      • [^] # Re: mon inventaire

        Posté par  . Évalué à 3 (+0/-0).

        Mon plus gros problème c'est qu'il n'est pas forcément connu et intégré par tous les outils de vpn ce qui fout le merdier quand celui de ta boite tente de modifier resolv.conf directement.

        • [^] # Re: mon inventaire

          Posté par  (site Web personnel) . Évalué à 3 (+1/-0). Dernière modification le 15/06/21 à 20:31.

          À ce sujet voir The Sisyphean Task Of DNS Client Config on Linux :

          If you’re a Linux distro maintainer, you may be wondering what part of this hilarity you should inflict on your users. Our take is that you should use systemd-resolved, and if you need user-friendly network configuration, a very recent version of NetworkManager (1.26.6 or better). This will give your distro state-of-the-art DNS capabilities, and make implementers of networking software much happier.

  • # Unbound

    Posté par  . Évalué à 3 (+1/-0).

    Sur mon routeur, j'utilise Unbound comme serveur récursif et il fait aussi autorité sur mon réseau.

Envoyer un commentaire

Suivre le flux des commentaires

Note : les commentaires appartiennent à ceux qui les ont postés. Nous n’en sommes pas responsables.