[FRsAG] DNS Timeout

Gregory Duchatelet greg-frsag at duchatelet.net
Ven 3 Fév 13:23:29 CET 2012


Le 01/02/2012 19:18, Wallace a écrit :
> Bonjour,
>
> Les entrées dns pour la résolution sont testé dans l'ordre, les 
> clients essayent donc le premier serveur,
> attendent le timeout, puis le second qui répond.
>

Bonjour,

j'ai aussi été confronté à ce problème. Le seul moyen qu'on a trouvé de 
combattre des spammeurs sans blacklister des pays entiers, c'était de 
faire une résolution inverse sur l'IP du client. Comme ils sont malin, 
ils peuvent utiliser une IP whitelisté pour se logger, puis une autre IP 
une fois loggé. On doit donc faire cette résolution inverse à chaque 
appel PHP.

Ce qui représente 400 requêtes PTR par seconde sur les resolvers Bind.

Pour ça j'ai mis en place cette archi : chaque frontal PHP a son 
PowerDNS recursor pour le cache local, qui interroge 2 serveurs 
resolvers sous Bind9 avec chacun une VIP et ucarp pour répartir les VIP. 
Le resolv.conf ressemble à ça :
nameserver 127.0.0.1
nameserver 10.0.10.1
nameserver 10.0.10.2

depuis, je n'ai plus aucun problème, et les résolutions sont plus 
rapides qu'avec Bind9.

-- 
Greg

-------------- section suivante --------------
Une pièce jointe HTML a été nettoyée...
URL: <http://www.frsag.org/pipermail/frsag/attachments/20120203/e99b6275/attachment.html>


More information about the FRsAG mailing list