OpenDNS
В процессе настройки DNS-служб наткнулся я однажды на сервис OpenDNS. Посетил сайт, протестировал, зарегистрировался. Как пишут авторы сервиса на сайте: мы Safer, Faster и Smarter. Про Faster мне понравилось, и я взял этот сервис на заметку.
Следует заметить, что не от лучшей жизни я подключен к трем поставщикам услуг Интернет. Каждый провайдер выдает мне адреса DNS-серверов для запросов. Если собрать все DNS адреса вместе и добавить к ним собственный сервер DNS, то получается вот такой вот список. 127.0.0.1, 195.112.224.75, 195.112.224.126, 195.112.234.18, 89.105.128.66, 89.105.128.67, 80.255.128.145, 80.255.136.201, 80.255.149.126, 87.250.223.142. Если данную конструкцию описать в BIND в качестве forwarders, то мне даже страшно будет представить, как медленно будет работать мой DNS-сервер. Поэтому в качестве forward-сервера указал всего один DNS-сервер компании krasadsl. Я знал, что рано или поздно случится ситуация, когда данный провайдер не будет работать. И недавно такая ситуация случилась. Провайдер стал недоступен, а у меня замедлилась работа с DNS-серверами. В целом BIND плохо работает в ситуации, когда не работает один из forward-серверов. Но вернемся к теме статьи - OpenDNS.
Сервис прост. Вы отправляете все DNS-запросы на сервера OpenDNS. Ответ вам возвращается очень быстро за счет кэширования. Вместе с ответом происходит блокировка сайтов с фишингом. Борьба с фишингом, ботнетами и спамерами мне не нужна, поэтому данные “улучшения” ответов на мои DNS- запросы были отключены. Я просто хочу быстрый ресолвер.
Серверы OpenDNS доступны со всех трех моих поставщиков Интернет-услуг. Поэтому я решился. Зарегистрировался на сервисе. Добавил IP-адреса своих шлюзов Интернет в сервис OpenDNS. Потребовалось подтверждение, что эти адреса действительно мои. Поскольку у меня реальные IP адреса и NAT я не использую – сделать это было очень просто. Кстати интересно, каким образом регистрируются те, кто работает за NAT? После регистрации своих IP- адресов в системе OpenDNS, в панели управления я выключил следующие “улучшения”:
- Enable typo correction;
- Enable phishing protection;
- Additional Features;
- Enable Dynamic DNS update.
После этого перенастроил свой DNS-сервер и стал отправлять все свои DNS-запросы к серверам OpenDNS. Я знаю, что на серверах OpenDNS открыта рекурсия и есть возможность отравить DNS-кэш, но это меньшее зло, чем то, что предлагают мои провайдеры (список IP-адресов DNS-серверов провайдеров я привел в самом начале этой заметки, так что можете проверить самостоятельно). Я лично сделал выбор и доверяю OpenDNS. У меня работает почтовый сервер. Для правильной его работы необходимо обязательно отключить “OpenDNS typo correction”. Иначе почтовый сервер всегда будет находить A-запись для любого домена. А если домена не существует, то в ответ он должен получить NXDOMAIN. Обязательно сделайте это. Иначе у вас будут большие проблемы. Еще я не пользуюсь различными DNSBL-списками для почтового сервера. И вам не советую, но если вы пользуетесь, то обязательно выключите “OpenDNS typo correction”. Иначе OpenDNS будет отвечать вам, что любой сервер находится в DNSBL. И, напоследок: спасибо тебе, David Ulevitch. Лично для меня ты сделал жизнь лучше!
Roman Y. Bogdanov
Следует заметить, что не от лучшей жизни я подключен к трем поставщикам услуг Интернет. Каждый провайдер выдает мне адреса DNS-серверов для запросов. Если собрать все DNS адреса вместе и добавить к ним собственный сервер DNS, то получается вот такой вот список. 127.0.0.1, 195.112.224.75, 195.112.224.126, 195.112.234.18, 89.105.128.66, 89.105.128.67, 80.255.128.145, 80.255.136.201, 80.255.149.126, 87.250.223.142. Если данную конструкцию описать в BIND в качестве forwarders, то мне даже страшно будет представить, как медленно будет работать мой DNS-сервер. Поэтому в качестве forward-сервера указал всего один DNS-сервер компании krasadsl. Я знал, что рано или поздно случится ситуация, когда данный провайдер не будет работать. И недавно такая ситуация случилась. Провайдер стал недоступен, а у меня замедлилась работа с DNS-серверами. В целом BIND плохо работает в ситуации, когда не работает один из forward-серверов. Но вернемся к теме статьи - OpenDNS.
Сервис прост. Вы отправляете все DNS-запросы на сервера OpenDNS. Ответ вам возвращается очень быстро за счет кэширования. Вместе с ответом происходит блокировка сайтов с фишингом. Борьба с фишингом, ботнетами и спамерами мне не нужна, поэтому данные “улучшения” ответов на мои DNS- запросы были отключены. Я просто хочу быстрый ресолвер.
Серверы OpenDNS доступны со всех трех моих поставщиков Интернет-услуг. Поэтому я решился. Зарегистрировался на сервисе. Добавил IP-адреса своих шлюзов Интернет в сервис OpenDNS. Потребовалось подтверждение, что эти адреса действительно мои. Поскольку у меня реальные IP адреса и NAT я не использую – сделать это было очень просто. Кстати интересно, каким образом регистрируются те, кто работает за NAT? После регистрации своих IP- адресов в системе OpenDNS, в панели управления я выключил следующие “улучшения”:
- Enable typo correction;
- Enable phishing protection;
- Additional Features;
- Enable Dynamic DNS update.
После этого перенастроил свой DNS-сервер и стал отправлять все свои DNS-запросы к серверам OpenDNS. Я знаю, что на серверах OpenDNS открыта рекурсия и есть возможность отравить DNS-кэш, но это меньшее зло, чем то, что предлагают мои провайдеры (список IP-адресов DNS-серверов провайдеров я привел в самом начале этой заметки, так что можете проверить самостоятельно). Я лично сделал выбор и доверяю OpenDNS. У меня работает почтовый сервер. Для правильной его работы необходимо обязательно отключить “OpenDNS typo correction”. Иначе почтовый сервер всегда будет находить A-запись для любого домена. А если домена не существует, то в ответ он должен получить NXDOMAIN. Обязательно сделайте это. Иначе у вас будут большие проблемы. Еще я не пользуюсь различными DNSBL-списками для почтового сервера. И вам не советую, но если вы пользуетесь, то обязательно выключите “OpenDNS typo correction”. Иначе OpenDNS будет отвечать вам, что любой сервер находится в DNSBL. И, напоследок: спасибо тебе, David Ulevitch. Лично для меня ты сделал жизнь лучше!
Roman Y. Bogdanov
Сетевые решения. Статья была опубликована в номере 04 за 2007 год в рубрике sysadmin
