Apache e richieste AAAA

[Vide]

Come diavolo si disabilitano le richieste DNS AAAA che *non* ho IPV6
abilitato (e credo che mai lo metterò nella LAN)?

--
Vide

[Skull]

On 7/27/10 4:06 PM, Vide wrote:
> Come diavolo si disabilitano le richieste DNS AAAA che *non* ho IPV6
> abilitato (e credo che mai lo metterò nella LAN)?
>

Male!

Cmq, che problema ti creerebbero?

--
Paranoia is a disease unto itself. And may I add: the person standing
next to you may not be who they appear to be, so take precaution.
-----------------------------------------------------------------------------
http://bofhskull.wordpress.com/

[Vide]

Skull wrote:

> Male!
>
> Cmq, che problema ti creerebbero?

C'ho i server DNS che ogni tanto non rispondono (sempre da codice, stress
test con dig lanciato 10k volte in 200 thread paralleli non batte un colpo,
per cui è un casino riprodurre l'errore) e visto che risponde a N richieste
A e ad altrettante richieste AAAA volevo dimezzare il traffico di botto
(anche se mi sa che alla fine installerò pdnsd su tutte le macchine)

--
Vide

[Skull]

On 7/27/10 5:38 PM, Vide wrote:

> C'ho i server DNS che ogni tanto non rispondono (sempre da codice, stress
> test con dig lanciato 10k volte in 200 thread paralleli non batte un colpo,
> per cui è un casino riprodurre l'errore) e visto che risponde a N richieste
> A e ad altrettante richieste AAAA volevo dimezzare il traffico di botto


Dalla 9.7.0b2 c'è una opzione (previo ./configure --enable-filter-aaaa)
che consente di definire in config la direttiva filter-aaaa-on-v4.

Questa ha l'effetto di filtrare i record AAAA che stiano contattando il
DNS attraverso IPv4.

Non so, però, se abbia effetto solamente nella comunicazione con il
client o meno: temo che il lookup per i record AAAA lo faccia
ugualmente, ma poi filtri all'atto della risposta al client, e
null'altro (il che sarebbe anche sensato).


Ma per curiositÃ*, di che flussi di query parliamo?


> (anche se mi sa che alla fine installerò pdnsd su tutte le macchine)

Valuta seriamente anche unbound.

--
Paranoia is a disease unto itself. And may I add: the person standing
next to you may not be who they appear to be, so take precaution.
-----------------------------------------------------------------------------
http://bofhskull.wordpress.com/

[Gandalf Corvotempesta]

Skull ha scritto:
> Valuta seriamente anche unbound.

Si configura in sicurezza con più o meno di 4 righe?

(no, non è una battuta, son curioso)

--
Non tocca a noi dominare tutte le maree del mondo,
il nostro compito è di fare il possibile per la
salvezza degli anni nei quali viviamo,
sradicando il male dai campi che conosciamo.

[Skull]

On 7/27/10 6:08 PM, Gandalf Corvotempesta wrote:
> Skull ha scritto:
>> Valuta seriamente anche unbound.
>
> Si configura in sicurezza con più o meno di 4 righe?
>
> (no, non è una battuta, son curioso)
>
Il file di configurazione di default (sistema funzionante, veh),
contiene questo (tolti i commenti):

server:
verbosity: 1
chroot: ""


Vedi te...

--
Paranoia is a disease unto itself. And may I add: the person standing
next to you may not be who they appear to be, so take precaution.
-----------------------------------------------------------------------------
http://bofhskull.wordpress.com/

[Skull]

On 7/27/10 6:11 PM, Vide wrote:
> Skull wrote:
>
>> Ma per curiositÃ*, di che flussi di query parliamo?
>
> ++ Name Server Statistics ++
> 3236625168 IPv4 requests received

Non male... :-)

> di questi ne ho 2, l'uptime del servizio son 2 mesi giusti giusti oggi. Se
> sai un modo per tirare fuori statistiche di velocitÃ* con Bind dimmi pure

Suggerirei di monitorare la mole di query/sec che arrivano a bind, e
vedere se c'è qualche correlazione tra piantamenti e picchi di traffico....


Immagino, vista la tua realtÃ*, che le query arrivino da server.
Hai pensato all'opportunitÃ* di usare dei resolver locali in ciascun
server, che si riferiscano ai forwarder come parent?

Portare il caching all'interno del singolo server aiuta parecchio a
gestire i picchi di stress...

--
Paranoia is a disease unto itself. And may I add: the person standing
next to you may not be who they appear to be, so take precaution.
-----------------------------------------------------------------------------
http://bofhskull.wordpress.com/

[Vide]

Skull wrote:

> Non male... :-)

Fatto un po' di bc con due stats uno dietro l'altro (fortuna che salva il
timestamp :P) e sono 1500 query/sec per server, di cui solo la metÃ* utile.

> Suggerirei di monitorare la mole di query/sec che arrivano a bind, e
> vedere se c'è qualche correlazione tra piantamenti e picchi di
> traffico....

Sai qualche modo efettivo di farlo con bind?

> Immagino, vista la tua realtÃ*, che le query arrivino da server.
> Hai pensato all'opportunitÃ* di usare dei resolver locali in ciascun
> server, che si riferiscano ai forwarder come parent?
>
> Portare il caching all'interno del singolo server aiuta parecchio a
> gestire i picchi di stress...

Sì sì, proprio a quello mi riferivo con l'installare pdnsd, installarlo in
ogni server della webfarm come cache locale (e resolv.conf che punta a
127.0.0.1), non come sostituto di Bind (e qua si che potrebbe invece entrare
in gioco unbound)

--
Vide

[Gandalf Corvotempesta]

Il giorno mar, 27/07/2010 alle 18.14 +0200, Skull ha scritto:
> Il file di configurazione di default (sistema funzionante, veh),
> contiene questo (tolti i commenti):
>
> server:
> verbosity: 1
> chroot: ""
>
>
> Vedi te...

Uhm, sembra interessante.
E per abbinare mysql?

[Skull]

On 7/27/10 6:33 PM, Vide wrote:
>> Suggerirei di monitorare la mole di query/sec che arrivano a bind, e
>> vedere se c'è qualche correlazione tra piantamenti e picchi di
>> traffico....
>
> Sai qualche modo efettivo di farlo con bind?

Lo faccio (facevo...) con un modulo di munin: lo script esegue "rndc
stats" e si parsa il file delle statistiche per estrarne i valori e
passarli a munin.
Ma quando han cambiato il formato del file di stats di bind ha smesso di
funzionare (ovviamente) e ammetto di non essermi preso la briga di
metterci mano o di cercarne una nuova versione, per ora.

Probabilmente con qualche ricerca si trova giÃ* fatto...

> Sì sì, proprio a quello mi riferivo con l'installare pdnsd, installarlo in
> ogni server della webfarm come cache locale (e resolv.conf che punta a
> 127.0.0.1), non come sostituto di Bind (e qua si che potrebbe invece entrare
> in gioco unbound)

Fallo. Anche installando in locale una istanza di bind, volendo.

Io uso sui singoli server delle istanze di bind che usano i DNS di
resolve "principali" come forwarder, e configurate con

max-cache-ttl 300;
max-ncache-ttl 300;

In questo modo mantengono una cache locale piccola e di breve durata,
affidandosi alla cache del forwarder (che comunque ha latenza ridicola)
per la cache di "lunga durata".
--
Paranoia is a disease unto itself. And may I add: the person standing
next to you may not be who they appear to be, so take precaution.
-----------------------------------------------------------------------------
http://bofhskull.wordpress.com/

[Skull]

On 7/27/10 7:32 PM, Gandalf Corvotempesta wrote:
> Il giorno mar, 27/07/2010 alle 18.14 +0200, Skull ha scritto:
>> Il file di configurazione di default (sistema funzionante, veh),
>> contiene questo (tolti i commenti):
>>
>> server:
>> verbosity: 1
>> chroot: ""
>>
>>
>> Vedi te...
>
> Uhm, sembra interessante.
> E per abbinare mysql?

E' un resolver. Mysql a che gli serve?

--
Paranoia is a disease unto itself. And may I add: the person standing
next to you may not be who they appear to be, so take precaution.
-----------------------------------------------------------------------------
http://bofhskull.wordpress.com/

[Vide]

Skull wrote:

> Fallo. Anche installando in locale una istanza di bind, volendo.

Mi sa che lo farò anche se mi scazza avere un altro servizio vitale da
controllare in ogni server web... comunque niente di insormontabile ed è
meglio che sprecare risorse come sto facendo adesso.

--
Vide

[Vide]

Vide wrote:

> Come diavolo si disabilitano le richieste DNS AAAA che non ho IPV6
> abilitato (e credo che mai lo metterò nella LAN)?

L'unico modo 100% effettivo è disabilitare IPv6 completamente. Con Debian
Lenny 2.6.26 (default) si può bloccare il caricamento del modulo in
modprobe.d, mentre col 2.6.32 che non è più in modulo bisogna per forza
bloccarlo via grub.conf (il ipv6_disable in /proc non sembra molto efficace)

--
Vide

[Vide]

Vide wrote:

> Skull wrote:
>
>> Fallo. Anche installando in locale una istanza di bind, volendo.
>
> Mi sa che lo farò anche se mi scazza avere un altro servizio vitale da
> controllare in ogni server web... comunque niente di insormontabile ed è
> meglio che sprecare risorse come sto facendo adesso.

Fantastique! Da 1500 q/s a...... 40!


--
Vide