Question

Buenas tardes a todos,

Estoy teniendo un inconveniente con el tema DNS Público, pero para que entiendan bien de qué se trata, les comento en primer lugar la infraestructura que tengo:

Equipos:

Equipo Cliente > Windows 7

Controladores de Dominio > (2) ambos bajo Windows Server 2003 R2 SP2. El primero tiene todos los Roles FSMO.

DNS Públicos > (2) uno bajo Windows Server 2003 R2 SP2 y el restante bajo Windows Server 2008 R2 SP1. Ambos ubicados en la DMZ.

Configuraciones:

• Los equipos clientes tienen como DNS primario al controlador de dominio (el que tiene todos los roles FSMO), y el DNS secundario es el segundo controlador de dominio.
• El controlador de dominio principal posee un forwarder que apunta a la IP del DNS Público primario que se encuentra en la DMZ.
• El otro controlador de dominio posee un forwarder que apunta al controlador de dominio principal (que es el que tiene el forwarder hacia el DNS Público).
• El DNS Público primario posee forwarder hacia los DNS Públicos de Google (8.8.8.8 y 8.8.4.4).

En relación a la configuración que tengo, el comportamiento a la hora de que un equipo realice una consulta de un sitio web debería ser el siguiente:

1) La PC cliente realiza la consulta de un sitio web determinado al DNS Primario que tiene configurado.

2) El Servidor DNS primario recibe la consulta y como la tiene en caché, localiza su forwarder y se la envía al DNS Público ubicado en la DMZ.

3) El DNS Público de la DMZ recibe la consulta y como la tiene en caché, sale a buscarla a Internet a través de los DNS Públicos de Google que tiene configurados.

4) Los DNS Públicos de Google reciben la consulta, la resuelven y se la traspasan al DNS Público de nuestra DMZ.

5) El DNS Público la recibe y se la traspasa al Servidor DNS primario.

6) El DNS Primario la recibe y le contesta a la PC Cliente.

Bien, el problema que estoy teniendo es el siguiente, antes de configurar los DNS Públicos de Google, nos manejábamos mediante los Root Hints que vienen cargados por defecto. Aplicamos dichos DNS con la idea de buscar una respuesta más rápida en las consultas externas. 

Una vez que configuramos dichos DNS Públicos de Google, lo que empezamos a notar fué una especie de Flooding DNS de consultas externas que las recibía nuestro DNS Público de la DMZ, es decir, algo insual por la cantidad de tráfico DNS que recibíamos. La realidad es que todo parecía ser como que al aplicar dichos DNS, nos convertimos en un "Servidor DNS Público" hacia a Internet, dispuestos a responder las consultas de cualquier sitio web de Internet.

La lógica indica que nuestro DNS Público sólo debe responder aquellas consultas provenientes desde Internet que sean sobre las zonas que tenemos cargadas, es decir, solo debe resolver desde afuera hacia adentro, las consultas que pertenezca a nuestro dominio público que en este caso es .com.ar.

A este punto me surgieron algunas dudas respecto a las opciones de recursividad que se pueden configurar en los DNS Públicos y les explico eso mismo:

En Windows Server 2003 R2 SP2, aparecen estas opciones:

Consola DNS > Propiedades:

Solapa Forwarders > "Do not use recursion for this domain"

Solapa Advanced > "Disable recursion (also disables forwarders)".

En Windows Server 2008 R2 SP1, aparecen estas opciones:

Consola DNS > Propiedades:

Solapa Forwarders > "Use root hints if no forwarders are available" (por defecto activada si no se cargan otros forwarders).

Solapa Advanced > "Disable recursion (also disables forwarders)".

A simple vista hay diferencias entre ambas versiones de Sistema Operativo para configurar estas opciones. Entiendo que el problema lo puedo llegar a tener con esto, respecto a que hay que "jugar" con estas opciones.

Podrán ayudarme en relación a si debo habilitar dichas opciones, y en ese caso cuáles?

Muchas gracias a todos,

Saludos,

Comments

SeñoritoIngles:
Cuando dices: " y como la tiene en caché" supongo que quisiste decir  "y como NO la tiene en caché" - ¿estoy en lo cierto?

Estoy casi igual que vos con las dudas, igualmente te comento 2 experiencias en las que también parecía haberme convertido en un dns publico "abierto"... por si te sirve.

1) Hace un par de meses atrás realicé un llamado al servicio de atención al cliente de mi proveedor ya que de un día para el otro comencé a recibir una avalancha de consultas (UDP 53) en el tráfico entrante de la wan. El proveedor realizó ajustes y se terminó el problema.

2) Un video publicado por Victor Burgos indica como configurar el DNS público y me pasó que así como quedó configurado según el video resolvía muy bien mis zonas pero también otras y en mi caso con un solo DNS (infraestructura muy pequeña) no podía desactivar recursividad, así que lo solucioné con un Firewall que descarte cualquier consulta dns entrante por la Wan excepto las que en el contenido de la consulta incluyan ciertas palabras claves (los nombres de las zonas) y bueno... eso, tengo un único dns publico y privado al mismo tiempo, y la verdad no he tenido problemas.

Por ahí lo del firewall podría ser una opción.
Saludos.

---

Hola Fabifique, gracias por tu respuesta.
En cuanto a tu primer pregunta, si, es correcto, me confundí, quise poner eso que vos mismo dijiste.
Respecto al segundo punto, el Firewall que tenemos es un appliance (de la empresa Palo Alto, una división de los fundadores de Juniper),y no puedo customizar la regla de tráfico 53 que ingresa por la wan, filtrando por palabras.
Lo único que me queda probar es el tema de las configuraciones de recursividad que detallaba, no sé si deben usarse o no cuando uno tiene seteado los dns públicos de google como forwarders, la realidad es que mi confusión viene por ese lado. Porque me interesaría poder utilizar dichos dns sin que tenga un flooding de dns.
Ahora bien, cuando decís "con un solo DNS, no podía desactivar la recursividad", es decir, si tuvieras más de un DNS Público en tu DMZ la desactivarías?

Gracias,
Saludos,

Answer 1

Tienes que deshabilitar la recursividad en ambos servidores de la DMZ y tambien habilitar solo la transferencia de zona a los NS de tu ISP para que se propaguen hacia los root a traves de ellos.

Con respecto al appliance de Palo Alto, es uno de los mejor y mas robustos Firewall que existen en el mundo y son bastante caros y dificiles de adquirir, pero tienes que podes realizar una regla para que solo permitas trafico UDP 53 proviniente desde las IP de los NS de tu ISP.

Comments

Gustavo, cómo estás?
Gracias por tu respuesta. Consulta, te referís a deshabilitar la recursividad, te referís a que en el DNS Público que tengo bajo Windows Server 2003, le desactive la recursividad que aparece en la solapa Forwarders, y en el DNS Público que tengo bajo Windows Server 2008, la que aparece en la solapa Advanced?
Porque la idea es utilizar los DNS Públicos de Google en la solapa Forwarders. En este caso, el utilizar dichos DNS cambia en algo en cuanto a la regla que tengo que permite el tráfico udp/53 desde la WAN hacia la DMZ?
Muchas gracias,

Answer 2

Gustavo, cómo estás?
Gracias por tu respuesta. Consulta, te referís a deshabilitar la recursividad, te referís a que en el DNS Público que tengo bajo Windows Server 2003, le desactive la recursividad que aparece en la solapa Forwarders, y en el DNS Público que tengo bajo Windows Server 2008, la que aparece en la solapa Advanced?
Porque la idea es utilizar los DNS Públicos de Google en la solapa Forwarders. En este caso, el utilizar dichos DNS cambia en algo en cuanto a la regla que tengo que permite el tráfico udp/53 desde la WAN hacia la DMZ?
Muchas gracias,