Подготовлен (https://www.knot-dns.cz/2018-04-11-version-266.html) релиз KnotDNS 2.6.6 (https://www.knot-dns.cz/), высокопроизводительного авторитативного DNS сервера (рекурсор выполнен в виде отдельного приложения), поддерживающего все современные возможности DNS. Проект разрабатывается чешским регистратором имен CZ.NIC и распространяется (https://gitlab.labs.nic.cz/knot/knot-dns.git) под лицензией GPLv3. Сервер отличается ориентацией на высокую производительность обработки запросов, для чего применяется многопоточная, и по большей части неблокирующая реализация, хорошо масштабируемая на SMP-системах. Предоставляются такие возможности, как добавление и удаление зон на лету, передача зон между серверами, DDNS (динамические обновления), NSID (RFC 5001), расширения EDNS0 и DNSSEC (включая NSEC3), ограничения интенсивности ответов (RRL).Основные изменения:
- В модуль ведения статистики добавлены счётчики для опций EDNS (https://en.wikipedia.org/wiki/Extension_mechanisms_for_DNS) (применяется для расширения размера некоторых параметров протокола DNS);- Новый фильтр '+orphan' для отсева операций 'zone-purge';
- Сокращено потребление памяти при выключенном сборе статистики;
- Добавлены проверки для выявления проблемного сочетания настроек в файле конфигурации.
URL: https://www.knot-dns.cz/2018-04-11-version-266.html
Новость: https://www.opennet.me/opennews/art.shtml?num=48430
Я называю это - "конкуренция с самим собой"
Вместо того, чтобы сосредоточить усилия на проекте, который является стандартом де-факто, начать пилить что-то свое, чтобы потом, через пару лет выйти, развести руками и сказать: Проект закрывается, звиняйте. Все свободны.
Отличная штука. В отличие от NSD, обучена IXFR и подрезанию DDoS посредством лимитирования интенсивности "полных" ответов. Без проблем встаёт слэйв-фронтэндом к имеющимся DNS (хоть bind, хоть pdns, да хоть бы и AD). При этом ещё и модульная.* У этих ребят ещё и рекурсор свой есть "чтобы как NSD+unbound". Но тут — увы, чересчур овер-инженерный для моих задач. Может, в миллионных домонетах и есть смысл такое вкручивать.
> Отличная штука. В отличие от NSD, обучена IXFRМожете пояснить, пожалуйста, не до конца просвещённому человеку?
NSD, как написано в документации, поддерживает IXFR-запросы, но не поддерживает «provide-ixfr». Я правильно понимаю, что это означает следующее: NSD может сделать IXFR-запрос к первичному серверу, но не может сделать IXFR-ответ, а только AXFR?
> NSD, как написано в документации, поддерживает IXFR-запросы, но не поддерживает «provide-ixfr».Значит, я уже́ отстал от NSD (и его можно поставить слейвом к чему-то с большими зонами). Но не мастером (см. тесты времени вгрузки зоны на старте).
>> NSD, как написано в документации, поддерживает IXFR-запросы, но не поддерживает «provide-ixfr».
> Значит, я уже́ отстал от NSD (и его можно поставить слейвом к
> чему-то с большими зонами). Но не мастером (см. тесты времени вгрузки
> зоны на старте).Понял, спасибо.
Называйте как хотите, но без здоровой конкуренции (либо какого-то искусственного эквивалента, но с ними обычно всё намного хуже) любая ниша зарастает мхом.Опять же, одно универсальное приложение на все случаи жизни? Вы серьёзно?
> Называйте как хотите, но без здоровой конкуренции (либо какого-то искусственного эквивалента, но с ними обычно всё намного хуже) любая ниша зарастает мхом.вы так пишете как-будто это всегда верно
> начать пилить что-то своенужно запретить пилить что-то своё!
> чтобы потом, через пару лет выйти, развести руками
ну во-первых, "узлу" сильно больше 2 лет.
во-вторых, пока у них есть необходимость они пилят. собственно говоря так работает вообще всё. хотя некоторые забываются и начинают считать, что кто-то пилит для того, чтобы было хорошо им. это не так.
в-третьих, это опенсорс. если тебе надо - пили с ними. пили как они. пили лучше них.
ну и последнее - всегда полезно иметь альтернативу. а лучше - несколько. как минимум - под чуть разные задачи, нагрузки и т.п.
> Вместо того, чтобы сосредоточить усилия на проекте, который является стандартом де-факто,bind является "стандартом де-факто" как не надо писать высоконагруженные сервисы с опасными протоколами. (как все, что принес в мир ISC)
И одновременно - хранилищем золотых стандартов обезьянки-разработчика, которые его и пишуть - точнее, в каждой значительной версии переписывают с нуля, потому что разобраться в спагетти-коде предыдущих они не могут (этим вот он и правда уникален).
Альтернативы, к сожалению, написаны примерно такими же или хуже (поинтересуйтесь историей уязвимостей в power, к примеру)А чехам нужен root/gtld nameserver. И чтоб работал. Под вечным ddos'ом и с адовой нагрузкой, а не раз в два дня "ой, опять dnssec поломали".
И это примерно те же люди, которые, когда им понадобился маршрутизатор для ix, тоже с огромной нагрузкой и альтернативно-одаренными пирами, не стали шевелить труп полосатого осла, а довели до ума bird.
а вы немедленно выбрасывайте у себя почтовый сервер и ставьте isc imapd. А чо, стандарт был, де-фахто, какой еще нафиг dovecot, куды лезете, не видите, тут занято, стандарт?! К счастью, его успешно закoпали, и их же pop3d туда же, и осиновый кол сверху вбит. dhcpd, увы, нет.
кнут отличная альтернатива тому же бинду
> кнут отличная альтернатива тому же биндуУ бинд-а нет альтернатив, только сотоварищи дуршлаг да сито! Вон обновы в Debian чуть ли не каждый месяц прилетают (ну, немного приврал, но совсем немного ;). Так что бинд-овцы без работы не останутся (что с их стороны и не плохо).
А то как товарищ выше комментировал
"
Я называю это - "конкуренция с самим собой"
Вместо того, чтобы сосредоточить усилия на проекте, который является стандартом де-факто, начать пилить что-то свое, чтобы потом, через пару лет выйти, развести руками и сказать: Проект закрывается, звиняйте. Все свободны.
"
С Вами согласен альтернатива это хорошо. Пусть будет конкуренция! Только честная, иначе это уже не конкуренция.
А так да, если вдруг случится "звиняйте", то кто то может даже обрадоваться (хотя это уже совсем отъявленные личности).
Оффтопик:
Понос мозга какой то ...
Что хотел сказать афтар? Кто на ком стоял?! ... Да и *мир* с ним! :-)
Топик:
Нужно! Ибо бинд10 - это питон! 8-)))))
Я ничего против не имею, кроме того что имею я ввиду днс-сервак на питоне или на ноде какой!!! "Такой хоккей нам не нужен!" (С) ещё одно наше всио :)
> Нужно! Ибо бинд10 - это питон! 8-)))))альтернативно-одаренные разработчики без пихона уже не могут. А работающий код писать так и не научились.
> Я ничего против не имею, кроме того что имею я ввиду днс-сервак
я тоже, "лишь бы не у меня".
Пару лет назад уже реально занес было руку один из своих ns'ов заменить 2008R2. a) меньше жрет b) ее не переписывают раз в два года с нуля (и поддерживают) с) количество известных проблем счетно, а не в каждой рассылке по штуке. (будете ржать, но не нашел где купить, мне нужна core)
Пох - ты всё же альтернативно одарённый на всю голову :)
Там где ставят knot (вернее для кого его делали) - любое виндовое чудо встанет раком как только на фаере порты откроешь :-)
Не надо нам песен - их и у нас есть :-)
А в уютненькой LAN-е иногда приходится мсявый днс юзать, особенно если есть АД - это сильно упрощает Ъ ...
делали его для root/gtld, но сделали довольно универсально (там, обрати внимание - еще и мильен плагинов на все случаи жизни, явно не для одного .cz они старались) Единственное, что может огорчить анона - имитация view через опу и рекурсор, но я вообще не люблю bind'овые view, особенно после того как они сломали implicit view, у меня для этого reverse-nat и pbr есть.> А в уютненькой LAN-е иногда приходится мсявый днс юзать, особенно если есть АД - это сильно
> упрощает Ъ ...у меня уютненькие локалхостики с public ip, и нужны им собственные домены и иногда реверсы, не много, первые сотни, нагрузка небольшая, п-сы бывает захаживают, но, потыкав пальчиком и прищемив его, отправляются искать мишень помягче. Винда справлялась.
она, в общем-та, как-то справляется с forest'ами крупных лавок с сотнями доменов и десятками тысяч адресов, так что не все, наверное, так плохо. Но денег нет, а держаться не за что.
>делали его для root/gtld, но сделали довольно универсально... ааа! Понял о чём ты, я почему то наеборот тебя понял ... Извиняюсь! :-)
>> кнут отличная альтернатива тому же бинду
> У бинд-а нет альтернатив, только сотоварищи дуршлаг да сито! Вон обновы вбыло бы все так просто - (работающие) альтернативы бы были. К сожалению, dns протокол (даже если не брать современные горе-доделки типа dnssec) посложнее муки с червяками.
>>> кнут отличная альтернатива тому же бинду
>> У бинд-а нет альтернатив, только сотоварищи дуршлаг да сито! Вон обновы в
> было бы все так просто - (работающие) альтернативы бы были. К сожалению,
> dns протокол (даже если не брать современные горе-доделки типа dnssec) посложнее
> муки с червяками.Я без злости. Да, есть некие заморочки, но работает же решение, и не мало где. И Интернет не "трясет и глюкавит". Да и ребята при деле!
Сложность протокола, в силу своего уровня, оценить не смогу. Так что здесь Вам и шашку в руки.
Наверное, даже не смогу "объективно" сравнить с другими решениями в этой теме. А мое субъективное мнение, думаю будет слишком субъективно. Так что лучше промолчу.
1-таер
9-ый бинд, кнот, павер, анбаунды
2-таер
мс-днс ... ну и куча мелочи типа мары и днс-маска ..
3-таер
пол гитхаба забито поделками гениЁфф которые либо делают "замену этому **вну!"(C)(R)(Tm), либо имплементацию на Истинно Верном йОзыке :-\Короче если вы умеете в 9-ый бинд, + ещё чего их 1-т, + мс + днс-маск - хрен вас голыми руками возьмёшь :-) пять девяток в этой поляне, я гарантирую это!(С)