DNS cache se nám jevila jako elegantní řešení a také nám po hodně let na mnoha místech spolehlivě fungovala a stejně jako ostatním, bezproblémově fungovat přestala.
Nepomůže, zakážete-li dotazy z internetu (ty jsme ostatně nikdy povolené neměli). Útoky totiž, asi v naprosté většině případů, pochází ze zavirovaných počítačů uvnitř sítě. DNS dotazy z těchto počítačů mají veřejnou zdrojovou IP adresu. Zkoušeli jsme kdejaké filtry, ale nic nefungovalo na 100%. Vždycky s tím byl nějaký problém.
Zaznělo tu, že standardní DNS server na Linuxu s útoky problémy nemá. Jenže dávat další stroj s Linuxem na místa, která jsou napájena z akumulátorů, nebo mají omezený prostor pro montáž dalších zařízení, není vhodné.
Jako rozumné řešení se ukázal MetaRouter, kde jako virtuální stroj běží OpenWRT s nainstalovaným balíkem bind. Dnsmasq nedoporučuji, budou s ním asi stejné problémy jako s DNS chache na Mikrotiku.
Bohužel je výběr použitelných RB omezený. MetaRouter chodí jen na mipsbe a ppc (z těch jen na jednoprocesorových). Na ppc pouze s verzí ROS 5.x, nejlépe 5.26.
Na sekundární DNS server pro síť s 1000 klienty jsme vybrali RB1100, který slouží jako router v jednom segmentu sítě se spolehlivým spojením a který byl vytížený ve špičkách na zruba 40-60%. Po spuštění DNS serveru (navíc i User manageru - spuštěno ve stejné době, podíl na zatížení CPU nedokážu odlišit) se zvedlo vytížení CPU ve špičkách na cca 60-95%.
Použili jsme image http://openwrt.wk.cz/trunk/mr-ppc/openwrt-mr-ppc-rootfs-31206.tar.gz, bind a související balíky z http://openwrt.wk.cz/trunk/mr-ppc/packages/.
Upozorňuji na to, že tlačítka Shut down a Restart v okně MetaRouter fungují podivně a je lepší použít halt a reboot z příkazové řádky konzole.
Instalace viruálního stroje a nastavení DNS je otázkou několika minut a lze ji dělat za plného provozu.
