Re: [FRnOG] [TECH] Réponse DNS basé sur l'ASN de l'IP source
Re, J'ai un besoin aujourd'hui d'un service qui a besoin que la réponse à une requête du style: dig t...@ecute.org change selon l'ASN number de l'IP d'origine. Est-ce que vous connaissez une solution (Open source ou Propriétaire) qui pourrait faire l'affaire ? Ça se fait pas mal pour la GeoIP. Il faut dans ce cas avoir également le support pour EDNS client subnet pour gérer les DNS de Google. PowerDNS et gdnsd supportent ça (avec GeoIP, faut voir pour les AS). Je confirme. J'ai fait un pipe-backend PowerDNS qui faisait du WRR (Weighted Round Robin - ie: 40% de charge sur DC1, 20% sur DC2, 40% sur DC3) et grâce à EDNS subnet client j'atteignais une granularité sous les 1% de trafic et "juste ça marchait". Ensuite pour gérer le Geo-balancing, effectivement le mieux c'est GeoIP, qui en plus a une base gratos pour les AS : http://dev.maxmind.com/geoip/legacy/geolite/ => GeoLite ASN v4 et v6 Bref, la solution idéale pour moi c'est : PowerDNS avec un pipe-backend (codé en ce que tu veux) et la lib GeoIP avec la db GeoLite ASN (que tu load en RAM, c'est un flag du open) Le seul truc à gérer/tester un peu c'est le petit "if" pour la présence d'un champs EDNS client subnet, *dont l'IP ne serait pas RFC1918* auquel cas il faut l'ignorer et retomber sur la client IP. Après, pour du Geo-balancing on travaille quand même plus sereinement et efficacement avec le pays associé au pays (GeoIP Country ou City)... mais tu as peut-être un cas d'usage très spécifique lié uniquement à l'AS... Cordialement, -- Philippe Bourcier web : http://sysctl.org/ blog : https://www.linkedin.com/today/author/philippebourcier --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Réponse DNS basé sur l'ASN de l'IP source
100 000 ACL contenant au total 55 préfixes, plus je sais pas combien de «
view », il gère ça bien Bind ?
> Le 1 sept. 2016 à 18:05, Arnaud GRANAL a écrit :
>
> Super facile avec bind, tu peux generer un .acl contenant chaque range
> de/des AS qui t'interessent et tu peux les matcher, puis match-clients {
> any; }; pour ceux qui ne t'interessent pas
>
> acl "AS2044" {
>69.10.130.128/26;
>69.10.139.0/25;
>69.10.140.192/26;
> }
> view ... {
> match-clients { AS2044; };
> }
>
> done
>
> 2016-09-01 18:13 GMT+03:00 Vincent Bernat :
>
>> ❦ 1 septembre 2016 16:15 CEST, julien :
>>
>>> J'ai un besoin aujourd'hui d'un service qui a besoin que la réponse à une
>>> requête du style:
>>> dig t...@ecute.org change selon l'ASN number de l'IP d'origine.
>>> Est-ce que vous connaissez une solution (Open source ou Propriétaire) qui
>>> pourrait faire l'affaire ?
>>
>> Ça se fait pas mal pour la GeoIP. Il faut dans ce cas avoir également le
>> support pour EDNS client subnet pour gérer les DNS de Google. PowerDNS
>> et gdnsd supportent ça (avec GeoIP, faut voir pour les AS).
>> --
>> The last thing one knows in constructing a work is what to put first.
>>-- Blaise Pascal
>>
>>
>> ---
>> Liste de diffusion du FRnOG
>> http://www.frnog.org/
>>
>
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/
---
Liste de diffusion du FRnOG
http://www.frnog.org/
Re: [FRnOG] [TECH] Réponse DNS basé sur l'ASN de l'IP source
On 1 September 2016 at 18:06:59, Arnaud GRANAL (serp...@gmail.com) wrote:
Super facile avec bind, tu peux generer un .acl contenant chaque range
de/des AS qui t'interessent et tu peux les matcher, puis match-clients {
any; }; pour ceux qui ne t'interessent pas
acl "AS2044" {
69.10.130.128/26;
69.10.139.0/25;
69.10.140.192/26;
}
view ... {
match-clients { AS2044; };
}
done
Saut que ca va tuer les perfs de BIND si tu as beaucoup de vues :) ( > 100aine)
vu que BIND parses toutes les vues afin de voir quel match-client correspond.
Cheers,
--
Nico
---
Liste de diffusion du FRnOG
http://www.frnog.org/
Re: [FRnOG] [TECH] Réponse DNS basé sur l'ASN de l'IP source
Super facile avec bind, tu peux generer un .acl contenant chaque range
de/des AS qui t'interessent et tu peux les matcher, puis match-clients {
any; }; pour ceux qui ne t'interessent pas
acl "AS2044" {
69.10.130.128/26;
69.10.139.0/25;
69.10.140.192/26;
}
view ... {
match-clients { AS2044; };
}
done
2016-09-01 18:13 GMT+03:00 Vincent Bernat :
> ❦ 1 septembre 2016 16:15 CEST, julien :
>
> > J'ai un besoin aujourd'hui d'un service qui a besoin que la réponse à une
> > requête du style:
> > dig t...@ecute.org change selon l'ASN number de l'IP d'origine.
> > Est-ce que vous connaissez une solution (Open source ou Propriétaire) qui
> > pourrait faire l'affaire ?
>
> Ça se fait pas mal pour la GeoIP. Il faut dans ce cas avoir également le
> support pour EDNS client subnet pour gérer les DNS de Google. PowerDNS
> et gdnsd supportent ça (avec GeoIP, faut voir pour les AS).
> --
> The last thing one knows in constructing a work is what to put first.
> -- Blaise Pascal
>
>
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/
>
---
Liste de diffusion du FRnOG
http://www.frnog.org/
Re: [FRnOG] [TECH] Réponse DNS basé sur l'ASN de l'IP source
❦ 1 septembre 2016 16:15 CEST, julien : > J'ai un besoin aujourd'hui d'un service qui a besoin que la réponse à une > requête du style: > dig t...@ecute.org change selon l'ASN number de l'IP d'origine. > Est-ce que vous connaissez une solution (Open source ou Propriétaire) qui > pourrait faire l'affaire ? Ça se fait pas mal pour la GeoIP. Il faut dans ce cas avoir également le support pour EDNS client subnet pour gérer les DNS de Google. PowerDNS et gdnsd supportent ça (avec GeoIP, faut voir pour les AS). -- The last thing one knows in constructing a work is what to put first. -- Blaise Pascal --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Réponse DNS basé sur l'ASN de l'IP source
Hello, Si tu es pour avoir une table de correspondance, tu peut aussi jouer avec les vues bind. Ca réponds un fichier de zone différent en fonction de l'IP source. Quel est le besoin précis? Est-ce quelques réponses spécifiques pour max 5/10 ASN + une réponse par défaut? Quelle tolérance à l'erreur? Cordialement, Le 2016-09-01 16:24, David Ponzone a écrit : J’en connais pas d’existant, mais par contre, avec PowerDNS et ça: https://doc.powerdns.com/md/authoritative/backend-pipe/ tu dois pouvoir en bricoler assez facilement. T’as plus qu’à importer la table de routage toutes les 24h dans une DB, et écrire le script dans le language de ton choix. Le 1 sept. 2016 à 16:15, julien a écrit : Bonjour, J'ai un besoin aujourd'hui d'un service qui a besoin que la réponse à une requête du style: dig t...@ecute.org change selon l'ASN number de l'IP d'origine. Est-ce que vous connaissez une solution (Open source ou Propriétaire) qui pourrait faire l'affaire ? Merci d'avance Julien --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Réponse DNS basé sur l'ASN de l'IP source
J’en connais pas d’existant, mais par contre, avec PowerDNS et ça: https://doc.powerdns.com/md/authoritative/backend-pipe/ tu dois pouvoir en bricoler assez facilement. T’as plus qu’à importer la table de routage toutes les 24h dans une DB, et écrire le script dans le language de ton choix. > Le 1 sept. 2016 à 16:15, julien a écrit : > > Bonjour, > > J'ai un besoin aujourd'hui d'un service qui a besoin que la réponse à une > requête du style: > dig t...@ecute.org change selon l'ASN number de l'IP d'origine. > Est-ce que vous connaissez une solution (Open source ou Propriétaire) qui > pourrait faire l'affaire ? > > Merci d'avance > > Julien > > --- > Liste de diffusion du FRnOG > http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
[FRnOG] [TECH] Réponse DNS basé sur l'ASN de l'IP source
Bonjour, J'ai un besoin aujourd'hui d'un service qui a besoin que la réponse à une requête du style: dig t...@ecute.org change selon l'ASN number de l'IP d'origine. Est-ce que vous connaissez une solution (Open source ou Propriétaire) qui pourrait faire l'affaire ? Merci d'avance Julien --- Liste de diffusion du FRnOG http://www.frnog.org/
