<div dir="ltr"><div dir="ltr"><div>Hi Steffan,</div><div><br></div><div>Generally speaking I would recommend the public facing IPs of your authoritative nameservers to be dnsdist only and to keep your pdns auth backend servers "hidden" behind other IPs. How you distribute the load depends a lot on your environment and architecture, so it is a bit difficult to give advice there. You could then only allow incoming requests to your pdns auth servers from the dnsdist servers only, so they cannot be targeted directly, if you really don't want them to be publically accessible.</div><div><br></div><div>But before changing your setup, I would also invest a little more time in understanding what kind of attack brought down your pdns auth servers and figure out if there is something else you can do to mitigate these attacks. The traditional SQL backends are notably sensitive to PRSD attacks, adding more auth backend servers to a dnsdist only works to some extent. You might want to consider the possibility of switching to the LMDB backend if you're dealing with that kind of attacks.</div><div><br></div><div><div dir="ltr" class="gmail_signature"><div><font color="#000000" style="font-size:12.8px"><span style="font-size:12.8px">With kind regards,</span><br style="font-size:12.8px"></font></div><div dir="ltr"><font color="#000000" style="font-size:12.8px"><span style="font-size:12.8px">Michel Otte</span></font> <br></div></div></div><br></div><br><div class="gmail_quote gmail_quote_container"><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex"><div class="msg2503797944626727481">
<div lang="NL" style="overflow-wrap: break-word;"><div class="m_2503797944626727481WordSection1"><p class="MsoNormal">Hello All,<u></u><u></u></p><p class="MsoNormal"><u></u> <u></u></p><p class="MsoNormal"><span lang="EN-US">I had the following setup:<br>server ns1:<u></u><u></u></span></p><p class="MsoNormal"><span lang="EN-US">Dnsdist -> 127.0.0.1 pdns<br>sql backend replicated database<br>Server ns2:<u></u><u></u></span></p><p class="MsoNormal"><span lang="EN-US">DNSdist -> 127.0.0.1 pdns sql backend replicated database<u></u><u></u></span></p><p class="MsoNormal"><span lang="EN-US"><u></u> <u></u></span></p><p class="MsoNormal"><span lang="EN-US">Last week I was attacked 3 times.<u></u><u></u></span></p><p class="MsoNormal"><span lang="EN-US">Flooding my system <br>yesterday 53 miljioen hits in 10 minutes<u></u><u></u></span></p><p class="MsoNormal"><span lang="EN-US"><u></u> <u></u></span></p><p class="MsoNormal"><span lang="EN-US">Im now on nawas DDOs temperarly<br>That was the online way to stop it.<u></u><u></u></span></p><p class="MsoNormal"><span lang="EN-US"><br>I now splitted my DNS server (multiple resellers)<br>and the above setup is now 3 times so separate the load.<u></u><u></u></span></p><p class="MsoNormal"><span lang="EN-US"><u></u> <u></u></span></p><p class="MsoNormal"><span lang="EN-US">The question…<br>What is the best way now<br>keep this setup <br>- 6x dnsdist<br>- 6 different ns servers<u></u><u></u></span></p><p class="MsoNormal"><span lang="EN-US"><u></u> <u></u></span></p><p class="MsoNormal"><span lang="EN-US">Or should I use one dnsdist that connects tyo the 6 dns servers for load balancing<u></u><u></u></span></p><p class="MsoNormal"><span lang="EN-US">My idee was to keep this setup and then let all 6 dnsdist connect to the 6 servers so if there are problems I can remove a dns from one of the 6<u></u><u></u></span></p><p class="MsoNormal"><span lang="EN-US">But how to do that without exposing pdns to the public<u></u><u></u></span></p><p class="MsoNormal"><span lang="EN-US"><u></u> <u></u></span></p><p class="MsoNormal"><span lang="EN-US">Sorry im dutch </span><span lang="EN-US" style="font-family:"Segoe UI Emoji",sans-serif">😊</span><span lang="EN-US"><br>Hope I made myself clear<u></u><u></u></span></p><p class="MsoNormal"><span lang="EN-US"><u></u> <u></u></span></p><p class="MsoNormal"><span lang="EN-US">With regards<u></u><u></u></span></p><p class="MsoNormal"><span lang="EN-US"><br>Steffan<u></u><u></u></span></p></div></div>_______________________________________________<br>
dnsdist mailing list<br>
<a href="mailto:dnsdist@mailman.powerdns.com" target="_blank">dnsdist@mailman.powerdns.com</a><br>
<a href="https://mailman.powerdns.com/mailman/listinfo/dnsdist" rel="noreferrer" target="_blank">https://mailman.powerdns.com/mailman/listinfo/dnsdist</a><br>
</div></blockquote></div></div>