<html>

  <head>

    <meta http-equiv="Content-Type" content="text/html; charset=UTF-8">

  </head>

  <body>

    <div class="moz-cite-prefix">On 4/6/22 11:18, Brian Candler wrote:<br>

    </div>

    <blockquote type="cite"

      cite="mid:dbbfdba8-a35d-81c7-84dd-83b1484b4fd7@pobox.com">If I

      understand that right: you have dnsdist and auth running on the

      local server, and recursor is on a remote server?

      <br>

      <br>

      If your requirements are simple, for basic DNS querying you may

      not need dnsdist at all.  Just run the recursor on port 53, and

      use forward-zones / forward-zones-recurse as you do today. Looking

      at your config though, maybe it's to do with AXFR/IXFR

      requirements though.

      <br>

      <br>

      <br>

      <blockquote type="cite">Any idea ? I can definitely make TCPDumps

        at some point but I'm not sure to able to understand them ;-)

        <br>

      </blockquote>

      If the above statement is true, you'll need two simultaneously, in

      separate windows:

      <br>

      <br>

      tcpdump -i lo -nn -s0 -v port 53 or port 5353

      <br>

      <br>

      tcpdump -i eth0 -nn -s0 -v port 53

      <br>

      <br>

      It should decode the packets for you, so it should be clear.

      (Except port 5353. New version of tcpdump have "-T domain" to

      force decoding as DNS, but you'll need a very recent version;

      Ubuntu 20.04 is not new enough)

      <br>

      <br>

      The tcpdumps will show:

      <br>

      <br>

      - queries from dig to dnsdist (53) and dnsdist to auth (5353)

      <br>

      - queries from dnsdist to recursor

      <br>

      <br>

    </blockquote>

    <p>No I have actually three identical servers shared a MySQL cluster

      used as PowerDNS backend for authoritative zones</p>

    <p>I need some recursion / logging facilities so I added on top of

      them (same machine) pdns-recursor or dnsdist. I first went for

      recursor but ended up thinking dnsdist was more flexible

      (especially on filtering updates / axfr, you're right).</p>

    <p>That's why I basically have both of them available on each server

      and can very easily switch between them for testing purpose.</p>

    <p>I'll check the tcpdump thinggy, should be trivial task to

      backport Debian's version to stable.</p>

    <p><br>

    </p>

    <p>Adam.<br>

    </p>

    <div id="grammalecte_menu_main_button_shadow_host" style="width:

      0px; height: 0px;"></div>

  </body>

</html>