Le 01/02/2012 19:18, Wallace a écrit :
Bonjour,
Les entrées dns pour la résolution sont testé dans l'ordre, les clients essayent donc le premier serveur, attendent le timeout, puis le second qui répond.
Bonjour,
j'ai aussi été confronté à ce problème. Le seul moyen qu'on a trouvé de combattre des spammeurs sans blacklister des pays entiers, c'était de faire une résolution inverse sur l'IP du client. Comme ils sont malin, ils peuvent utiliser une IP whitelisté pour se logger, puis une autre IP une fois loggé. On doit donc faire cette résolution inverse à chaque appel PHP.
Ce qui représente 400 requêtes PTR par seconde sur les resolvers Bind.
Pour ça j'ai mis en place cette archi : chaque frontal PHP a son PowerDNS recursor pour le cache local, qui interroge 2 serveurs resolvers sous Bind9 avec chacun une VIP et ucarp pour répartir les VIP. Le resolv.conf ressemble à ça : nameserver 127.0.0.1 nameserver 10.0.10.1 nameserver 10.0.10.2
depuis, je n'ai plus aucun problème, et les résolutions sont plus rapides qu'avec Bind9.