Hoje venho escrever sobre um papo que tive com um amigo de longa data, o Tiago Felipe Gonçalves. Estávamos conversando sobre DNS e especificamente sobre o BIND. Aqui na empresa já tem alguns anos que separamos os serviços em suas VMs e com a questão do DNS não foi diferente. O DNS trabalha basicamente para nós, meros mortais, como sendo Autoritativo ou Recursivo. Sendo o Autoritativo responsável pela administração dos domínios que você controla na sua empresa e o Recurso responsável pela resolução de nomes na Internet já que sem ele não conseguiríamos navegar ou acessar qualquer serviço através dos nomes. Imaginem ter que ficar decorando os IPs. rsrsrsrs o tão usado virtual hosts dos servidores web nem funcionariam.

O BIND é um programa desenvolvido pela ISC (Internet Systems Consortium) e é sem dúvida o sistema mais utilizado no mundo para DNS mas este teve uma época negra com diversas vulnerabilidades exploradas o que fez ele ter um apelido carinhoso de o Queijo Suiço, de tantos furos que ele tinha. O BIND é bem completo e faz as duas coisas que necessitamos, o Autoritativo e o Recursivo mas não precisamos ter os dois no mesmo lugar e fazendo as duas coisas. Pensando em performance e segurança entra em cena a NLnet Labs que desenvolveu o Unbound (DNS Recursivo) e o NSD (DNS Autoritativo). O primeiro ficou muito famoso e considerado o DNS Recursivo mais rápido da Internet e hoje venho falar do NSD.

O NSD tem a estrutura de configuração parecida com o do seu irmão Unbound, ele não faz cache e não resolve nada que não seja controlado por ele, ou seja, faz o que se propõe apenas que é servir como DNS Autoritativo para os seus domínios e reversos IPv4 e IPv6. Um outro fato interessante é que a syntax das zonas é a mesma usada pelo BIND, ou seja, você vai aproveitar todos os seus arquivos de zonas exatamente como eles estão. Isso não só mantém a curva de aprendizado baixa como simplifica toda uma migração. Além disso o NSD é extremamente rápido e seguro assim como seu irmão Unbound.

O que aconselho em sua estrutura de ISP é ter ambos os serviços separados e bem definidos. Ah! O NSD é usado inclusive em alguns Root Servers que mantém nossa Internet funcionando.

Para ajudar à entender melhor o NSD na sua migração, tem esse tutorial para Ubuntu na DigitalOcean, mas que serve muito bem para ser usado em FreeBSD ou qualquer outro sistema.