Перейти до

iptables dns блок всякой гадоcти

fastvd

Автор: fastvd,
в Софт

 Share Подписчики 0

Рекомендованные сообщения

fastvd

fastvd 62

Опубликовано:
Опубликовано:

привет. вот сегодня поигрался с unbound dns на убунте. днс работает, все ок.

но вот хотелось чтобы нелезли всякие вирусняки и т.д. через него.

на свою логики + гугл накатал несколько базовых правил.

вот что получилось:

#DNS MX type
-A INPUT -p udp --dport 53 -m state --state NEW -m string --algo kmp --hex-string "|00 0F 00 01|" -m recent --set --name MXFLOOD --rsource
-A INPUT -p udp --dport 53 -m state --state NEW -m string --algo kmp --hex-string "|00 0F 00 01|" -m recent --update --seconds 60 --hitcount 5 --rttl --name MXFLOOD -j DROP
-A INPUT -p udp --dport 53 -m string --algo kmp --hex-string "|00 0F 00 01|" -j ACCEPT
#DNS standart
-A INPUT -i lo -j ACCEPT
-A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT
-A OUTPUT -p udp -m udp --sport 53 --dport 1024:65535 -j ACCEPT
-A INPUT -s 91.ХХХ.ХХХ.0/23 -p udp -m udp --dport 53 -j ACCEPT блок моих ip
-A INPUT -s 91.ХХХ.ХХХ.0/22 -p udp -m udp --dport 53 -j ACCEPT  блок моих ip
-A INPUT -s 91.ХХХ.ХХХ.0/23 -p udp -m udp --dport 53 -j ACCEPT   блок моих ip
-A INPUT -p udp --dport 53 -j DROP

 

все как бы ничего, но беру :

dnstop vlan2 -i 91.ХХХ.ХХХ.224 (смотри скрин)

и вижу картину которая мне кажется что не такая должна быть...что На peacecorps.gov 30-40% запросов...

как правильно свой ДНС защитить?

 

дайте правильный фаервол)

ddd.png

Ссылка на сообщение
Поделиться на других сайтах
Dimkers

Dimkers 1 602

Опубліковано:
Опубліковано:

1) смотреть на входном интерфейсе тем же dnstop ну или всякие там лимит правила iptables  с заносом в лог. Что-то вроде

-A FORWARD -p udp -m udp --dport 53 -m state --state NEW -m recent --set --name DNS --rsource
-A FORWARD -p udp -m udp --dport 53 -m state --state NEW -m recent --update --seconds 60 --hitcount 100 --rttl --name DNS --rsource -j LOG --log-prefix "DNS_FLOODER"

ну и блочить в случае сверхлимита
-A FORWARD -p udp -m udp --dport 53 -m state --state NEW -m recent --update --seconds 60 --hitcount 100 --rttl --name DNS --rsource -j DROP

 

2) ну такое себе. Если он кеширующий резолвер - то достаточно поднять только на внутреннем интерфейсе, тогда всякие dns-amplification будут побоку.

Ссылка на сообщение
Поделиться на других сайтах
fastvd

fastvd 62

Опубліковано:
  • Автор
Опубліковано: (відредаговано)
7 минут назад, Dimkers сказал:

1) смотреть на входном интерфейсе тем же dnstop ну или всякие там лимит правила iptables  с заносом в лог. Что-то вроде

-A FORWARD -p udp -m udp --dport 53 -m state --state NEW -m recent --set --name DNS --rsource
-A FORWARD -p udp -m udp --dport 53 -m state --state NEW -m recent --update --seconds 60 --hitcount 100 --rttl --name DNS --rsource -j LOG --log-prefix "DNS_FLOODER"

ну и блочить в случае сверхлимита
-A FORWARD -p udp -m udp --dport 53 -m state --state NEW -m recent --update --seconds 60 --hitcount 100 --rttl --name DNS --rsource -j DROP

 

2) ну такое себе. Если он кеширующий резолвер - то достаточно поднять только на внутреннем интерфейсе, тогда всякие dns-amplification будут побоку.

спасибо.

1) да,он только на внутр интерфейсе

2) поймал гада..просто на бордере отфильтровал несколько адресов с этого сайта которые увидел в том же dnstop 

все спасибо

Відредаговано fastvd
Ссылка на сообщение
Поделиться на других сайтах

Создайте аккаунт или войдите в него для комментирования

Вы должны быть пользователем, чтобы оставить комментарий

Создать аккаунт

Зарегистрируйтесь для получения аккаунта. Это просто!

Зарегистрировать аккаунт

Вхід

Уже зарегистрированы? Войдите здесь.

Войти сейчас
 Share
Подписчики 0
Перейти до переліку тем

  • Зараз на сторінці   0 користувачів

    Немає користувачів, що переглядають цю сторінку.

×
×
  • Створити нове...