Перейти до

iptables dns блок всякой гадоcти


Рекомендованные сообщения

привет. вот сегодня поигрался с unbound dns на убунте. днс работает, все ок.

но вот хотелось чтобы нелезли всякие вирусняки и т.д. через него.

на свою логики + гугл накатал несколько базовых правил.

вот что получилось:

#DNS MX type
-A INPUT -p udp --dport 53 -m state --state NEW -m string --algo kmp --hex-string "|00 0F 00 01|" -m recent --set --name MXFLOOD --rsource
-A INPUT -p udp --dport 53 -m state --state NEW -m string --algo kmp --hex-string "|00 0F 00 01|" -m recent --update --seconds 60 --hitcount 5 --rttl --name MXFLOOD -j DROP
-A INPUT -p udp --dport 53 -m string --algo kmp --hex-string "|00 0F 00 01|" -j ACCEPT
#DNS standart
-A INPUT -i lo -j ACCEPT
-A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT
-A OUTPUT -p udp -m udp --sport 53 --dport 1024:65535 -j ACCEPT
-A INPUT -s 91.ХХХ.ХХХ.0/23 -p udp -m udp --dport 53 -j ACCEPT блок моих ip
-A INPUT -s 91.ХХХ.ХХХ.0/22 -p udp -m udp --dport 53 -j ACCEPT  блок моих ip
-A INPUT -s 91.ХХХ.ХХХ.0/23 -p udp -m udp --dport 53 -j ACCEPT   блок моих ip
-A INPUT -p udp --dport 53 -j DROP

 

все как бы ничего, но беру :

dnstop vlan2 -i 91.ХХХ.ХХХ.224 (смотри скрин)

и вижу картину которая мне кажется что не такая должна быть...что На peacecorps.gov 30-40% запросов...

как правильно свой ДНС защитить?

 

дайте правильный фаервол)

ddd.png

Ссылка на сообщение
Поделиться на других сайтах

1) смотреть на входном интерфейсе тем же dnstop ну или всякие там лимит правила iptables  с заносом в лог. Что-то вроде

-A FORWARD -p udp -m udp --dport 53 -m state --state NEW -m recent --set --name DNS --rsource
-A FORWARD -p udp -m udp --dport 53 -m state --state NEW -m recent --update --seconds 60 --hitcount 100 --rttl --name DNS --rsource -j LOG --log-prefix "DNS_FLOODER"

ну и блочить в случае сверхлимита
-A FORWARD -p udp -m udp --dport 53 -m state --state NEW -m recent --update --seconds 60 --hitcount 100 --rttl --name DNS --rsource -j DROP

 

2) ну такое себе. Если он кеширующий резолвер - то достаточно поднять только на внутреннем интерфейсе, тогда всякие dns-amplification будут побоку.

Ссылка на сообщение
Поделиться на других сайтах
Опубліковано: (відредаговано)
7 минут назад, Dimkers сказал:

1) смотреть на входном интерфейсе тем же dnstop ну или всякие там лимит правила iptables  с заносом в лог. Что-то вроде

-A FORWARD -p udp -m udp --dport 53 -m state --state NEW -m recent --set --name DNS --rsource
-A FORWARD -p udp -m udp --dport 53 -m state --state NEW -m recent --update --seconds 60 --hitcount 100 --rttl --name DNS --rsource -j LOG --log-prefix "DNS_FLOODER"

ну и блочить в случае сверхлимита
-A FORWARD -p udp -m udp --dport 53 -m state --state NEW -m recent --update --seconds 60 --hitcount 100 --rttl --name DNS --rsource -j DROP

 

2) ну такое себе. Если он кеширующий резолвер - то достаточно поднять только на внутреннем интерфейсе, тогда всякие dns-amplification будут побоку.

спасибо.

1) да,он только на внутр интерфейсе

2) поймал гада..просто на бордере отфильтровал несколько адресов с этого сайта которые увидел в том же dnstop 

все спасибо

Відредаговано fastvd
Ссылка на сообщение
Поделиться на других сайтах

Создайте аккаунт или войдите в него для комментирования

Вы должны быть пользователем, чтобы оставить комментарий

Создать аккаунт

Зарегистрируйтесь для получения аккаунта. Это просто!

Зарегистрировать аккаунт

Вхід

Уже зарегистрированы? Войдите здесь.

Войти сейчас
  • Зараз на сторінці   0 користувачів

    Немає користувачів, що переглядають цю сторінку.

×
×
  • Створити нове...