Navigacija
Lista poslednjih: 16, 32, 64, 128 poruka.

Pitanje vezano za DNS

[es] :: Wireless :: Mikrotik :: Pitanje vezano za DNS

[ Pregleda: 2072 | Odgovora: 13 ] > FB > Twit

Postavi temu Odgovori

Autor

Pretraga teme: Traži
Markiranje Štampanje RSS

Kolins Balaban
Kolins Balaban
Srednja bosna

Član broj: 4847
Poruke: 1318
212.39.125.*

ICQ: 166070540


+8 Profil

icon Pitanje vezano za DNS05.12.2015. u 17:56 - pre 63 meseci
Pozdrav radni narode. Nije me dugo bilo ovdje :D ako vas mogu zamoliti za malu pomoc. Naime, da li je pravilo, i da li je preporucljivo, da core router, ili backbone, koji je veza izmedju jedne vece mreze i natprovidera bude ujedno i DNS server (Allow Remote Requests). Radi se o uredjaju RB1100. Također, skoro svi susjedni routeri su podešeni tako da im je primarni DNS upravo glavni router, i vidim da je taj router zakucan na 100%, a najvise resursa uzima upravo DNS servis. Da li je pametno preostalim routerima podesiti DNS od natprovidera (ili googleov DNS) umjesto glavnog routera kako bi se glavni router oslobodio tog dijela DNS request-ova? Hvala unaprijed :)
MyCoNfa:
CPU: AMD Phenom II X4 965 3,4GHz BOX
Maticna:Asus M4A89GTD PRO
RAM: Corsair 4x2GB 1600MHz, 9-9-9-24
Grafa: Diamond ATI 5870 1GB
HDD:3xWD 320GB AAKS, stripe raid
DVD/RW:LG,SATA
SilverStone SST-ST50F 500W
CoolerMaster CM690
LG 24" 2453TQ-PF
Tastatura A4Tech X7 G800
Stakor: A4Tech X7-755FS
 
Odgovor na temu

rajco

Član broj: 19348
Poruke: 1019

Sajt: rajco.me/blog


+44 Profil

icon Re: Pitanje vezano za DNS05.12.2015. u 18:34 - pre 63 meseci
Vrlo verovatno da ti je DNS vidljiv spolja pa je služio za određene napade. Proveri broj DNS konekcija i količinu saobraćaja. Ako uključiš allow remote request moraš na wan interfejsima zabraniti DNS udp i tcp input...
rajco.me/blog

 
Odgovor na temu

Mile-Lile
Beograd

Član broj: 269936
Poruke: 1156
*.dynamic.isp.telekom.rs.



+79 Profil

icon Re: Pitanje vezano za DNS05.12.2015. u 21:42 - pre 63 meseci
čak i ne moraju biti napadi. Tendencija DNS provajdera je da se sve više koristi ANYCAST (DNS upiti se prosleđuju do najbližeg rutera kako bi se smanjila latencija). Ako podesi da firewall dropuje sve tcp/udp zahteve na port 53 spolja (INPUT chain) opet opterećuje CPU...može li se DNS RouterOS-a podesiti da sluša samo na lokalnim interfejsima (tipa 127.0.0.1 i 192.168.88.1)? Znam da Linuxima to može... trebalo bi da i MT može...
 
Odgovor na temu

milosbeo
Loading...

Član broj: 220015
Poruke: 438
*.dynamic.sbb.rs.

Sajt: www.umrezen.in.rs


+82 Profil

icon Re: Pitanje vezano za DNS05.12.2015. u 23:52 - pre 63 meseci
^^ kao da sam ponovo slusao Krajka na #rsnog-u i DNS Rutiranje :)
Za DNS je bolje da podignes odvojenu linux masinu. Ukoliko nemas fw filter, sigurno je da si bio deo reflektivnog DNS napada i da si ukucao taj RB.

 
Odgovor na temu

Kolins Balaban
Kolins Balaban
Srednja bosna

Član broj: 4847
Poruke: 1318
212.39.125.*

ICQ: 166070540


+8 Profil

icon Re: Pitanje vezano za DNS06.12.2015. u 15:51 - pre 63 meseci
Hvala na odgovorima. Znaci imam par opcija opcija:

a) da iskljucim Allow Remote requests i na svim routerima podesim natproviderov DNS dok ne dignem interni DNS za svoju mrezu.
b) da uključim Allow Remote Requests, drupujem dolazni saobracaj na portu 53 na wan interefejsu sem onog koji koji dolazi sa DNS forwardera podesenog na mikrotiku (natproviderovog DNS servera)

Sta preporucujete od DNS servera? BIND9? Pretpostavljam da mi ne treba neka jaka masina za to :)
MyCoNfa:
CPU: AMD Phenom II X4 965 3,4GHz BOX
Maticna:Asus M4A89GTD PRO
RAM: Corsair 4x2GB 1600MHz, 9-9-9-24
Grafa: Diamond ATI 5870 1GB
HDD:3xWD 320GB AAKS, stripe raid
DVD/RW:LG,SATA
SilverStone SST-ST50F 500W
CoolerMaster CM690
LG 24" 2453TQ-PF
Tastatura A4Tech X7 G800
Stakor: A4Tech X7-755FS
 
Odgovor na temu

klikton

Član broj: 287653
Poruke: 68



+2 Profil

icon Re: Pitanje vezano za DNS06.12.2015. u 17:08 - pre 63 meseci
Pa msm da ti jedina opcija BIND :)
Ukoliko se ne snalazis najbolje sa cli-em lupi mu webmina. Mada iz nekih poslednjih dana, meni je bas lakse preko cli-a.

Ali opet,easy fix ti je da stavis drop 53 na dolazni ethernet.
 
Odgovor na temu

Predrag Supurovic
Pedja YT9TP
Užice

Član broj: 157129
Poruke: 5957

Sajt: pedja.supurovic.net


+1446 Profil

icon Re: Pitanje vezano za DNS07.12.2015. u 00:13 - pre 63 meseci
Ako ti treba kesing server kao sto je taj na Mikrotiku onda prosto digni jos jedan Mikrotik kome ce to biti uloga.

Mada, mislim da ce ti blokiranje portova resiti problem. Na par mesta sam imao problem sa preopterecenjem rutera nepotrebnim upitima spolja pa sam dropovao te konekcije (Mikrotik ne moze da binduje servis samo na izabrane interfejse) i to je resilo stvar.
 
Odgovor na temu

Kolins Balaban
Kolins Balaban
Srednja bosna

Član broj: 4847
Poruke: 1318
212.39.125.*

ICQ: 166070540


+8 Profil

icon Re: Pitanje vezano za DNS07.12.2015. u 01:53 - pre 63 meseci
Hvala na odgovoru Predrag. Pretpostavljam da je ovo dovoljno :)

http://rickfreyconsulting.com/...oTik-DNS-Attack-Prevention.txt
MyCoNfa:
CPU: AMD Phenom II X4 965 3,4GHz BOX
Maticna:Asus M4A89GTD PRO
RAM: Corsair 4x2GB 1600MHz, 9-9-9-24
Grafa: Diamond ATI 5870 1GB
HDD:3xWD 320GB AAKS, stripe raid
DVD/RW:LG,SATA
SilverStone SST-ST50F 500W
CoolerMaster CM690
LG 24" 2453TQ-PF
Tastatura A4Tech X7 G800
Stakor: A4Tech X7-755FS
 
Odgovor na temu

klikton

Član broj: 287653
Poruke: 68



+2 Profil

icon Re: Pitanje vezano za DNS07.12.2015. u 10:52 - pre 63 meseci
Meni je radio posao i ovo samo...

add action=drop chain=input comment="Drop spoljni DNS" dst-port=53 \
in-interface=eth1 protocol=udp

E sad,zavisi sta ti treba, pa je onda ovo varijacija na temu.. Dodaj add listu itd..
 
Odgovor na temu

rajco

Član broj: 19348
Poruke: 1019

Sajt: rajco.me/blog


+44 Profil

icon Re: Pitanje vezano za DNS07.12.2015. u 11:11 - pre 63 meseci
Kao što sam pomenuo potrebno je dodati i UDP i TCP pravilo. Velika većina DNS zahteva je UDP, ali određeni procenat je po TCP(za vece zahteve), možeš staviti LOG pravilo pa ispratiti...
rajco.me/blog

 
Odgovor na temu

Sleepless_mind
Bojan Vranac
NetLogic D.O.O.
01000010 01000111 0100010

Član broj: 33611
Poruke: 564
*.exe-net.net.

Jabber: wizard[at]elitesecurity.org
ICQ: 12413605
Sajt: www.netlogic.rs


+34 Profil

icon Re: Pitanje vezano za DNS07.12.2015. u 11:12 - pre 63 meseci
Citat:
Kolins Balaban:
Hvala na odgovoru Predrag. Pretpostavljam da je ovo dovoljno :)

http://rickfreyconsulting.com/...oTik-DNS-Attack-Prevention.txt


Pre nego postavis ovakva pravila, cisto jos jedno iskustvo, da smo imali za par sati milione IP adresa na listi. :)
Bolje postavi neki timeout za listu, pa da automatski skida i dodaje sta je potrebno.
We are Borg. We shall assimilate you.
RESISTANCE IS FUTILE!

Asus P6T Deluxe V2
Intel Core i7 965 3.2GHz
OCZ 3x2GB DDR3 PC3-12800 Flex EX Low Voltage Triple Channel
2x1000GB Spinpoint F1
ATI Radeon HD5970
Lian Li PC-P80R
Samsung T240

www.me2everyone.com/213043
 
Odgovor na temu

Kolins Balaban
Kolins Balaban
Srednja bosna

Član broj: 4847
Poruke: 1318
92.36.194.*

ICQ: 166070540


+8 Profil

icon Re: Pitanje vezano za DNS07.12.2015. u 12:54 - pre 63 meseci
Hvala na sugestiji kolega. Probao sam ovo sinoc, i za manje od pola sata sam imao na listi preko 5000 adresa :) ovaj router je doslovno otvoreni DNS server.
MyCoNfa:
CPU: AMD Phenom II X4 965 3,4GHz BOX
Maticna:Asus M4A89GTD PRO
RAM: Corsair 4x2GB 1600MHz, 9-9-9-24
Grafa: Diamond ATI 5870 1GB
HDD:3xWD 320GB AAKS, stripe raid
DVD/RW:LG,SATA
SilverStone SST-ST50F 500W
CoolerMaster CM690
LG 24" 2453TQ-PF
Tastatura A4Tech X7 G800
Stakor: A4Tech X7-755FS
 
Odgovor na temu

Predrag Supurovic
Pedja YT9TP
Užice

Član broj: 157129
Poruke: 5957

Sajt: pedja.supurovic.net


+1446 Profil

icon Re: Pitanje vezano za DNS07.12.2015. u 14:18 - pre 63 meseci
Ne moras da komplikujes, svaki DNS upit koji dolazi spolja je (ako nemas neke specificnosti) spam. Samo ih ubijaj ovako kako je klikton predlozio.


 
Odgovor na temu

Kolins Balaban
Kolins Balaban
Srednja bosna

Član broj: 4847
Poruke: 1318
212.39.125.*

ICQ: 166070540


+8 Profil

icon Re: Pitanje vezano za DNS08.12.2015. u 16:54 - pre 63 meseci
Hvala kolegama. Odabrao sam najjednostavniju varijantu :) blockirao UDP i TCP dolazni DNS port.
MyCoNfa:
CPU: AMD Phenom II X4 965 3,4GHz BOX
Maticna:Asus M4A89GTD PRO
RAM: Corsair 4x2GB 1600MHz, 9-9-9-24
Grafa: Diamond ATI 5870 1GB
HDD:3xWD 320GB AAKS, stripe raid
DVD/RW:LG,SATA
SilverStone SST-ST50F 500W
CoolerMaster CM690
LG 24" 2453TQ-PF
Tastatura A4Tech X7 G800
Stakor: A4Tech X7-755FS
 
Odgovor na temu

[es] :: Wireless :: Mikrotik :: Pitanje vezano za DNS

[ Pregleda: 2072 | Odgovora: 13 ] > FB > Twit

Postavi temu Odgovori

Navigacija
Lista poslednjih: 16, 32, 64, 128 poruka.