Мне нужно управлять одним сервером с включенной службой Open DNS. В последнее время неизвестные интернет-злоумышленники активно использовали его для атак с усилением ddos dns. Эта служба DNS используется некоторыми программами localhost и клиентами интрасети таким образом, что я не совсем понимаю, поэтому я опасаюсь любых изменений конфигурации самой службы DNS. Однако я подумал, что если я отклоню все запросы DNS из внешнего Интернета, это может решить мои проблемы.
Мои вопросы:
1) Как отклонить все DNS-запросы из внешнего Интернета с помощью iptables, оставив локальный хост и интрасеть (IP: 10.0.0.X и 10.0.1.X) нетронутыми?
2) Не повредит ли это удобству использования службы DNS из интрасети?
3) Не повредит ли это удобству использования других интернет-сервисов (web + mail + db) на сервере?
Все используемые в настоящее время домены на наших веб-сайтах управляются другой компанией на их сервере, и, насколько мне известно, никому из внешнего Интернета не нужен доступ к нашей службе DNS.
Спасибо.
Для этого вам не нужен Netfilter / iptables. Все программы рекурсивных серверов имен позволяют вам отвечать только в локальной сети. Предполагая, что ваша сеть 10.1.0.0/16, с Unbound:
access-control: 0.0.0.0/0 refuse
access-control: 10.1.0.0/16 allow
С BIND:
acl mynet {
10.1.0.0/16;
};
allow-recursion { mynet; };
allow-query-cache { mynet; };
Самый простой способ удалить доступ извне - заблокировать весь внешний доступ к порту 53 UDP (и, возможно, TCP), что остановит обслуживание запросов извне, но оставит исходящий трафик на порт 53 открытым, чтобы он мог делать рекурсивные запросы. для ваших внутренних серверов.
Если вы собираетесь предложить рекурсивный сервер имен в Интернете, желательно, чтобы вы хорошо знали о безопасности и конфигурации своего сервера. В противном случае оставьте это профессионалам или службам хостинга.