Versão Imprimível
Amigos,
Tenho um servidor DNS, e gostaria de liberar a consulta apenas para os IPs da minha rede, sem prejudicar o bom funcionamento do servidor DNS.
Já implementei todas as seguranças no Bind, mas gostaria de melhorar ainda mais a segurança, autorizando a consulta apenas para meus IPs.
Tive algumas ideias, mas gostaria da ideia da comunidade.
Abraço.
Flavio teria como vc me add no msn XXXXXXXXXXXXXXXXX tenho um dns rodando com alguns segurança, a gente poderia trocar ideias. flow
Então, se for o bind, o próprio tem ACL.
Código :acl permitido { 192.168.0.0/24; 127.0.0.1; 2001:1291:201::/48; ::1; }; options { directory "/var/named"; pid-file "/var/run/named/named.pid"; auth-nxdomain yes; datasize default; querylog yes; statistics-file "/var/run/named/named.stats"; #tkey-gssapi-credential "DNS/cybernetica.com"; #tkey-domain "CYBERNETICA.COM"; // Uncomment these to enable IPv6 connections support // IPv4 will still work: listen-on-v6 { any; }; // Add this for no IPv4: check-names master ignore; check-names slave ignore; listen-on port 53 { 192.168.0.1; 127.0.0.1; }; // Default security settings. allow-recursion { permitido; }; allow-transfer { permitido; }; allow-update { permitido; }; allow-query { permitido; }; allow-query-cache { permitido; }; version none; hostname none; server-id none; };
Creio que dá para colocar por zona também. Eu coloquei global.
Tenho o costume de perguntar, antes de mais nada:
O seu servidor vai ser autoritativo ou recursivo ??
- Autoritativo -> voce vai hospedar dominios nele
- Recursivo -> Maquinas usam o servidor para consultas DNS.
Dicas caso voce tenha os 2 serviços em um daemon apenas:
- Na configuração global permita recursividade APENAS para os ips da sua rede.
- Permita QUERIES apenas nas zonas em que seu servidor é autoritativo !
- Crie VIEWS para separar o trafego.
minha recomendação: Um servidor para cada finalidade, tudo separado.. fica mais seguro e menos complicado !
Alexandre,
Meu servidor é recursivo, utilizarei apenas para consulta dos meus clientes.
O DNS para hospedagem roda em outra máquina e está funcionando perfeito.
O que sugere para deixar esse server bem seguro?
Alguma regra de firewall ou manipúlando apenas as acl do bind resolve? Dá uma dica ai.
Grato.
Abraços.
firewall sempre tem q ter.. permita apenas entrada e saida nas portas 53 tcp e 53 udp ...
e faça as acls no servidor dns.. permitindo somente seus clientes consultarem.. inclusive a porta 53 de ENTRADA vc pode permitir apenas seus clientes... (saida precisa ficar liberada)
pode ainda, para melhorar a performance, indicar alguns servidores como forwarders, o dns publico do google é bom para isto :)
Alexandre,
Como faço para permitir apenas acesso a porta 53 aos meus clientes?
Grato.
Alexandre????
iptables !!!
iptables -N DNS
iptables -t filter -I INPUT -p udp --dport 53 -j DNS
iptables -t filter -I INPUT -p tcp --dport 53 -j DNS
iptables -t filter -A DNS -s <sua.rede> -j ACCEPT
iptables -t filter -A DNS -j REJECT
Bacana Alexandre, ficou chique as regras no firewall heim.
Valew pela ajuda mesmo.
Alexandre,
Queria trocar só mais uma idéia contigo sobre um firewall de borda. Tem como você enviar um e-mail seu?
Grato.
Flavio, eu to querendo montar um servidor dns junto ao meu proxy que hoje roda o squid e thundercache. Teria sera que ficaria bom ou é melhor eu montar em um servidor separado dele ?
poste a duvida no forum que eu e os demais colegas responderemos :)
dúvidas em PVT fogem do fórum, e o que pode te ajudou, pode ajudar mais usuários ... :)
Entendi sim alexandre desculpe pela pvt que deixei nos primeiros post.
Queria saber se é aconselhavel montar o servidor de dns, junto ao squid e thundercache ?
Citação:
Postado originalmente por alexandrecorrea
tudo depende ...
eu prefiro ter serviços separados.. inclusive os dns separados (dns autoritativo em um servidor, dns recursivo em outro) ... proxy com dns local apenas.. (somente o proxy iria usar este dns local)...
isso tudo depende de vários fatores.. tipo: carga, acesso, etc !!
se o movimento é pequeno.. nao justificaria separar tudo..
Meu fããã rsrs
Desculpa ser franco mais eu não entendi nada. Eu tava querendo colocar o servidor de dns, para o proxy e dns para os clientes, com o bin9 eu faço isso certo?
A trafego que passo não passa de 20 megas. Cliente no maximo 70 online sou pequeno mais tento ao maximo serviço de qualidade.
Vo estudar mais para conversamos na mesma altura de conhecimento hehe pois viajei na sua explicação =D
obrigado por tudo !
Citação:
Postado originalmente por alexandrecorrea
olha so..
tanto o proxy como os seus clientes precisam de um dns local (recursivo), dns autoritativo é pra quando voce hospeda algum dominio ou cadastra reversos de ips...
uma ideia é vc montar um bind em uma maquina mais simples.. com 1 gb de ram.. e um linux bem SIMPLEs .. e ativar forwarding para os dns do google... fica muito bom e rapido..
resolve seu problema faznedo isso.. :P
Muito obrigado Alexandre vou correr atras da maquina para pode testar aqui, para o mk usar ele como dns somente eu apontar o ip do linux para o IP>DNS do mikrotik certo ?
Citação:
Postado originalmente por alexandrecorrea
eh.. ja é um começo.. mas o dns do mikrotik ja ouvi falar que algumas vezes da problema (nao sei se isso eh correto)..
mas funciona.. eu mesmo ja testei ...
Teria outra maneira dele usar o dns que montarei ? Sem setar no ip>dns ?
Citação:
Postado originalmente por alexandrecorrea