Página 1 de 2 12 ÚltimoÚltimo
+ Responder ao Tópico



  1. #1

    Padrão Firewall para Servidor DNS

    Amigos,

    Tenho um servidor DNS, e gostaria de liberar a consulta apenas para os IPs da minha rede, sem prejudicar o bom funcionamento do servidor DNS.

    Já implementei todas as seguranças no Bind, mas gostaria de melhorar ainda mais a segurança, autorizando a consulta apenas para meus IPs.

    Tive algumas ideias, mas gostaria da ideia da comunidade.

    Abraço.

  2. #2

    Padrão Re: Firewall para Servidor DNS

    Flavio teria como vc me add no msn XXXXXXXXXXXXXXXXX tenho um dns rodando com alguns segurança, a gente poderia trocar ideias. flow
    Última edição por alexandrecorrea; 04-05-2010 às 01:31. Razão: A comunidade é livre, portanto colabore com ajuda para todos.. nada de PVT ok ?



  3. #3
    MODERADOR-CHEFE Avatar de osmano807
    Ingresso
    Aug 2008
    Localização
    Araguari - Minas Gerais
    Posts
    1.985
    Posts de Blog
    5

    Padrão Re: Firewall para Servidor DNS

    Então, se for o bind, o próprio tem ACL.

    Código :
    acl permitido { 192.168.0.0/24; 127.0.0.1; 2001:1291:201::/48; ::1; };
     
    options {
            directory "/var/named";
            pid-file "/var/run/named/named.pid";
            auth-nxdomain yes;
            datasize default;
        querylog yes;
        statistics-file "/var/run/named/named.stats";
     
        #tkey-gssapi-credential "DNS/cybernetica.com";
        #tkey-domain "CYBERNETICA.COM";
     
    // Uncomment these to enable IPv6 connections support
    // IPv4 will still work:
            listen-on-v6 { any; };
    // Add this for no IPv4:
        check-names master ignore;
        check-names slave ignore;
        listen-on port 53 { 192.168.0.1; 127.0.0.1; };
     
            // Default security settings.
            allow-recursion { permitido; };
            allow-transfer { permitido; };
            allow-update { permitido; };
        allow-query { permitido; };
        allow-query-cache { permitido; };
        version none;
        hostname none;
        server-id none;
    };

    Creio que dá para colocar por zona também. Eu coloquei global.

  4. #4

    Padrão Re: Firewall para Servidor DNS

    Tenho o costume de perguntar, antes de mais nada:

    O seu servidor vai ser autoritativo ou recursivo ??

    - Autoritativo -> voce vai hospedar dominios nele
    - Recursivo -> Maquinas usam o servidor para consultas DNS.

    Dicas caso voce tenha os 2 serviços em um daemon apenas:
    - Na configuração global permita recursividade APENAS para os ips da sua rede.
    - Permita QUERIES apenas nas zonas em que seu servidor é autoritativo !
    - Crie VIEWS para separar o trafego.

    minha recomendação: Um servidor para cada finalidade, tudo separado.. fica mais seguro e menos complicado !



  5. #5

    Padrão Re: Firewall para Servidor DNS

    Alexandre,

    Meu servidor é recursivo, utilizarei apenas para consulta dos meus clientes.
    O DNS para hospedagem roda em outra máquina e está funcionando perfeito.

    O que sugere para deixar esse server bem seguro?
    Alguma regra de firewall ou manipúlando apenas as acl do bind resolve? Dá uma dica ai.

    Grato.

    Abraços.

  6. #6

    Padrão Re: Firewall para Servidor DNS

    firewall sempre tem q ter.. permita apenas entrada e saida nas portas 53 tcp e 53 udp ...

    e faça as acls no servidor dns.. permitindo somente seus clientes consultarem.. inclusive a porta 53 de ENTRADA vc pode permitir apenas seus clientes... (saida precisa ficar liberada)

    pode ainda, para melhorar a performance, indicar alguns servidores como forwarders, o dns publico do google é bom para isto



  7. #7

    Padrão Re: Firewall para Servidor DNS

    Alexandre,

    Como faço para permitir apenas acesso a porta 53 aos meus clientes?

    Grato.

  8. #8

    Padrão Re: Firewall para Servidor DNS

    Alexandre????



  9. #9

    Padrão Re: Firewall para Servidor DNS

    iptables !!!

    iptables -N DNS
    iptables -t filter -I INPUT -p udp --dport 53 -j DNS
    iptables -t filter -I INPUT -p tcp --dport 53 -j DNS
    iptables -t filter -A DNS -s <sua.rede> -j ACCEPT
    iptables -t filter -A DNS -j REJECT

  10. #10

    Padrão Re: Firewall para Servidor DNS

    Bacana Alexandre, ficou chique as regras no firewall heim.
    Valew pela ajuda mesmo.



  11. #11

    Padrão Re: Firewall para Servidor DNS

    Alexandre,

    Queria trocar só mais uma idéia contigo sobre um firewall de borda. Tem como você enviar um e-mail seu?

    Grato.

  12. #12

    Padrão Re: Firewall para Servidor DNS

    Flavio, eu to querendo montar um servidor dns junto ao meu proxy que hoje roda o squid e thundercache. Teria sera que ficaria bom ou é melhor eu montar em um servidor separado dele ?



  13. #13

    Padrão Re: Firewall para Servidor DNS

    poste a duvida no forum que eu e os demais colegas responderemos

    dúvidas em PVT fogem do fórum, e o que pode te ajudou, pode ajudar mais usuários ...

  14. #14

    Padrão Re: Firewall para Servidor DNS

    Entendi sim alexandre desculpe pela pvt que deixei nos primeiros post.
    Queria saber se é aconselhavel montar o servidor de dns, junto ao squid e thundercache ?

    Citação Postado originalmente por alexandrecorrea Ver Post
    poste a duvida no forum que eu e os demais colegas responderemos

    dúvidas em PVT fogem do fórum, e o que pode te ajudou, pode ajudar mais usuários ...



  15. #15

    Padrão Re: Firewall para Servidor DNS

    tudo depende ...

    eu prefiro ter serviços separados.. inclusive os dns separados (dns autoritativo em um servidor, dns recursivo em outro) ... proxy com dns local apenas.. (somente o proxy iria usar este dns local)...

    isso tudo depende de vários fatores.. tipo: carga, acesso, etc !!

    se o movimento é pequeno.. nao justificaria separar tudo..

  16. #16

    Padrão Re: Firewall para Servidor DNS

    Meu fããã rsrs

    Desculpa ser franco mais eu não entendi nada. Eu tava querendo colocar o servidor de dns, para o proxy e dns para os clientes, com o bin9 eu faço isso certo?

    A trafego que passo não passa de 20 megas. Cliente no maximo 70 online sou pequeno mais tento ao maximo serviço de qualidade.

    Vo estudar mais para conversamos na mesma altura de conhecimento hehe pois viajei na sua explicação =D

    obrigado por tudo !

    Citação Postado originalmente por alexandrecorrea Ver Post
    tudo depende ...

    eu prefiro ter serviços separados.. inclusive os dns separados (dns autoritativo em um servidor, dns recursivo em outro) ... proxy com dns local apenas.. (somente o proxy iria usar este dns local)...

    isso tudo depende de vários fatores.. tipo: carga, acesso, etc !!

    se o movimento é pequeno.. nao justificaria separar tudo..
    Última edição por mktguaruja; 14-06-2010 às 14:30.



  17. #17

    Padrão Re: Firewall para Servidor DNS

    olha so..
    tanto o proxy como os seus clientes precisam de um dns local (recursivo), dns autoritativo é pra quando voce hospeda algum dominio ou cadastra reversos de ips...

    uma ideia é vc montar um bind em uma maquina mais simples.. com 1 gb de ram.. e um linux bem SIMPLEs .. e ativar forwarding para os dns do google... fica muito bom e rapido..

    resolve seu problema faznedo isso.. :P

  18. #18

    Padrão Re: Firewall para Servidor DNS

    Muito obrigado Alexandre vou correr atras da maquina para pode testar aqui, para o mk usar ele como dns somente eu apontar o ip do linux para o IP>DNS do mikrotik certo ?

    Citação Postado originalmente por alexandrecorrea Ver Post
    olha so..
    tanto o proxy como os seus clientes precisam de um dns local (recursivo), dns autoritativo é pra quando voce hospeda algum dominio ou cadastra reversos de ips...

    uma ideia é vc montar um bind em uma maquina mais simples.. com 1 gb de ram.. e um linux bem SIMPLEs .. e ativar forwarding para os dns do google... fica muito bom e rapido..

    resolve seu problema faznedo isso.. :P



  19. #19

    Padrão Re: Firewall para Servidor DNS

    eh.. ja é um começo.. mas o dns do mikrotik ja ouvi falar que algumas vezes da problema (nao sei se isso eh correto)..

    mas funciona.. eu mesmo ja testei ...

  20. #20

    Padrão Re: Firewall para Servidor DNS

    Teria outra maneira dele usar o dns que montarei ? Sem setar no ip>dns ?
    Citação Postado originalmente por alexandrecorrea Ver Post
    eh.. ja é um começo.. mas o dns do mikrotik ja ouvi falar que algumas vezes da problema (nao sei se isso eh correto)..

    mas funciona.. eu mesmo ja testei ...