Página 1 de 2 12 ÚltimoÚltimo
+ Responder ao Tópico



  1. Olá a todos! Segue abaixo texto que disponibilizei no site do RadiusNet!

    Um servidor Domain Name Server – DNS pode ser comparado com uma lista telefônica da internet. Quando alguém digita em seu navegador um endereço de internet, como por exemplo www.radius.net.br, é necessário descobrir o endereço de IP onde o site está hospedado. Imagina guardarmos os IPs do Facebook, Hotmail, Yahoo, etc? Impossível! Por isso existe o DNS.
    O servidor DNS irá traduzir o endereço digitado para seu IP correspondente. Somente depois de obter esse IP é que a conexão realmente ocorre, ou seja, enquanto o endereço digitado pelo usuário não for traduzido para seu IP na internet a conexão não é estabelecida.


    Por esse motivo é desejável que os provedores de internet procurem deixar os servidores de DNS o mais próximo possível de seus clientes. Quando o cliente digitar um endereço no navegador, tentar entrar num FTP, receber e-mails de seu servidor POP3, etc, caso o servidor DNS esteja próximo a ele, rapidamente o IP de destino será entregue à máquina do usuário e a conexão poderá então ser estabelecida.


    Muitas vezes, mesmo o provedor estando com sobra de link, caso ocorra lentidão entre a requisição do usuário e a resposta do servidor DNS, a conexão parecerá lenta, fazendo com que o usuário reclame dos serviços do provedor, o que não é desejável.


    Várias são as soluções para que o provedor traga o DNS para dentro de sua rede: montar um servidor DNS, Unbound ou então utilizar os recursos de DNS do próprio Mikrotik. Esta última opção será melhor detalhada nesse momento.


    Para os provedores que possuem apenas um Mikrotik basta ir em IP >> DNS. Nessa tela deve colocar os dois DNSs fornecidos pela operadora e clicar em “Allow Remote Requests”. Configurar então o PPPoE Profile ou o DHCP Server para passar ao usuário o IP interno do Mikrotik. Dessa forma todos os clientes farão os pedidos de DNS para o próprio Mikrotik, que rapidamente responderá.


    É interessante notar que o Mikrotik fará cache dessas requisições. Assim, quando um outro usuário solicitar o mesmo site a resposta será mais rápida ainda!


    Para os provedores que possuem um Mikrotik na Internet e outros internos fazendo autenticação (PPPoE ou Hotspot servers) é interessante montar da seguinte forma:


    1) Configurar o Mikrotik da Internet como descrito no parágrafo anterior (com os DNS da operadora).


    2) Nos Mikrotiks internos, ir em IP >> DNS, colocar o IP interno do Mikrotik da Internet como servidor DNS e habilitar o “Allow Remote Requests”.


    3) Configurar o PPPoE Profile ou o DHCP Server dos Mikrotiks internos para distribuírem como DNS server o próprio Mikrotik que os autentica.


    Dessa forma, para o usuário o DNS é o Mikrotik que o autentica. Para o Mikrotik autenticador o DNS é o Mikrotik da Internet e para este o DNS da operadora.


    A grande vantagem de se configurar dessa forma é que se der algum problema com o DNS da operadora, basta ir no Mikrotik da Internet e alterar os DNS. Como ele é o DNS de todos os outros equipamentos, nada mais precisará ser alterado!


    Um outro ponto importantíssimo é evitar que outros usem seu Mikrotik como servidor DNS!


    Quando se clicou em “Allow Remote Requests”, automaticamente o Mikrotik tornou-se disponível para ser o DNS de todo mundo, literalmente, de TODO O MUNDO!


    É de extrema importância barrar/filtrar as requisições de DNS que vierem da Internet, pois só interessa servir DNS para os clientes e não para todos! Isso pode ser feito com duas regras bem simples, que serão passadas logo abaixo. Essas regras devem ser colocadas no Mikrotik que está na Internet com IP público.


    /ip firewall filter add action=drop chain=input comment=”BLOQUEIA ACESSO EXTERNO AO DNS” connection-state=new dst-port=53 in-interface=ether1 protocol=udp


    /ip firewall filter add action=drop chain=forward comment=”BLOQUEIA ACESSO EXTERNO AO DNS” connection-state=new dst-port=53 in-interface=ether1 protocol=udp


    Coloque essas duas regras na posição 0 e 1 da tabela filter e veja como elas trabalharão muito, o que indica a grande procura por servidores abertos, feitos por BOTs na internet!


    Nos dois exemplos a Internet chega pela “ether1″. A primeira regra bloqueará todas as tentativas de acesso ao DNS do próprio Mikrotik. Já a segunda regra bloqueará os acessos para os clientes de dentro de sua rede. Ela bloqueará os ataques na porta 53 UDP de seus clientes com IP público. Todavia, caso seu cliente queira ter um servidor DNS o mesmo não funcionará até que essa segunda regra seja desabilitada.


    Quer testar se o DNS de seu Mikrotik está seguro? Acesse http://openresolver.com/ e coloque seu IP público. Se uma mensagem em vermelho aparecer, significa que seu DNS está aberto ao público. Se uma mensagem em verde aparecer, tudo certo!


    O servidor DNS do google 8.8.8.8 é aberto ao público, faça o teste no http://openresolver.com/ com esse endereço!

    *tópico original aqui.

    Fabricio Viana
    www.radius.net.br - Sistema de Gerenciamento para Provedores
    www.vianatel.com.br - Licenças Anatel

  2. Perfeito Fabricio, ótimo post, estrelinha pra vc.



  3. Ótimo, parabéns pela iniciativa!

  4. Muito Util mesmo,
    Sugiro que os mestres continuem a tópico do colega com a descrição do DNS reverso, recursivo e autoritativo bem como suas vantagens e desvantagens.



  5. Amigo, e quando se tem um balace com 3 links, como proceder com as regras?
    Att
    Obrigado
    Felicidades...






Tópicos Similares

  1. servidor DNS (partindo do ZERO)
    Por meninao no fórum Servidores de Rede
    Respostas: 2
    Último Post: 11-08-2003, 16:09
  2. Direcionando servidor DNS para Provedor
    Por Elvis no fórum Servidores de Rede
    Respostas: 4
    Último Post: 04-07-2003, 11:02
  3. Servidores dns
    Por juniox no fórum Servidores de Rede
    Respostas: 9
    Último Post: 23-05-2003, 07:58
  4. Direcionando servidor DNS para Provedor
    Por Elvis no fórum Servidores de Rede
    Respostas: 5
    Último Post: 14-05-2003, 12:29
  5. 2º Servidor DNS em rede interna (Intranet)
    Por AndrewAmorimdaSilva no fórum Servidores de Rede
    Respostas: 3
    Último Post: 11-10-2002, 20:26

Visite: BR-Linux ·  VivaOLinux ·  Dicas-L