DNS cache

[lz3ai]

DNS кешът на рутерчето ми Микротик наред с традиционните записи се пълни с:

 

14   bitstres... NS    ns1.bitstress.com                             35m51s      
15   bitstres... NS    ns4.bitstress.com                             35m51s      
16   bitstres... NS    ns7.bitstress.com                             35m51s      
17   bitstres... NS    ns2.bitstress.com                             35m51s      
18   bitstres... NS    ns3.bitstress.com                             35m51s      
19   bitstres... NS    ns5.bitstress.com                             35m51s      
20   bitstres... NS    ns6.bitstress.com                             35m51s      
21   bitstres... A     1.1.1.103                                     35m44s      
22   bitstres... A     1.1.1.104                                     35m44s      
23   bitstres... A     1.1.1.105                                     35m43s      
24   bitstres... A     1.1.1.106                                     35m43s      
25   bitstres... A     1.1.1.107                                     35m43s      
26   bitstres... A     1.1.1.108                                     35m43s      
27   bitstres... A     1.1.1.109                                     35m43s      
28   bitstres... A     1.1.1.110                                     35m43s      
29   bitstres... A     1.1.1.111                                     35m42s     
30   bitstres... A     1.1.1.112                                     35m42s

 

и т.н. надолу с всички IP-та от мрежа 1.1.1.0/24.

 

Трябва ли да ме притеснява това?

Edited September 25, 2013 by lz3ai

[hgd]

Краткият отговор е да, трябва да те притеснява.

 

Тази година станаха много модерни DrDOS атаките.  bitstress.com един от домейните, които се атакуват. друг такъв е isc.org.

 

Съвсем скоро в форума имаше тема за isc.org:

 

[lz3ai]

Благодаря, hgd!

 

Добавих

 

/ip firewall filter
add action=drop chain=input dst-port=53 in-interface=pppoe-out1 protocol=udp
add action=drop chain=input dst-port=53 in-interface=pppoe-out1 protocol=tcp
 

изчистих кеша и засега нямам такива досадници. Но това няма ли да пречи и на разпространението на необходимите за нормалната работа на DNS записи?

[111111]

елементарно решение е днс да ходи само и единствено до днс доставчика ти примерно 

8.8.8.8

8.8.4.4

но ако ти не си днс доставчик гледано отвън, то трябва да забраниш всичко входящо и да разрешаваш само

протоколна употреба от вътрешните заявки 

[lz3ai]

Доставчик съм на DNS за домашната си мрежа (която не е толкова малка, щото съм с много деца ;-) - 4 десктопа, 2 лаптопа, 4 смартфона, 1 iPad, два TV, един NAS и принт-сървър.

 

Преди седмица DNS ми беше DNS на доставчика, но поради в момента DNS ми е само 8.8.8.8 и същият се разпространява с DHCP към "клиентите". IP на домашните устройства се дават от DHCP, но съм ги направил статични. Направил съм и статични записи в DNS да не карам всички да помнят IP-адресите на NAS,  принт-сървъра и компютрите. Имам и разни порт-форвардинги, за да мога да управлявам цялото това нещо, когато не съм в къщи. Общо взето това е кратко описание на мрежата. 

 

"Едните проблеми" (вж по-горе) ги отстраних с промяната на DNS да бъде само 8.8.8.8 и разпространението му като  DNS на клиентите, но все още не съм разбрал каква е причината за тези проблеми. Не е  DNS на доставчика, защото с неговия DNS преди да го сменя с МТ си работеше нормално едно рутерче с DD-WRT. Но това не е според мен правилното решение (използването на гугълския DNS), защото първо отваря достъп отвън до DNS на клиентските компютри и второ пълни мрежата с излишен трафик, колкото й малък да е. Според мен всеки DNS трябва да си общува само с 1-2  (основен и резервен) DNS най-близко физически разположени до него по-високо в DNS йерархията.

 

Решил съм да ресетна МТ и да почна от нулата, но като понауча още някои неща и за да не се притеснявам да го обозая тотално ;-). Липсват ми знания по защитната стена, с другите неща се оправям. Ей на, сега разбирам общо какво ми е написал 111111, но какво конкретно трябва да направя - не знам. За сега. Уж не съм толкова тъп ;-), но много четох, пък така и още не ми се изяснило за какво по принцип са таблиците с филтрите, NAT, мангъл и адресните списъци, даже си и рисувах отделните таблици и вериги, но все още ми е мъгливо.

 

Доколкото разбирам, трябва да отворя през защитната стена само 53 порт от моя DNS само към 53 порт на DNS на доставчика и всичко останало към моя  DNS да се дропва, а DNS на клиентските ми компютри да бъде моят DNS (затова си описвах по-горе мрежата). Но дали е така и как точно да го направя, ще чета...

[krustanovs]

Като видях някои от по горните конфигурации е добре да направиш ресет без дефаут конфигурация, че сега не си я махнал и ми се вижда голяма боза. и от там са 5, 6 работи които трябва да направиш. А за DNS-а по горните 2 правила ти решават проблема

[111111]

Щом на клиентите даваш DNS различен от локалния,

от DHCP спокойно може да спреш услугата DNS в микротик,

тя става ненужна понеже никой не я търси локално

 

в твоя случай обаче ти ползваш записи за NAS-a 

така че трябва да забраниш достъпа от външния интерфейс към днс-а

 

тук има една примерна конфигурация с правила

http://wiki.mikrotik.com/wiki/A_script_to_set_up_WAN/LAN/WLAN_to_get_you_started