nemo Опубликовано 18 апреля, 2015 · Жалоба Сегодня заметил ровный исходящий траффик в размере 2мбита на микротике. Глянул а там 2 udp запроса генерируют весь этот траффик на порту 53. Похоже какая-то уязвимость в DNS server микротик, которую уже вовсю используют. Версия причем последняя. Один из адресов откуда шли запросы был 188.225.112.21 ФАйрволом заблокировал 53ий, но не встречал чтобы днс сервера так использовались на более серьезных машинах. PS. настройки DNS сервера по умолчанию. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
DRiVen Опубликовано 18 апреля, 2015 · Жалоба Совсем не новость. Варианта два - либо отключаете "allow remote requests", но лишаетесь локального кэша и несколько теряете в скорости резольва запросов, либо как вы и сделали, дропаете запросы на 53 порт с тех интерфейсов, которые отвечать не должны. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
nemo Опубликовано 19 апреля, 2015 · Жалоба Собственно это и было понятно. Удивляет что в настройках по умолчанию это не учтено в микротике. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Sergeylo Опубликовано 20 апреля, 2015 · Жалоба какая-то уязвимость в DNS server микротик, которую уже вовсю используют. Используют уже не первый год. Удивляет что в настройках по умолчанию это не учтено в микротике. Как и прокся, которая при включении проксирует также и внешние запросы. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
divxl Опубликовано 20 апреля, 2015 · Жалоба to Sergeylo И как бороться, если хочется использовать микротиковский DNS Server ? p.s. на 53 порт запросы бропаю... Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
DRiVen Опубликовано 20 апреля, 2015 · Жалоба И как бороться, если хочется использовать микротиковский DNS Server ? Так пользуйте, в чем проблема. Фильтр на запросы с левых адресов ставьте и работайте. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
divxl Опубликовано 20 апреля, 2015 · Жалоба Так пользуйте, в чем проблема. Фильтр на запросы с левых адресов ставьте и работайте. Не могли бы написать пример фильтра, немного не понял что имеете ввиду. Как и прокся, которая при включении проксирует также и внешние запросы. А с этим как бороться ? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
DRiVen Опубликовано 21 апреля, 2015 · Жалоба Не могли бы написать пример фильтра, немного не понял что имеете ввиду. Создаете список адресов, с которых разрешено обращение к вашему DNS: /ip firewall address-list add address=x.x.x.x list=DNS-access ... add address=x.x.x.x list=DNS-access и правило ограничения доступа: add action=drop chain=input dst-port=53 in-interface=<внешний интерфейс> protocol=tcp src-address-list=!DNS-access add action=drop chain=input dst-port=53 in-interface=<внешний интерфейс> protocol=udp src-address-list=!DNS-access А с этим как бороться ? Например вписать в настройке прокси в поле Src.address пул адресов, с которого должен быть доступ. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Saab95 Опубликовано 21 апреля, 2015 · Жалоба И как бороться, если хочется использовать микротиковский DNS Server ? Поставить еще один микротик, на котором включить DNS сервер, при этом подключить его к основному микротику по серому адресу. Тогда он сам будет иметь доступ в интернет для переадресации запросов, а никто извне на него не попадет, и не нужно никаких фильтров. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Constantin Опубликовано 22 апреля, 2015 · Жалоба Поставить еще один микротик, на котором включить DNS сервер, при этом подключить его к основному микротику по серому адресу. Тогда он сам будет иметь доступ в интернет для переадресации запросов, а никто извне на него не попадет, и не нужно никаких фильтров. антон ты "рифма" больше нечего добавить решается правилом а не добавлением точки отказа.... и правило ограничения доступа: add action=drop chain=input dst-port=53 in-interface=<внешний интерфейс> protocol=tcp src-address-list=!DNS-access add action=drop chain=input dst-port=53 in-interface=<внешний интерфейс> protocol=udp src-address-list=!DNS-access просто тупо лишнее, у вас уже есть ограничение по интерфейсу, точнее тут либо интерфейс либо адрес лист Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
DRiVen Опубликовано 22 апреля, 2015 · Жалоба просто тупо лишнее, у вас уже есть ограничение по интерфейсу Общее правило дропа на 53 порт по этому интерфейсу естественно надо убрать, я считал это очевидно. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
divxl Опубликовано 22 апреля, 2015 · Жалоба Подскажите, на аплинке установен микрот со следующими правилами: 0 chain=input action=drop protocol=tcp in-interface=l2tp-out1 dst-port=53 log=no log-prefix="" 1 chain=input action=drop protocol=udp in-interface=l2tp-out1 dst-port=53 log=no log-prefix="" Этих правил достаточно для безопасного использования микротиковского DNS ? Что еще посоветует настроить для защиты от внешних угроз? p.s. пользователь админ изменен, пароль сложный, лишние службы отключены, доступ по SSH указан с определенных IP, микротиковской проксей не пользуюсь. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
DRiVen Опубликовано 22 апреля, 2015 · Жалоба Этих правил достаточно для безопасного использования микротиковского DNS? Если WAN один - вполне. Что еще посоветуете настроить для защиты от внешних угроз? Сменить порты сервисов, доступных извне. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...