Jump to content
Калькуляторы

DNS query denied откуда столько банов??

Reply to this topic

a-zazell   

a-zazell
Posted

Интересную чтуку наблюдаю и не могу понять, то ли руки кривые, толи все было так запущено.

Прикрыл ДНС сервер на своих клиентов (query и recursion), который около 10 лет был, мягко говоря, Public (прошу не спрашивать почему ...).

 

Но вот смущают строки:

 

20-Oct-2012 20:45:05.153 security: client 46.204.113.94#56012: query (cache) 'ALT1.ASPMX.L.GOOGLE.COM/A/IN' denied
20-Oct-2012 20:45:07.329 security: client 46.204.113.94#56074: query (cache) 'ALT2.ASPMX.L.GOOGLE.COM/A/IN' denied
20-Oct-2012 20:45:10.011 security: client 46.204.113.94#56119: query (cache) 'ASPMX2.GOOGLEMAIL.COM/A/IN' denied
20-Oct-2012 20:45:13.030 security: client 46.204.113.94#56165: query (cache) 'ASPMX3.GOOGLEMAIL.COM/A/IN' denied
20-Oct-2012 20:45:16.423 security: client 189.197.234.197#14064: query (cache) 'ASPMX.L.GOOGLE.COM/A/IN' denied

А смущают потому, что на гулге почта, и MX соответственно прописаны:

 

;; QUESTION SECTION:
;example.com.                       IN      MX

;; ANSWER SECTION:
example.com.                21600   IN      MX      20 ALT2.ASPMX.L.GOOGLE.COM.
example.com.                21600   IN      MX      30 ASPMX2.GOOGLEMAIL.COM.
example.com.                21600   IN      MX      30 ASPMX3.GOOGLEMAIL.COM.
example.com.                21600   IN      MX      30 ASPMX4.GOOGLEMAIL.COM.
example.com.                21600   IN      MX      30 ASPMX5.GOOGLEMAIL.COM.
example.com.                21600   IN      MX      10 ASPMX.L.GOOGLE.COM.
example.com.                21600   IN      MX      20 ALT1.ASPMX.L.GOOGLE.COM.

 

 

Натравил на пиявок fail2ban, за 1k хостов перевалило ...

Как считаете, нормальная ситуация?

 

Почта работает нормально (3 дня), жалоб не было

Share this post

Link to post
Share on other sites

st_re   

st_re
Posted

Та не, у меня тоже есть зоны с MX на гугле. И таки есть большое количество запросов, сначала MX запись для домена, а затем ко мне же A для этих *.google.com и *.googlemail.com присутствующих в списке только что отданных MXов. Писатели вирусов не озаботились вариантом что MXы на 1. другом домене и 2. этот другой домен не живет там же где искомый. Вот уж не знаю, обламываются ли они или таки ходят на DNS сервера гугеля. :) Жалоб на почту от живых людей нет. А жалобы от спамеров-вирусов я не рассматриваю :)

Share this post

Link to post
Share on other sites

a-zazell   

a-zazell
Posted

Ну значит нормально все. Вот еще повесил на кактус статистику, и вижу (во вложении график) много премного NXDOMAIN запросов.

Портят картинку, но к таким запросам можно отнести все PTR из 10/8, 192.168/16 (за всеми клиентскими рутерами), думаю это нормально..

post-87545-041546500 1350838249_thumb.png

Share this post

Link to post
Share on other sites

a-zazell   

a-zazell
Posted

a-zazell

Можете завести у себя серые зоны и будет поменьше NXDOMAIN

 

Да, кстати, спасибо. Включил zones.rfc1918, там все на db.empty ссылается:

 

$TTL    86400
@       IN      SOA     localhost. root.localhost. (
                             1         ; Serial
                        604800         ; Refresh
                         86400         ; Retry
                       2419200         ; Expire
                         86400 )       ; Negative Cache TTL
;
@       IN      NS      localhost.

 

Вот только толку, nxdomain все равно будет для PTR, писать $GENERATE для каждой?

Share this post

Link to post
Share on other sites

a-zazell   

a-zazell
Posted (edited)

В бинде есть такая классная фича - *, PTR имеет обратный порядок записи, дальше, я думаю, Вы поняли

 

Да, спасибо, дополнил строкой:

 

*       IN      PTR     non-existent-private-subnet-host.example.com.

 

Во вложении результат

post-87545-047463900 1350893873_thumb.png

Edited by a-zazell

Share this post

Link to post
Share on other sites

a-zazell   

a-zazell
Posted

теперь ждите ресолва non-existent-private-subnet-host.example.com. :)

 

Что-то мне подсказывает, что делать заглушку на 127.0.0.1 не стоит

Share this post

Link to post
Share on other sites

a-zazell   

a-zazell
Posted

Забейте. Кривые спамеры ресолвить не умеют..

 

Смотрю сколько в бане, аж страшно )=. А в логах все про gmail ругается

 

22-Oct-2012 12:29:47.265 security: client 94.183.181.67#23606: query (cache) 'ASPMX.L.GOOGLE.COM/A/IN' denied
22-Oct-2012 12:29:47.359 security: client 113.170.121.227#25571: query (cache) 'ASPMX3.GOOGLEMAIL.COM/A/IN' denied
22-Oct-2012 12:29:47.518 security: client 125.27.29.122#27045: query (cache) 'ASPMX5.GOOGLEMAIL.COM/A/IN' denied
22-Oct-2012 12:29:47.554 security: client 175.143.188.228#63406: query (cache) 'ASPMX5.GOOGLEMAIL.COM/A/IN' denied

post-87545-002662200 1350894751_thumb.png

Share this post

Link to post
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

×
Followers 0
Go to topic listing Программное обеспечение, биллинг и *unix системы