nevím jestli něco někde není blbě ale primární bind9 server má u srcnatu ve firewallu neobvykle hodně dat oproti jinému pravidlu, konkrétně 6,1GB pro srovnání srcnat pro 250 lidí má 2,7GB.
je to normální?
❗️Toto je původní verze internetového fóra ISPforum.cz do února 2020 bez možnosti registrace nových uživatelů. Aktivní verzi fóra naleznete na adrese https://telekomunikace.cz
hodně Bytes u SRC pro bind9 server
hodně Bytes u SRC pro bind9 server
0 x
Povoláním ISP není jen připojovat lidi k internetu, ale také jim dokázat vysvětlit, že bez pořádné investice do HW nelze udělat kvalitní přípojku a domácí síť...
Ne.
0 x
Jelikož je zde zakázáno se negativně vyjadřovat k provozním záležitostem, tak se holt musím vyjádřit takto: nové fórum tak jak je připravováno považuji za cestu do pekel. Nepřehledný maglajz z toho bude. Do podpisu se mi pozitiva již nevejdou.
hmm co s tím? pravidlo je napsaná na 100% dobře, tak že by chybně nastavený bind9?
0 x
Povoláním ISP není jen připojovat lidi k internetu, ale také jim dokázat vysvětlit, že bez pořádné investice do HW nelze udělat kvalitní přípojku a domácí síť...
A to srcnat pravidlo překládá co, jen odchozí dotazy bindu ven do internetu, výlučně port 53? Nebo všechnu komunikaci z toho linuxu, takže může pocházet od čehokoliv?
A pokud je ten bind9 jen resolver a nic jiného, tak třeba stačí, aby ti nějaký zákazník využívající tento server používal DNS tunel.
Se podívej, co ti tam běhá za DNS dotazy..
A pokud je ten bind9 jen resolver a nic jiného, tak třeba stačí, aby ti nějaký zákazník využívající tento server používal DNS tunel.
Se podívej, co ti tam běhá za DNS dotazy..
0 x
překládá úplně vše, porty tam nejsou omezeny, dst na ten server neexituje tedy nikdo z venku ho zneužít nemůže a kdyby tak je to i v konfigu bindu zakázané
0 x
Povoláním ISP není jen připojovat lidi k internetu, ale také jim dokázat vysvětlit, že bez pořádné investice do HW nelze udělat kvalitní přípojku a domácí síť...
Použij tcpdump/torch. Jinak ti tu můžeme sepsat teorií, kolik chceš.
0 x
Jelikož je zde zakázáno se negativně vyjadřovat k provozním záležitostem, tak se holt musím vyjádřit takto: nové fórum tak jak je připravováno považuji za cestu do pekel. Nepřehledný maglajz z toho bude. Do podpisu se mi pozitiva již nevejdou.
to jsem použil, ale že by tam bylo vidět něco zajímavého nikoli, normálně tam jede provoz na 53
0 x
Povoláním ISP není jen připojovat lidi k internetu, ale také jim dokázat vysvětlit, že bez pořádné investice do HW nelze udělat kvalitní přípojku a domácí síť...
Teď už asi uvidíš prd, těch několik milionů mailů s nabídkou na zvětšení penisu už asi odešlo pryč...
Provozuješ netflow? Tak se podívej, co v něm máš, zda to šlo na DNS port nebo řádilo něco jiného.
A hlavně u takového jednoúčelového serveru prskni hned na router před tu plechovku patřičný firewall. Spojení na něj možné jen na port 53 z tvé sítě, pak na SSH z vybraných adres kde sedíš, víc netřeba. Směrem ven má povolen jen 53, spojení na určený SMTP server kam předává mail logy, povolení na spojneí na server s repozitářem pro aktualizace, NTP servery a tím to hasne. Takový hacknutý server je pak celkem útočníkovi celkem nic a nemůže z něj ani moc ěkodit uvnitř sítě.
Trénuj, než začne takovou kofniguraci pro všechno vyžadovat NBÚ v rámci informační bezpečnosti prasat, pokud stále připojuješ nějaké ty větší chovatele a plynové stanice.
Provozuješ netflow? Tak se podívej, co v něm máš, zda to šlo na DNS port nebo řádilo něco jiného.
A hlavně u takového jednoúčelového serveru prskni hned na router před tu plechovku patřičný firewall. Spojení na něj možné jen na port 53 z tvé sítě, pak na SSH z vybraných adres kde sedíš, víc netřeba. Směrem ven má povolen jen 53, spojení na určený SMTP server kam předává mail logy, povolení na spojneí na server s repozitářem pro aktualizace, NTP servery a tím to hasne. Takový hacknutý server je pak celkem útočníkovi celkem nic a nemůže z něj ani moc ěkodit uvnitř sítě.
Trénuj, než začne takovou kofniguraci pro všechno vyžadovat NBÚ v rámci informační bezpečnosti prasat, pokud stále připojuješ nějaké ty větší chovatele a plynové stanice.
0 x
no jak jsem psal server nemá veřejnou adresu a DST natem tam není ani jendopravidlo, tak jak tedy může někdo něco zneužít?
0 x
Povoláním ISP není jen připojovat lidi k internetu, ale také jim dokázat vysvětlit, že bez pořádné investice do HW nelze udělat kvalitní přípojku a domácí síť...
-
Dalibor Toman
- Příspěvky: 1246
- Registrován: 13 years ago
pokud otravuje nejaky klient resolvenim nesmyslu, pak to IMHO nejlepe zjistis pomoci 'rndc recursing':
/etc/named.conf:
options {
...
recursing-file "/var/named/data/named_recurse.txt";
----
rndc recursing
less /var/named/data/named_recursing.txt
/etc/named.conf:
options {
...
recursing-file "/var/named/data/named_recurse.txt";
----
rndc recursing
less /var/named/data/named_recursing.txt
0 x