DNS spoofing

[Wombat]

Zdravím,

mám na routeru naroubovaných několik veřejných IP, které posílám dál via NAT 1:1 a příčí se mi tam posílal toto:



Otázka zní:

Jak byste to řešili Vy? Co je čistší řešení, čistit to rovnou na routeru, nebo nechat jak je, drtit SXTčka nesmyslnými pakety a ať si to každý řeší jak uzná za vhodné?


Díky.
Gabriel

[ludvik]

To záleží na tom, jestli jsi purista, nebo dobroser. Purista neomezuje nic. Dobroser ve jménu jejich dobra zablokuje DNS (a NTP) směrem ke klientům. Výběr je na tobě.

[Wombat]

No dejme tomu, jen mi příjde zbytečný zatěžovat spoje zbytečným bastlem, který nemá žádný využití a jen zatěžuje železo. Proto mě jen zajímá co je lepší cesta

[ludvik]

Sám sis odpověděl. Hledáš odpovědi na vcelku zbytečné otázky. Je-li toho moc, tak to sekni. Alespoň zabráníš stát se klientům součástí nějakého DDoS. A ušetříš na wifinách trochu kapacity. Jsou věci, které se u klientů typicky nevyskytují a jsou spíš na obtíž. Zmíněné DNS, NTP. Já jim sekám i SNMP a porty 17,19 a 1900/UDP. Jde to sice proti mému osobnímu přesvědčení, ale co už nadělám, stejně konektivitu kazím NATem ...

Takový špatně nakonfigurovaný mikrotik lze pomocí DNS totálně zablokovat i na hodně pomalé wifině. A pak se lidi diví, že to nejede.