DNS за файрволом

Настройка сетевых служб, маршрутизации, фаерволлов. Проблемы с сетевым оборудованием.
Правила форума
Убедительная просьба юзать теги [code] при оформлении листингов.
Сообщения не оформленные должным образом имеют все шансы быть незамеченными.
Аватара пользователя
mr. brightside
сержант
Сообщения: 260
Зарегистрирован: 2010-04-17 17:32:39
Откуда: Saint-Petersburg

DNS за файрволом

Непрочитанное сообщение mr. brightside » 2013-02-11 1:34:41

Здравствуйте, уважаемые!

Помогите разобраться с логикой.

Есть шлюз на FreeBSD 6.4. На нём NAT, pf и DNS. DNS отвечает за смотрящие в инет зоны, соответственно отвечая на вопросы внешним клиентам. За шлюзом спрятана локалка.

Задача: пересобрать шлюз с наименьшими потерями (в том числе и психическими). Решил начать с ДНСа и перенести его ЗА pf, настроив соответствующее перенаправление портов с 53го на шлюзе и на 53ий на ДНС, который будет спрятан за шлюзом. Машинка, куда переношу ДНС - FreeBSD 9.0, вся установка из портов в том числе и последняя лежащая там версия BIND/

Удаленное управление по 953 порту отключено и ДНС управляется только с 127.0.0.1 через RNDC.

Вопрос мой касается этого:

Код: Выделить всё

Modern versions of BIND use a random UDP port for each outgoing
query by default in order to dramatically reduce the possibility
of cache poisoning.  All users are strongly encouraged to utilize
this feature, and to configure their firewalls to accommodate it.

AS A LAST RESORT in order to get around a restrictive firewall
policy you can try enabling the option below.  Use of this option
will significantly reduce your ability to withstand cache poisoning
attacks, and should be avoided if at all possible.
А это относится к ситуации, когда ДНС не является авторитетным для какой-либо и перенаправляет запрос, например, корневым ДНСам. Т.е. произвольный порт при запросах от моего ДНСа - как это хозяйство уживется за файрволом?

До этого настраивал только почту в различнейших вариациях, а с настройкой (или перенастройкой) NAT, pf, DNS столкнулся впервые, поэтому прошу сильно не пинать, если вопрос глупый.

И второй вопрос: вдохновленный BIND 9 Administrator Reference Manual и книгой DNS и BIND (Крикет Ли и Пол Альбитц) хочу, для пущей безопасности, настроить TSIG.
Вторичные ДНСы распогаются в nic.ru - кто-нибудь знает, возможно ли это сделать с ними или TSIG реально использовать, только если вторичные ДНСы принадлежат тебе?
Только FreeBSD, только хардкор

Хостинговая компания Host-Food.ru
Хостинг HostFood.ru
 

Услуги хостинговой компании Host-Food.ru

Хостинг HostFood.ru

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

терминус_
проходил мимо

Re: DNS за файрволом

Непрочитанное сообщение терминус_ » 2013-02-11 11:14:02

По первому вопросу - речь идет о том, что ДНС сервер работающий в режиме кеша (рекурсивный) отсылает запросы к другим серверам используя для установления соединения разные номера КЛИЕНТСКИХ портов (то есть портов у себя). И соответственно для каждого запроса ждет ответ только на этом порту. Ничего специально настраивать не надо - если у вас на шлюзе НАТ и нет каких-либо ограничений на количество TCP/UDP сессий для одного IP, то все будет работать.

По второму вопросу не компетентен. По идее, если у вас есть доступ к веб админке nic.ru то вы можете полазить там и посмотреть есть ли возможность где-то забить TSIG ключи.

Аватара пользователя
mr. brightside
сержант
Сообщения: 260
Зарегистрирован: 2010-04-17 17:32:39
Откуда: Saint-Petersburg

Re: DNS за файрволом

Непрочитанное сообщение mr. brightside » 2013-02-11 11:28:37

терминус_ писал(а):По первому вопросу - речь идет о том, что ДНС сервер работающий в режиме кеша (рекурсивный) отсылает запросы к другим серверам используя для установления соединения разные номера КЛИЕНТСКИХ портов (то есть портов у себя). И соответственно для каждого запроса ждет ответ только на этом порту. Ничего специально настраивать не надо - если у вас на шлюзе НАТ и нет каких-либо ограничений на количество TCP/UDP сессий для одного IP, то все будет работать.
Ну он не fowrarders only. За свои зоны отвечает сам, остальные запросы пересылает ответственным ДНСам. Но мысль Вашу я понял, спасибо! Тоже так думал, просто хотел услышать мнение кого-нибудь еще.

По второму вопросу не компетентен. По идее, если у вас есть доступ к веб админке nic.ru то вы можете полазить там и посмотреть есть ли возможность где-то забить TSIG ключи.[/quote]

Доступ есть, полазал. Не нашел такого... Думаю спрашивать у тех. поддержки. Просто к вопросу о ДНС решил и этот прилепить
Только FreeBSD, только хардкор

Аватара пользователя
ADRE
майор
Сообщения: 2645
Зарегистрирован: 2007-07-26 8:53:49
Контактная информация:

Re: DNS за файрволом

Непрочитанное сообщение ADRE » 2013-02-14 16:28:58

хмм... зачем пересылать запросы? его потом любить долго будут, для заросов есть 8.8.8.8 транжирить электроэнергию - не гуманно.
//del

Аватара пользователя
mr. brightside
сержант
Сообщения: 260
Зарегистрирован: 2010-04-17 17:32:39
Откуда: Saint-Petersburg

Re: DNS за файрволом

Непрочитанное сообщение mr. brightside » 2013-02-18 13:34:11

ADRE писал(а):хмм... зачем пересылать запросы? его потом любить долго будут, для заросов есть 8.8.8.8 транжирить электроэнергию - не гуманно.
Не понял.

Пересылаю запросы, если они не касаются моего домена. По своему домену я отвечаю только заранее определенным сеткам (например, локалка) и своим вторичным ДНСам. С трансфером то же самое. Переслать запрос ближайшему ДНС быстрее, чем ползти к корневому ДНС и потом еще кешировать информацию - нагрузки на мой ДНС в итоге будет низкой.
Только FreeBSD, только хардкор


Аватара пользователя
mr. brightside
сержант
Сообщения: 260
Зарегистрирован: 2010-04-17 17:32:39
Откуда: Saint-Petersburg

Re: DNS за файрволом

Непрочитанное сообщение mr. brightside » 2013-02-19 12:26:47

Единственное, чего я опасаюсь в этой ситуации, так это недоступности моего ДНС клиентам, которые хотят получить от него ответ.

Предположим, некая зона example.net обслуживается 3 серверами:

- ns1.example.net (первичный)
- ns2.nic.ru (вторичный)
- ns3.nic.ru (вторичный)

Т.е. за первичным ДНСом следим сами, вторичные держим в nic.ru.

Ок, мой ДНС разрешает обработку запросов только со вторичных ДНСам nic.ru и клиентам из своих сетей - например 192.168.0.0/24.

Хорошо. Теперь представим ситуацию, что сотрудник компании оказался в Китае. Ему надо отправить почту и он пытается это сделать. Посылает запрос на поиск нашего почтового сервера, чтобы дальше почту отрелеить.

Он может обратиться к ДНСам nic.ru, а может и к моему, так ведь?

Но, мой ДНС обрабатывает запросы только своих сетей - не будет ли тут граблей?

Очень хочется по-максимуму контролировать работу ДНС. Да и вообще всего софта, но сейчас речь идёт конкретно о bind.
Только FreeBSD, только хардкор

Аватара пользователя
mr. brightside
сержант
Сообщения: 260
Зарегистрирован: 2010-04-17 17:32:39
Откуда: Saint-Petersburg

Re: DNS за файрволом

Непрочитанное сообщение mr. brightside » 2013-02-19 12:41:13

Сам спросил, сам отвечу :-D

Запрещу только рекурсивные запросы, а по своей зоне буду отвечать всем.
Только FreeBSD, только хардкор

Аватара пользователя
ADRE
майор
Сообщения: 2645
Зарегистрирован: 2007-07-26 8:53:49
Контактная информация:

Re: DNS за файрволом

Непрочитанное сообщение ADRE » 2013-02-19 16:33:25

не проще ли отвечать только своей сети?
//del

Аватара пользователя
mr. brightside
сержант
Сообщения: 260
Зарегистрирован: 2010-04-17 17:32:39
Откуда: Saint-Petersburg

Re: DNS за файрволом

Непрочитанное сообщение mr. brightside » 2013-02-19 16:38:43

ADRE писал(а):не проще ли отвечать только своей сети?
Да, но как будет работать в описанной мной ситуации?
Только FreeBSD, только хардкор