publikoval: okoun | 23.3.2014 - 08:53
Dnes si ukážeme jak čelit útokům z venku na vaše DNS. Pokud používáte Mikrotik jako DNS server a má veřejnou adresu, tak není nikterak chráněn. Je tedy třeba vložit do vašeho FW pár DROP pravidel.
První pravidlo:
add action=drop chain=input comment=dns_z_venku disabled=no dst-port=53 in-interface=ether1 protocol=tcp
A druhé:
add action=drop chain=input comment=dns_z_venku disabled=no dst-port=53 in-interface=ether1 protocol=udp
Ještě před vložením do Vašeho stroje je třeba změnit in-interface na iface vašeho wan portu do internetu. A to je vše. Jedná se o velmi jednoduché zakázání portu služby DNS jak v UDP tak v TCP.
Druhé řešení, které bych doporučil nejvíc, je vykašlat se na DNS na Mikoritku a používat BIND9 na linuxu a tam si krásně definujete povolené rozsahy, které mají mít na DNS přístup.