Как защитить днс сервер?

Question

by_EL @by_EL

Как защитить днс сервер?

Здравствуйте, есть днс сервер который порт форвардом открыт наружу ,какие настройки и рекомендации можете посоветовать чтобы защитить ДНС сервер с помощью pfsense-а
Заранее спасибо

Вопрос задан более двух лет назад
419 просмотров

3 комментария

Подписаться 4 Средний 3 комментария

shurshur @shurshur

Защишать от кого и от чего?

Написано более двух лет назад
mimocrocodil @mimocrocodil

Зависит от того, зачем он открыт наружу, какая задача на этом DNS-сервере - например, он кэширующий или поддерживает зону? Если кэширует, то для кого? Это BIND или другой DNS-сервер?

Написано более двух лет назад
shurshur @shurshur

poisons, мы не услышали от автора никаких подробностей. Если это его внутренний DNS, то его надо снаружи закрыть. Если у DNS есть внешние пользователи с какими угодно адресами, то закрывать его нельзя, но можно пытаться отслеживать паразитный трафик или попытки эксплуатации уязвимостей. Если это master-сервер какого-то домена, то можно скрыть его существование, разрешить 53/tcp+53/udp только с явно прописанных серверов и настроить возможность AXFR/IXFR с них, а зону делегировать на тех самых сторонних slave-серверах. Короче, варианты есть, но варианты зависят от подробностей задачи. Я потому и задал вопрос.

Написано более двух лет назад

Пригласить эксперта

Ответы на вопрос 3

2 комментария

Комментировать

Ваш ответ на вопрос

Войдите, чтобы написать ответ

Войти через центр авторизации

Похожие вопросы

Компьютерные сети

+2 ещё

Средний
Как настроить ACL между vlan, чтобы был полный доступ с одного vlan, с другого нет?
- 1 подписчик
- вчера
- 92 просмотра
2

ответа
Linux

+1 ещё

Простой
Как сделать автоматическую проверку работоспособности и рестарт Apache и Mariadb в случае падения?
- 1 подписчик
- вчера
- 99 просмотров
2

ответа
Сетевое администрирование

+2 ещё

Средний
Логирование посещения сайтов windows server 2008, 2008 R2, 2019?
- 1 подписчик
- 17 апр.
- 143 просмотра
0

ответов
Компьютерные сети

+3 ещё

Средний
Почему не работает правило Firewall на OPNsense?
- 1 подписчик
- 16 апр.
- 114 просмотров
1

ответ
Компьютерные сети

+1 ещё

Средний
Как настроить маршрутизацию между двумя tun интерфейсами?
- 1 подписчик
- 15 апр.
- 131 просмотр
3

ответа
Windows

+1 ещё

Средний
Как открыть экранную клавиатуру в режиме киоска?
- 1 подписчик
- 15 апр.
- 151 просмотр
1

ответ
Системное администрирование

+1 ещё

Простой
Какое можно использовать клиент-серверное приложение видеоконференции p2p?
- 1 подписчик
- 15 апр.
- 64 просмотра
1

ответ
Сетевое администрирование

+1 ещё

Простой
Как настроить Vlan на камере hiwatch?
- 2 подписчика
- 15 апр.
- 152 просмотра
2

ответа
Системное администрирование

+1 ещё

Простой
На каком виртуальном сервере процессор мощнее?
- 1 подписчик
- 14 апр.
- 189 просмотров
3

ответа
Windows

+1 ещё

Простой
Как настроить Windows под гостевой компьютер общего пользования?
- 3 подписчика
- 12 апр.
- 923 просмотра
5

ответов
Показать ещё Загружается…

Системный администратор

FS Travel • Москва

от 170 000 ₽

Инженер по системному администрированию

Деловая среда от Сбербанка • Москва

До 209 000 ₽

Эксперт Oracle DBA

Softline • Москва

от 300 000 ₽

Разработка VST-плагина

19 апр. 2024, в 20:43

20000 руб./за проект

Нарисовать баннер для интернет-магазина

19 апр. 2024, в 20:35

500 руб./в час

Разработать несистемный алерт

19 апр. 2024, в 20:11

500 руб./за проект

Зависит от того, зачем он открыт наружу, какая задача на этом DNS-сервере - например, он кэширующий или поддерживает зону? Если кэширует, то для кого? Это BIND или другой DNS-сервер?
poisons, мы не услышали от автора никаких подробностей. Если это его внутренний DNS, то его надо снаружи закрыть. Если у DNS есть внешние пользователи с какими угодно адресами, то закрывать его нельзя, но можно пытаться отслеживать паразитный трафик или попытки эксплуатации уязвимостей. Если это master-сервер какого-то домена, то можно скрыть его существование, разрешить 53/tcp+53/udp только с явно прописанных серверов и настроить возможность AXFR/IXFR с них, а зону делегировать на тех самых сторонних slave-серверах. Короче, варианты есть, но варианты зависят от подробностей задачи. Я потому и задал вопрос.

Answer 1 · 2021-11-23 10:24:51

Я бы вообще закрыл его снаружи. Ибо не зачем. Что творится внутри вашей сетки должно там и оставатся.
Если есть сайт снаружи, то у хостера и держите днс.

Это конечно ИМХО, но такой сценарий снимает с вас кучу головной боли и ставит четкую границу между внутренней сеткой и диким интернетом. В идеале открытым наружу должен быть только vpn.

Answer 2 · 2021-11-22 23:59:18

Drno @Drno

Открытый днс доступен для всех
Или ограничьте его по ip адресам

Ответ написан более двух лет назад

Комментировать

Answer 3 · 2021-12-04 13:07:32

С помощью файрвола вы сможете только ограничить количество запросов к своему серверу. Так что вам надо смотреть не сколько настройки фв, а настройки самого днс. Так что надо смотреть на используемый вами сервер и уже исходя из этого думать о безопасности.

Как защитить днс сервер?

Войдите, чтобы написать ответ

Минуточку внимания

Войдите на сайт