Здравствуйте, есть днс сервер который порт форвардом открыт наружу ,какие настройки и рекомендации можете посоветовать чтобы защитить ДНС сервер с помощью pfsense-а Заранее спасибо
Зависит от того, зачем он открыт наружу, какая задача на этом DNS-сервере - например, он кэширующий или поддерживает зону? Если кэширует, то для кого? Это BIND или другой DNS-сервер?
poisons, мы не услышали от автора никаких подробностей. Если это его внутренний DNS, то его надо снаружи закрыть. Если у DNS есть внешние пользователи с какими угодно адресами, то закрывать его нельзя, но можно пытаться отслеживать паразитный трафик или попытки эксплуатации уязвимостей. Если это master-сервер какого-то домена, то можно скрыть его существование, разрешить 53/tcp+53/udp только с явно прописанных серверов и настроить возможность AXFR/IXFR с них, а зону делегировать на тех самых сторонних slave-серверах. Короче, варианты есть, но варианты зависят от подробностей задачи. Я потому и задал вопрос.
Я бы вообще закрыл его снаружи. Ибо не зачем. Что творится внутри вашей сетки должно там и оставатся.
Если есть сайт снаружи, то у хостера и держите днс.
Это конечно ИМХО, но такой сценарий снимает с вас кучу головной боли и ставит четкую границу между внутренней сеткой и диким интернетом. В идеале открытым наружу должен быть только vpn.
by_EL, у меня тоже крутятся. и dns висит на абсолютно левых адресах. У меня даже белого адреса нет. В смысле моего рабочего. Хотя кому нужно подключается к vpn
С помощью файрвола вы сможете только ограничить количество запросов к своему серверу. Так что вам надо смотреть не сколько настройки фв, а настройки самого днс. Так что надо смотреть на используемый вами сервер и уже исходя из этого думать о безопасности.
Средний
