Вопрос по настройкам iptables geoip для DNS

0

2

Есть сервер, выполняющий только роль неймсервера, на нём настроен bind9. Домен, для которого работает неймсервер, используется для почты.

Хотелось бы сделать максимально суровые правила iptables на основании geoip. На данный момент настройки сделаны только для одной географической зоны **:

iptables -I INPUT -m geoip --src-cc ** -j DROP

Однако, я хотел бы наоборот запретить всё кроме отдельных зон **.

iptables -I INPUT -m geoip ! --src-cc **,**,** -j DROP

Вопросы:

1. Что я могу себе позволить в плане запретов с учётом специфики использования сервера как неймсервера?

2. Каким образом вообще определить в данном случае зоны, которые я могу не разрешить?

Ссылка

←	Хочу странного - сделать маленький *iso из огромного раздела.

Squid(transparent+ssl-bump) подключить snort

→

Многие пользуются всякими гугьднс и опенднс, поэтому запросы будут приходить очень часто не оттуда где сидит клиент.

Чего ты добиться хочешь?

blind_oracle ★★★★★
(05.10.14 12:56:01 MSK)

Ответ на: комментарий от blind_oracle 05.10.14 12:56:01 MSK

Хочу минимизировать подозрительную активность из стран, которые меня не особо интересуют. Получается, что у меня сервер выполняет очень мало задач, зато им активно интересуются.

[**] [1:312:6] EXPLOIT ntpdx overflow attempt [**]
[Classification: Attempted Administrator Privilege Gain] [Priority: 1]
10/05-**:51:32.705629 195.154.***.***:38271 -> ***.**.***.***:123
UDP TTL:242 TOS:0x0 ID:54321 IpLen:20 DgmLen:220
Len: 192
[Xref => http://cve.mitre.org/cgi-bin/cvename.cgi?name=2001-0414][Xref => http://www.securityfocus.com/bid/2540][Xref => http://www.whitehats.com/info/IDS492]

Но какие именно зоны я могу запретить без вреда для работы DNS?

Deleted
(05.10.14 23:07:55 MSK)
Последнее исправление: Deleted 05.10.14 23:08:56 MSK (всего исправлений: 1)

Ответ на: комментарий от Deleted 05.10.14 23:07:55 MSK

Я бы не стал заморачиваться: ну отсечёшь ты пусть даже 50% ботнетов, остальные всё равно будут тебя долбить. Для всяких ssh поставить другой порт и\или fail2ban, по остальному - вовремя обновлять софт, настроить бинд правильно (включить в нем minimal responses, rrl и т.п.) - и всё будет ОК.

А так по поводу зон - тут нужно разделить запросы и ответы. Если ты закроешь китай, то как они не смогут к тебе достучаться, так и ты не сможешь разрезолвить их зоны. Тут варианта два - открыть дырочку для запросов на 53 порт либо в своем бинде написать директиву, что мол зону .cn резолвить через 8.8.8.8/8.8.4.4.

blind_oracle ★★★★★
(06.10.14 08:31:08 MSK)

Ссылка

Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.

←	Хочу странного - сделать маленький *iso из огромного раздела.

Admin

Squid(transparent+ssl-bump) подключить snort

→

Похожие темы