DNS server πίσω από firewall?

Το πρόβλημα…

There are lots of badly constructed firewalls.

  • Some block source port != 53
  • Some block source port < 1024
  • Some block source port 1024-1030 (rpc ports)
  • Some block source port ~7000 (irc ports)

If you have a nameserver you should allow traffic to port 53
on the nameserver regardless of the source port. It should
also allow reply traffic to any destination port.

…ο σωστός τρόπος

With a first match firewall you should have rules like:

state-full firewall

  • check-state ; allow inbound replies
  • allow any to nameserver 53 in ; allow inbound queries
  • allow nameserver 53 to any out ; allow replies
  • allow any to any 53 out keep-state ; allow outbound queries
  • <put your general blocks here>

state-less firewall (query-source port 53)

  • allow tcp established
  • allow any to nameserver 53 in ; allow inbound queries and inbound replies
  • allow nameserver 53 to any out ; allow replies
  • allow udp any 53 to any 53 out ; allow outbound queries
  • <put your general blocks here>

If you are worried about too much state being kept with the state-full
firewall you can do it as a state-less firewall for the recursive
servers by inserting a rule like this before the keep-state rule

  • allow udp <recursive server> 53 to any 53 out

Bind has a built in list of ports for which it will not
responed to with error messages. It will also not reply
to responses.

(ref)

Τι καταλήγει στον DNS ενός ISP;

Με χρήση του dnstop για 10 μόνο λεπτάκια βρίσκει κανείς πολύ εύκολα..

  • Reverse από rfc1918 domains (κατα σειρά εμφάνισης)
    • *.168.192.in-addr.arpa
    • *.10.in-addr.arpa
  • Unknown TLDs (κατα σειρά εμφάνισης)
    • lvs_proxy
    • *.domain_not_set.invalid
    • *.lan
    • *.local
    • wpad
    • *.gateway
    • *.none
    • localhost
  • Top invalid destinations (κατα σειρά εμφάνισης)
  • Top destinations (κατα σειρά εμφάνισης)
    • ntp servers: time-nw.nist.gov, time.nist.gov, stdtime.gov.tw
    • root-servers.net
    • myspacedn.com
    • google.com
    • yahoo.com
    • dyndns.org
    • microsoft.com
    • facebook.com
    • msn.com
    • hi5.com
    • no-ip.info
    • youtube.com
    • google-analytics.com
    • live.com
    • intel.com
    • bitcomet.org
    • googlesyndication.com
    • imageshack.us
    • photobucket.com
    • thepiratebay.org
    • doubleclick.net
    • ath.cx

Επίσης μπορείς εύκολα να καταλάβεις

  • ποιοί είναι mail servers (MX queries, PTR queries, queries σε dnsbls)
  • ποιοί κάνουν mail spam πιθανώς από κάποιο worm infection (από τα συνεχόμενα MX queries χωρίς άλλα checks)
  • ποιοί σε έχουν βάλει για dns forwarder ..

DNS Survey Oct 2007

Το DNS Survey που έγινε τον Οκτώβριο από το Measurement Factory (με sponsor την Infoblox) έχει ορισμένα πολύ ενδιαφέροντα στατιστικά για τους NS του Internet..

Μερικά γρήγορα συμπεράσματα:

  • Το Bind 9 ζει και βασιλεύει (αλλά ο Nominum CNS έχει 20%!).
  • Υπάρχουν ακόμα πολλοί resolvers που επιτρέπουν recursion και αρκετοί που επιτρέπουν zone transfers (γιατί έτσι μάθαμε το Internet :)).
  • IPv6 και DNSSEC ακόμα …τίποτα!
  • Ευτυχώς οι περισσότεροι NS είναι topologically dispersed σε κάτι μεγαλύτερο απο /24. Μάλλον είναι μόνο Ελληνικό το φαινόμενο τα domains να έχουν δύο NS οι οποίοι είναι ip aliases στο ίδιο μηχάνημα..
  • Δυστυχώς μόνο το 50% των NS είναι consistent μεταξύ registrar και actual zone.

Μπορείτε επίσης να διαβάσετε την ανάλυση των αποτελεσμάτων από τον Cricket Liu (2 σελίδες executive summary, θέλει registration και μετά η infoblox στέλνει μια στο τόσο ενημερωτικά για τα προϊόντα της, well targeted και συνήθως ενδιαφέροντα).