The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

форумы
правила/FAQ
поиск
регистрация
вход
слежка
RSS



Версия для распечатки Пред. тема | След. тема
Новые ответы [ Отслеживать ]
DNS spoofing Cisco 2811 (Закрыть рекурсивные DNS запросы), !*! Plastilin, 18-Июл-11, 17:08  [смотреть все]
Доброго времени суток. Была задача настроить форвард днс запросов с Cisco на внутренний DNS сервер.

Имеем: внутренний адрес Cisco: 192.168.2.1
Внутренний адрес DNS сервера: 192.168.2.21

При настройке сделано следующее:

ip name-server 192.168.2.21
ip domain-lookup
ip dns server
ip dns spoofing 192.168.2.21


Все работает, однако есть одна небольшая проблема, стали доступны рекурсивные запросы к ДНС серверу 192.168.2.21 через внешний интерфейс Cisco. То есть теперь можно из мира спросить у циски кто например www.ru и она отвечает. Как это закрыть?

Ответить | Сообщить модератору
  • DNS spoofing Cisco 2811 (Закрыть рекурсивные DNS запросы), !*! Аноним, 00:04 , 19-Июл-11 (1)
    Т.е. у вас адрес 192.168.2.21 висит на внешнем интерфейсе. Замечательно.
    Ответить | Сообщить модератору
    • DNS spoofing Cisco 2811 (Закрыть рекурсивные DNS запросы), !*! Plastilin, 01:37 , 19-Июл-11 (2)
      > Т.е. у вас адрес 192.168.2.21 висит на внешнем интерфейсе. Замечательно.

      Не вижу здесь ничего замечательного. Просто я решил опустить подробность того, что на внешнем интерфейсе вист честный белый айпи. Думал что это и так понятно судя из темы. Если же такая подрбность необходима:

      Внешний: ххх.ххх.ххх.ххх/32
      Внутренний: 192.168.2.1/24

      Ответить | Сообщить модератору
      • DNS spoofing Cisco 2811 (Закрыть рекурсивные DNS запросы), !*! Plastilin, 01:39 , 19-Июл-11 (3)
        >> Т.е. у вас адрес 192.168.2.21 висит на внешнем интерфейсе. Замечательно.
        > Не вижу здесь ничего замечательного. Просто я решил опустить подробность того, что
        > на внешнем интерфейсе вист честный белый айпи. Думал что это и
        > так понятно судя из темы. Если же такая подрбность необходима:
        > Внешний: ххх.ххх.ххх.ххх/32
        > Внутренний: 192.168.2.1/24

        UPD: 192.168.2.21 - адрес днс сервера внутри сети

        Ответить | Сообщить модератору
        • DNS spoofing Cisco 2811 (Закрыть рекурсивные DNS запросы), !*! OvDP, 04:59 , 19-Июл-11 (4)
          >>> Т.е. у вас адрес 192.168.2.21 висит на внешнем интерфейсе. Замечательно.
          >> Не вижу здесь ничего замечательного. Просто я решил опустить подробность того, что
          >> на внешнем интерфейсе вист честный белый айпи. Думал что это и
          >> так понятно судя из темы. Если же такая подрбность необходима:
          >> Внешний: ххх.ххх.ххх.ххх/32
          >> Внутренний: 192.168.2.1/24
          > UPD: 192.168.2.21 - адрес днс сервера внутри сети

          этим же например страдает NTP, поэтому ACLом закрыть на аутсайде всё что не нужно

          Ответить | Сообщить модератору
          • DNS spoofing Cisco 2811 (Закрыть рекурсивные DNS запросы), !*! VolanD, 06:37 , 19-Июл-11 (5)
            >>>> Т.е. у вас адрес 192.168.2.21 висит на внешнем интерфейсе. Замечательно.
            >>> Не вижу здесь ничего замечательного. Просто я решил опустить подробность того, что
            >>> на внешнем интерфейсе вист честный белый айпи. Думал что это и
            >>> так понятно судя из темы. Если же такая подрбность необходима:
            >>> Внешний: ххх.ххх.ххх.ххх/32
            >>> Внутренний: 192.168.2.1/24
            >> UPD: 192.168.2.21 - адрес днс сервера внутри сети
            > этим же например страдает NTP, поэтому ACLом закрыть на аутсайде всё что
            > не нужно

            А если ДНС поддерживает какой-нить домен?

            Ответить | Сообщить модератору
            • DNS spoofing Cisco 2811 (Закрыть рекурсивные DNS запросы), !*! OvDP, 06:47 , 19-Июл-11 (6)
              >>>>> Т.е. у вас адрес 192.168.2.21 висит на внешнем интерфейсе. Замечательно.
              >>>> Не вижу здесь ничего замечательного. Просто я решил опустить подробность того, что
              >>>> на внешнем интерфейсе вист честный белый айпи. Думал что это и
              >>>> так понятно судя из темы. Если же такая подрбность необходима:
              >>>> Внешний: ххх.ххх.ххх.ххх/32
              >>>> Внутренний: 192.168.2.1/24
              >>> UPD: 192.168.2.21 - адрес днс сервера внутри сети
              >> этим же например страдает NTP, поэтому ACLом закрыть на аутсайде всё что
              >> не нужно
              > А если ДНС поддерживает какой-нить домен?

              А зачем фантазировать? :)

              Ответить | Сообщить модератору
              • DNS spoofing Cisco 2811 (Закрыть рекурсивные DNS запросы), !*! VolanD, 06:58 , 19-Июл-11 (7)
                >[оверквотинг удален]
                >>>>> Не вижу здесь ничего замечательного. Просто я решил опустить подробность того, что
                >>>>> на внешнем интерфейсе вист честный белый айпи. Думал что это и
                >>>>> так понятно судя из темы. Если же такая подрбность необходима:
                >>>>> Внешний: ххх.ххх.ххх.ххх/32
                >>>>> Внутренний: 192.168.2.1/24
                >>>> UPD: 192.168.2.21 - адрес днс сервера внутри сети
                >>> этим же например страдает NTP, поэтому ACLом закрыть на аутсайде всё что
                >>> не нужно
                >> А если ДНС поддерживает какой-нить домен?
                > А зачем фантазировать? :)

                Ну я просто, ради просвящения)) Допустим днс поддерживает домен, т.е. мы не можем закрыть на вход 53 порт. Тогда только на ДНС запрещать рекусию?

                Ответить | Сообщить модератору
                • DNS spoofing Cisco 2811 (Закрыть рекурсивные DNS запросы), !*! OvDP, 08:06 , 19-Июл-11 (8)
                  >[оверквотинг удален]
                  >>>>>> Внешний: ххх.ххх.ххх.ххх/32
                  >>>>>> Внутренний: 192.168.2.1/24
                  >>>>> UPD: 192.168.2.21 - адрес днс сервера внутри сети
                  >>>> этим же например страдает NTP, поэтому ACLом закрыть на аутсайде всё что
                  >>>> не нужно
                  >>> А если ДНС поддерживает какой-нить домен?
                  >> А зачем фантазировать? :)
                  > Ну я просто, ради просвящения)) Допустим днс поддерживает домен, т.е. мы не
                  > можем закрыть на вход 53 порт. Тогда только на ДНС запрещать
                  > рекусию?

                  поправьте меня если я не прав: поскольку для внутреннего днс все запросы идут от киски (независимо от того с какого интерфейса внутреннего или внешнего спуфился реквест), то отключать рекурсию на днс наверно зло с точки зрения локальных писюков.

                  имхо в случае наличия поддержки домена следует отказаться от спуфинга как такого, кинуть днс в дмз и настроить поддержку рекурсивных запросов только для локальных хостов.

                  Ответить | Сообщить модератору
                  • DNS spoofing Cisco 2811 (Закрыть рекурсивные DNS запросы), !*! Plastilin, 11:17 , 19-Июл-11 (9)
                    >[оверквотинг удален]
                    >> Ну я просто, ради просвящения)) Допустим днс поддерживает домен, т.е. мы не
                    >> можем закрыть на вход 53 порт. Тогда только на ДНС запрещать
                    >> рекусию?
                    > поправьте меня если я не прав: поскольку для внутреннего днс все запросы
                    > идут от киски (независимо от того с какого интерфейса внутреннего или
                    > внешнего спуфился реквест), то отключать рекурсию на днс наверно зло с
                    > точки зрения локальных писюков.
                    > имхо в случае наличия поддержки домена следует отказаться от спуфинга как такого,
                    > кинуть днс в дмз и настроить поддержку рекурсивных запросов только для
                    > локальных хостов.

                    Поправочка, на циске фукция ДНС используется исключительно для заворачивания запросов клиентов на внутренний ДНС сервер.

                    Ответить | Сообщить модератору
                    • DNS spoofing Cisco 2811 (Закрыть рекурсивные DNS запросы), !*! VolanD, 18:26 , 19-Июл-11 (10)
                      >[оверквотинг удален]
                      >>> рекусию?
                      >> поправьте меня если я не прав: поскольку для внутреннего днс все запросы
                      >> идут от киски (независимо от того с какого интерфейса внутреннего или
                      >> внешнего спуфился реквест), то отключать рекурсию на днс наверно зло с
                      >> точки зрения локальных писюков.
                      >> имхо в случае наличия поддержки домена следует отказаться от спуфинга как такого,
                      >> кинуть днс в дмз и настроить поддержку рекурсивных запросов только для
                      >> локальных хостов.
                      > Поправочка, на циске фукция ДНС используется исключительно для заворачивания запросов
                      > клиентов на внутренний ДНС сервер.

                      А чем от rdr отличается?

                      Ответить | Сообщить модератору

Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей 		Created 1996-2025 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру