URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID6
Нить номер: 22895
[ Назад ]

Исходное сообщение
"DNS spoofing Cisco 2811 (Закрыть рекурсивные DNS запросы)"
Отправлено Plastilin , 18-Июл-11 17:08

Доброго времени суток. Была задача настроить форвард днс запросов с Cisco на внутренний DNS сервер.
Имеем: внутренний адрес Cisco: 192.168.2.1
Внутренний адрес DNS сервера: 192.168.2.21
При настройке сделано следующее:
ip name-server 192.168.2.21
ip domain-lookup
ip dns server
ip dns spoofing 192.168.2.21

Все работает, однако есть одна небольшая проблема, стали доступны рекурсивные запросы к ДНС серверу 192.168.2.21 через внешний интерфейс Cisco. То есть теперь можно из мира спросить у циски кто например www.ru и она отвечает. Как это закрыть?

Содержание

DNS spoofing Cisco 2811 (Закрыть рекурсивные DNS запросы),Аноним, 00:04 , 19-Июл-11
- DNS spoofing Cisco 2811 (Закрыть рекурсивные DNS запросы),Plastilin, 01:37 , 19-Июл-11
  - DNS spoofing Cisco 2811 (Закрыть рекурсивные DNS запросы),Plastilin, 01:39 , 19-Июл-11
    - DNS spoofing Cisco 2811 (Закрыть рекурсивные DNS запросы),OvDP, 04:59 , 19-Июл-11
      - DNS spoofing Cisco 2811 (Закрыть рекурсивные DNS запросы),VolanD, 06:37 , 19-Июл-11
        
        DNS spoofing Cisco 2811 (Закрыть рекурсивные DNS запросы),OvDP, 06:47 , 19-Июл-11
        
        DNS spoofing Cisco 2811 (Закрыть рекурсивные DNS запросы),VolanD, 06:58 , 19-Июл-11
        
        DNS spoofing Cisco 2811 (Закрыть рекурсивные DNS запросы),OvDP, 08:06 , 19-Июл-11
        
        DNS spoofing Cisco 2811 (Закрыть рекурсивные DNS запросы),Plastilin, 11:17 , 19-Июл-11
        
        DNS spoofing Cisco 2811 (Закрыть рекурсивные DNS запросы),VolanD, 18:26 , 19-Июл-11

Сообщения в этом обсуждении

"DNS spoofing Cisco 2811 (Закрыть рекурсивные DNS запросы)"
Отправлено Аноним , 19-Июл-11 00:04

Т.е. у вас адрес 192.168.2.21 висит на внешнем интерфейсе. Замечательно.

"DNS spoofing Cisco 2811 (Закрыть рекурсивные DNS запросы)"
Отправлено Plastilin , 19-Июл-11 01:37

> Т.е. у вас адрес 192.168.2.21 висит на внешнем интерфейсе. Замечательно.
Не вижу здесь ничего замечательного. Просто я решил опустить подробность того, что на внешнем интерфейсе вист честный белый айпи. Думал что это и так понятно судя из темы. Если же такая подрбность необходима:
Внешний: ххх.ххх.ххх.ххх/32
Внутренний: 192.168.2.1/24

"DNS spoofing Cisco 2811 (Закрыть рекурсивные DNS запросы)"
Отправлено Plastilin , 19-Июл-11 01:39

>> Т.е. у вас адрес 192.168.2.21 висит на внешнем интерфейсе. Замечательно.
> Не вижу здесь ничего замечательного. Просто я решил опустить подробность того, что
> на внешнем интерфейсе вист честный белый айпи. Думал что это и
> так понятно судя из темы. Если же такая подрбность необходима:
> Внешний: ххх.ххх.ххх.ххх/32
> Внутренний: 192.168.2.1/24
UPD: 192.168.2.21 - адрес днс сервера внутри сети

"DNS spoofing Cisco 2811 (Закрыть рекурсивные DNS запросы)"
Отправлено OvDP , 19-Июл-11 04:59

>>> Т.е. у вас адрес 192.168.2.21 висит на внешнем интерфейсе. Замечательно.
>> Не вижу здесь ничего замечательного. Просто я решил опустить подробность того, что
>> на внешнем интерфейсе вист честный белый айпи. Думал что это и
>> так понятно судя из темы. Если же такая подрбность необходима:
>> Внешний: ххх.ххх.ххх.ххх/32
>> Внутренний: 192.168.2.1/24
> UPD: 192.168.2.21 - адрес днс сервера внутри сети
этим же например страдает NTP, поэтому ACLом закрыть на аутсайде всё что не нужно

"DNS spoofing Cisco 2811 (Закрыть рекурсивные DNS запросы)"
Отправлено VolanD , 19-Июл-11 06:37

>>>> Т.е. у вас адрес 192.168.2.21 висит на внешнем интерфейсе. Замечательно.
>>> Не вижу здесь ничего замечательного. Просто я решил опустить подробность того, что
>>> на внешнем интерфейсе вист честный белый айпи. Думал что это и
>>> так понятно судя из темы. Если же такая подрбность необходима:
>>> Внешний: ххх.ххх.ххх.ххх/32
>>> Внутренний: 192.168.2.1/24
>> UPD: 192.168.2.21 - адрес днс сервера внутри сети
> этим же например страдает NTP, поэтому ACLом закрыть на аутсайде всё что
> не нужно
А если ДНС поддерживает какой-нить домен?

"DNS spoofing Cisco 2811 (Закрыть рекурсивные DNS запросы)"
Отправлено OvDP , 19-Июл-11 06:47

>>>>> Т.е. у вас адрес 192.168.2.21 висит на внешнем интерфейсе. Замечательно.
>>>> Не вижу здесь ничего замечательного. Просто я решил опустить подробность того, что
>>>> на внешнем интерфейсе вист честный белый айпи. Думал что это и
>>>> так понятно судя из темы. Если же такая подрбность необходима:
>>>> Внешний: ххх.ххх.ххх.ххх/32
>>>> Внутренний: 192.168.2.1/24
>>> UPD: 192.168.2.21 - адрес днс сервера внутри сети
>> этим же например страдает NTP, поэтому ACLом закрыть на аутсайде всё что
>> не нужно
> А если ДНС поддерживает какой-нить домен?
А зачем фантазировать? :)

"DNS spoofing Cisco 2811 (Закрыть рекурсивные DNS запросы)"
Отправлено VolanD , 19-Июл-11 06:58

>[оверквотинг удален]
>>>>> Не вижу здесь ничего замечательного. Просто я решил опустить подробность того, что
>>>>> на внешнем интерфейсе вист честный белый айпи. Думал что это и
>>>>> так понятно судя из темы. Если же такая подрбность необходима:
>>>>> Внешний: ххх.ххх.ххх.ххх/32
>>>>> Внутренний: 192.168.2.1/24
>>>> UPD: 192.168.2.21 - адрес днс сервера внутри сети
>>> этим же например страдает NTP, поэтому ACLом закрыть на аутсайде всё что
>>> не нужно
>> А если ДНС поддерживает какой-нить домен?
> А зачем фантазировать? :)
Ну я просто, ради просвящения)) Допустим днс поддерживает домен, т.е. мы не можем закрыть на вход 53 порт. Тогда только на ДНС запрещать рекусию?

"DNS spoofing Cisco 2811 (Закрыть рекурсивные DNS запросы)"
Отправлено OvDP , 19-Июл-11 08:06

>[оверквотинг удален]
>>>>>> Внешний: ххх.ххх.ххх.ххх/32
>>>>>> Внутренний: 192.168.2.1/24
>>>>> UPD: 192.168.2.21 - адрес днс сервера внутри сети
>>>> этим же например страдает NTP, поэтому ACLом закрыть на аутсайде всё что
>>>> не нужно
>>> А если ДНС поддерживает какой-нить домен?
>> А зачем фантазировать? :)
> Ну я просто, ради просвящения)) Допустим днс поддерживает домен, т.е. мы не
> можем закрыть на вход 53 порт. Тогда только на ДНС запрещать
> рекусию?
поправьте меня если я не прав: поскольку для внутреннего днс все запросы идут от киски (независимо от того с какого интерфейса внутреннего или внешнего спуфился реквест), то отключать рекурсию на днс наверно зло с точки зрения локальных писюков.
имхо в случае наличия поддержки домена следует отказаться от спуфинга как такого, кинуть днс в дмз и настроить поддержку рекурсивных запросов только для локальных хостов.

"DNS spoofing Cisco 2811 (Закрыть рекурсивные DNS запросы)"
Отправлено Plastilin , 19-Июл-11 11:17

>[оверквотинг удален]
>> Ну я просто, ради просвящения)) Допустим днс поддерживает домен, т.е. мы не
>> можем закрыть на вход 53 порт. Тогда только на ДНС запрещать
>> рекусию?
> поправьте меня если я не прав: поскольку для внутреннего днс все запросы
> идут от киски (независимо от того с какого интерфейса внутреннего или
> внешнего спуфился реквест), то отключать рекурсию на днс наверно зло с
> точки зрения локальных писюков.
> имхо в случае наличия поддержки домена следует отказаться от спуфинга как такого,
> кинуть днс в дмз и настроить поддержку рекурсивных запросов только для
> локальных хостов.
Поправочка, на циске фукция ДНС используется исключительно для заворачивания запросов клиентов на внутренний ДНС сервер.

"DNS spoofing Cisco 2811 (Закрыть рекурсивные DNS запросы)"
Отправлено VolanD , 19-Июл-11 18:26

>[оверквотинг удален]
>>> рекусию?
>> поправьте меня если я не прав: поскольку для внутреннего днс все запросы
>> идут от киски (независимо от того с какого интерфейса внутреннего или
>> внешнего спуфился реквест), то отключать рекурсию на днс наверно зло с
>> точки зрения локальных писюков.
>> имхо в случае наличия поддержки домена следует отказаться от спуфинга как такого,
>> кинуть днс в дмз и настроить поддержку рекурсивных запросов только для
>> локальных хостов.
> Поправочка, на циске фукция ДНС используется исключительно для заворачивания запросов
> клиентов на внутренний ДНС сервер.
А чем от rdr отличается?