DNS Server Absichern

  • Hey Leute,


    hab vor nen paar Tagen ne vorsorgliche, weitergeleitete Nachricht von abuse@netcup bekommen, ... wegen eines public DNS Servers. Auf einem meiner vServer läuft dnsmasq bzw. Pihole. Ich nutze den DNS nur für meinen privaten Rechner, bzw. für den VPN auf der gleichen IP.

    So nun meine Frage, hat wer nen paar Tipps, wie man den DNS Server gut absichert? Oder evtl. nur für den VPN den Port 53 freigibt und alle anderen IPs blockiert. Je nach Setting läuft hier garnix mehr.

    Hatte den Server zwischenzeitlich ganz dicht und nur die Hand voll Ports die benötigt werden geöffnet, ... aber mit mäßigem Erfolg:




    Bin für alle Vorschläge offen. Danke :)

  • Bzw Hab ich irgend einen Denkfehler beim Freigeben nur für den VPN?


    Code
    1. iptables -A INPUT -p udp --dport 53 -j DROP
    2. iptables -A INPUT -p tcp --dport 53 -j DROP
    3. iptables -A INPUT -p udp --dport 53 -s 127.0.0.1 -j
    4. ACCEPT
    5. iptables -A INPUT -p tcp --dport 53 -s 127.0.0.1 -j
    6. ACCEPT
  • Hay,


    Ist ein bißchen spät, kann sein, dass ich selbst einen Denkfehler mache :sleeping:

    Das VPN / tun-Interface hat doch eine eigene IP-Adresse bzw. ein Netzwerk, je nachdem wie Du das konfiguriert hast (beide Seiten vom VPN!). Das musst Du für die Regel nehmen - localhost macht zwar nichts kaputt, aber auch nicht fürs VPN erreichbar.


    CU, Peter

  • Hey, danke für die schnelle Antwort!


    Habs auch schon mit der VPN IP versucht, 10.8.0.0, ... leider ohne Erfolg 😓

  • Weil es mich nicht einschlafen ließ... 10.8.0.0/24 ist doch richtig.

    Sagte ich ja. Haha.


    Aber hier die Lösung, mit der zumindest ich jetzt sehr gut schlafen kann.


    Zumindest was den zugriff nur via vpn angeht.


    Code
    1. iptables -I INPUT -i tun0 -j ACCEPT
    2. iptables -A INPUT -i tun0 -p tcp --destination-port 53 -j ACCEPT
    3. iptables -A INPUT -i tun0 -p udp --destination-port 53 -j ACCEPT
    4. iptables -I INPUT -i lo -j ACCEPT

    in diesem Sinne. Gute Nacht!

  • Hay,


    ja, ich hätte auch den kompletten Traffic über das tun Interface genommen. Habe heute erst daran gedacht, dass ich eine ähnliche Konfiguration in der Firma habe, wobei da das tun-Interface sogar in der internen Zone liegt und damit komplett unbeschränkt ist. Nur einen Port dranzubinden (für Deinen Bedarf) ist natürlich die bessere Variante.


    CU, Peter

  • Ich habe aber noch eine Frage bzgl. des OUTPUT, wenn ich den ganz droppe, läuft fast nichts mehr, selbst wenn ich den für das tun Interface freigebe :/


    Wie genau sind die Freigaben hierbei zu wählen?


    Würde mich über ne Antwort freuen!

  • Hi, als Basic Firewall Regeln nutze ich die hier


    Thx Oliver, werde mich da mal durchwühlen.

    Theoretisch muss ich den OUTPUT nicht droppen, oder irre ich? Ich mein ist ja eh nur das, was rausgeht vom Server. Oder macht es Sinn den Output per iptables auch zu spezifizieren? Ist halt etwas nervig, gerade wenn mehr auf dem System läuft.