DNS Server Absichern

  • Hey Leute,


    hab vor nen paar Tagen ne vorsorgliche, weitergeleitete Nachricht von abuse@netcup bekommen, ... wegen eines public DNS Servers. Auf einem meiner vServer läuft dnsmasq bzw. Pihole. Ich nutze den DNS nur für meinen privaten Rechner, bzw. für den VPN auf der gleichen IP.

    So nun meine Frage, hat wer nen paar Tipps, wie man den DNS Server gut absichert? Oder evtl. nur für den VPN den Port 53 freigibt und alle anderen IPs blockiert. Je nach Setting läuft hier garnix mehr.

    Hatte den Server zwischenzeitlich ganz dicht und nur die Hand voll Ports die benötigt werden geöffnet, ... aber mit mäßigem Erfolg:




    Bin für alle Vorschläge offen. Danke :)

    Meine Produkte: definitiv zu viele, RS, VPS, Domains, Webhosting, ...

  • Bzw Hab ich irgend einen Denkfehler beim Freigeben nur für den VPN?


    Code
    iptables -A INPUT -p udp --dport 53 -j DROP
    iptables -A INPUT -p tcp --dport 53 -j DROP
    
    iptables -A INPUT -p udp --dport 53 -s 127.0.0.1 -j
    ACCEPT
    iptables -A INPUT -p tcp --dport 53 -s 127.0.0.1 -j
    ACCEPT

    Meine Produkte: definitiv zu viele, RS, VPS, Domains, Webhosting, ...

  • Hay,


    Ist ein bißchen spät, kann sein, dass ich selbst einen Denkfehler mache :sleeping:

    Das VPN / tun-Interface hat doch eine eigene IP-Adresse bzw. ein Netzwerk, je nachdem wie Du das konfiguriert hast (beide Seiten vom VPN!). Das musst Du für die Regel nehmen - localhost macht zwar nichts kaputt, aber auch nicht fürs VPN erreichbar.


    CU, Peter

    Peter Kleemann // https://www.pkleemann.de // +49 621 1806222-0 // Kann Programme, Internet, Netzwerke und Telefon.

  • Hey, danke für die schnelle Antwort!


    Habs auch schon mit der VPN IP versucht, 10.8.0.0, ... leider ohne Erfolg ?

    Meine Produkte: definitiv zu viele, RS, VPS, Domains, Webhosting, ...

  • -s 10.8.0.0/24 ?


    Und sicher, dass es diese Netz ist? Ist es in der Standardkonfig nicht 10.0.8.0/24 das Netz?


    Egal wie, ich bin ins Bett lol.

    Peter Kleemann // https://www.pkleemann.de // +49 621 1806222-0 // Kann Programme, Internet, Netzwerke und Telefon.

  • Weil es mich nicht einschlafen ließ... 10.8.0.0/24 ist doch richtig.

    Sagte ich ja. Haha.


    Aber hier die Lösung, mit der zumindest ich jetzt sehr gut schlafen kann.


    Zumindest was den zugriff nur via vpn angeht.


    Code
    iptables -I INPUT -i tun0 -j ACCEPT
    
    iptables -A INPUT -i tun0 -p tcp --destination-port 53 -j ACCEPT
    iptables -A INPUT -i tun0 -p udp --destination-port 53 -j ACCEPT
    iptables -I INPUT -i lo -j ACCEPT

    in diesem Sinne. Gute Nacht!

    Meine Produkte: definitiv zu viele, RS, VPS, Domains, Webhosting, ...

  • Hay,


    ja, ich hätte auch den kompletten Traffic über das tun Interface genommen. Habe heute erst daran gedacht, dass ich eine ähnliche Konfiguration in der Firma habe, wobei da das tun-Interface sogar in der internen Zone liegt und damit komplett unbeschränkt ist. Nur einen Port dranzubinden (für Deinen Bedarf) ist natürlich die bessere Variante.


    CU, Peter

    Peter Kleemann // https://www.pkleemann.de // +49 621 1806222-0 // Kann Programme, Internet, Netzwerke und Telefon.

  • Ich habe aber noch eine Frage bzgl. des OUTPUT, wenn ich den ganz droppe, läuft fast nichts mehr, selbst wenn ich den für das tun Interface freigebe :/


    Wie genau sind die Freigaben hierbei zu wählen?


    Würde mich über ne Antwort freuen!

    Meine Produkte: definitiv zu viele, RS, VPS, Domains, Webhosting, ...

  • Hi, als Basic Firewall Regeln nutze ich die hier

    Externer Inhalt gist.github.com
    Inhalte von externen Seiten werden ohne Ihre Zustimmung nicht automatisch geladen und angezeigt.
    Durch die Aktivierung der externen Inhalte erklären Sie sich damit einverstanden, dass personenbezogene Daten an Drittplattformen übermittelt werden. Mehr Informationen dazu haben wir in unserer Datenschutzerklärung zur Verfügung gestellt.


    Nur als Tipp ;)

  • Hi, als Basic Firewall Regeln nutze ich die hier

    Externer Inhalt gist.github.com
    Inhalte von externen Seiten werden ohne Ihre Zustimmung nicht automatisch geladen und angezeigt.
    Durch die Aktivierung der externen Inhalte erklären Sie sich damit einverstanden, dass personenbezogene Daten an Drittplattformen übermittelt werden. Mehr Informationen dazu haben wir in unserer Datenschutzerklärung zur Verfügung gestellt.


    Thx Oliver, werde mich da mal durchwühlen.

    Theoretisch muss ich den OUTPUT nicht droppen, oder irre ich? Ich mein ist ja eh nur das, was rausgeht vom Server. Oder macht es Sinn den Output per iptables auch zu spezifizieren? Ist halt etwas nervig, gerade wenn mehr auf dem System läuft.

    Meine Produkte: definitiv zu viele, RS, VPS, Domains, Webhosting, ...