Hey Leute,
hab vor nen paar Tagen ne vorsorgliche, weitergeleitete Nachricht von abuse@netcup bekommen, ... wegen eines public DNS Servers. Auf einem meiner vServer läuft dnsmasq bzw. Pihole. Ich nutze den DNS nur für meinen privaten Rechner, bzw. für den VPN auf der gleichen IP.
So nun meine Frage, hat wer nen paar Tipps, wie man den DNS Server gut absichert? Oder evtl. nur für den VPN den Port 53 freigibt und alle anderen IPs blockiert. Je nach Setting läuft hier garnix mehr.
Hatte den Server zwischenzeitlich ganz dicht und nur die Hand voll Ports die benötigt werden geöffnet, ... aber mit mäßigem Erfolg:
Code
iptables -A INPUT -m state --state
ESTABLISHED,RELATED -j ACCEPT
iptables -A OUTPUT -m state --state
ESTABLISHED,RELATED -j ACCEPT
iptables -P INPUT DROP
iptables -P OUTPUT DROP
iptables -A INPUT -p tcp --dport 22448 -j
ACCEPT # ssh
iptables -A INPUT -p tcp --dport 21 -j
ACCEPT # ftp
iptables -A INPUT -p tcp --dport 8887 -j
ACCEPT # znc
iptables -A INPUT -p tcp --dport 21212 -j
ACCEPT # znc_web
iptables -A INPUT -p tcp --dport 80 -j
ACCEPT # http
iptables -A INPUT -p tcp --dport 443 -j
ACCEPT # https
iptables -A OUTPUT -p udp --dport 53 -j
ACCEPT # dns
iptables -A OUTPUT -p tcp --dport 53 -j
ACCEPT # dns
iptables -A INPUT -p tcp \! --syn -j ACCEPT
iptables -A OUTPUT -p tcp \! --syn -j
ACCEPT
iptables -A INPUT -p udp --sport 53 -j
ACCEPT # dns responses
iptables -A INPUT -p icmp --icmp-type
destination-unreachable -j ACCEPT
iptables -t raw -I PREROUTING -j NOTRACK
iptables -t raw -I OUTPUT -j NOTRACK
iptables -A INPUT -p icmp --icmp-type
destination-unreachable -j ACCEPT # icmp routing messages
ipset create throttled-ips hash:ip timeout
600 family inet maxelem 100000
iptables -t raw -A PREROUTING -p udp -m set
--match-set throttled-ips src -j DROP
iptables -N LARGE_DNS_PACKET_TRACKING #
Create the destination chain
iptables -A OUTPUT -p udp --sport 53 -m
length --length 700:0xffff -j LARGE_DNS_PACKET_TRACKING
iptables -A LARGE_DNS_PACKET_TRACKING -m
hashlimit --hashlimit-mode dstip --hashlimit-dstmask 32 --hashlimit-upto
50kb/min --hashlimit-burst 10 --hashlimit-name large-dns-packets
--hashlimit-htable-max 100000 -j ACCEPT
iptables -A LARGE_DNS_PACKET_TRACKING -j
SET --add-set throttled-ips dstip --timeout 600 --exist
iptables -A LARGE_DNS_PACKET_TRACKING -j
LOG --log-prefix "DNS-amplification protection: "
iptables -A LARGE_DNS_PACKET_TRACKING -j
DROP
Display More
Bin für alle Vorschläge offen. Danke