Doch, machst Du ja offensichtlich auf dem Netcup Server. Oder Du hast Dich bisher extrem unklar ausgedrückt. Und in der Tat, PiHole ist nicht dafür gedacht als Open Resolver zu fungieren.
Naja öffentlich und wirklich öffentlich ist wohl noch ein Unterschied.
Oder sind alle Dateien, Scripte und Services die auf den NetCup Server laufen gleich öffentlich? Ich glaube wohl nicht. Ansonsten dürfte man ja gar nichts betreiben.
Anscheinend hab ich mich da wohl noch nicht ganz klar ausgedrückt.
Google "DNS amplification attack" für einen Grund dagegen. Schau Dir DNS amplification DDoS attack | Cloudflare an.
Dazu ein Ausschnitt aus der Seite:
https://www.cloudflare.com/de-de/learning/ddos/dns-amplification-ddos-attack/
Zitat
Reduzieren Sie die Gesamtanzahl offener DNS-Resolver
Eine grundlegende Komponente von DNS-Amplification-Angriffen ist der Zugriff auf offene DNS-Resolver. Wenn schlecht konfigurierte DNS-Resolver dem Internet verfügbar gemacht werden, muss ein Angreifer lediglich einen DNS-Resolver entdecken, um ihn benutzen zu können. Im Idealfall sollten DNS-Resolver ihre Dienste nur Geräten zur Verfügung stellen, die ihren Ursprung innerhalb einer vertrauenswürdigen Domain haben. Im Fall von Reflection-basierten Angriffen antworten die offenen DNS-Resolver auf Abfragen von überall im Internet und lassen möglichen Missbrauch zu. Wenn ein DNS-Resolver so eingeschränkt wird, dass er nur auf Abfragen von vertrauenswürdigen Quellen antwortet, wird der Server zu einem schlechten Vehikel für jeden Amplification-Angriffstyp.
Es sind ja nur meine beiden IP Adressen frei geschaltet.
Sondern? Wenn er auf dem Root bei Netcup läuft, ist er öffentlich.
Es ist ja wie oben schon gesagt nicht gleich öffentlich.
Ich kann alles mögliche auf meinem Server laufen haben, so lange ich kein Port oder Verbindung öffne, ist da ja nichts dran "öffentlich".
Oder verstehe ich gerade nicht wie du das meinst?
Und Du bist erneut auf dem besten Weg dahin.
Noch, wage ich das zu bezweifeln.
Also seit locker 5 Jahren oder mehr hab ich keinerlei Probleme, was die Sicherheit auf meinen Servern an geht. Scheine da wohl bisher nicht mehr ganz so viel verkehrt gemacht zu haben.
Aber Fehler schleichen sich natürlich immer Mal ein.
Und das kommt von jemand, dem o.g. passiert ist...? Sorry wenn ich skeptisch bin.
Naja, finde ich ne doofe Aussage. Jedem passieren Fehler, daraus lernt man halt auch. Deswegen heißt es nicht, dass ich nicht IP Adressen/Ports freigeben oder sperren könnte.
?? Dann kann der Server gar nichts mehr an jemand anderen ausliefern, was den Server quasi nutzlos für andere Anwendungen (z.B. Websites) macht.
Naja nur weil ich z. B. DNS Anfragen zu bestimmten IPs oder Diensten Sperre, sind ja andere Dienste davon nicht zwangsläufig betroffen. Als Beispiel, wenn ich zum Beispiel Cloudflare zum Auflösen von DNS benutze und komplett alle anderen DNS Services sperren würde, könnte ja keine Angriffe mehr entstehen, zumindest an DNS Dienste. Also zumindest von außen. Wenn man natürlich auf dem Server selbst sich rein hacken würde dann wäre eh alles gelaufen.
Wenn sich Deine IP ändert, was passieren wird, wenn Du nicht gerade eine fixe IP hast (beim Mobiltelefon definitiv permanent), wird nichts mehr funktionieren, da Deine Endgeräte keinen DNS Server mehr erreichen können.
Ja die IPs ändern sich, wie bei fast jedem privaten Provider. Dementsprechend halt einfach die neue IP frei schalten und die alte Freigabe raus löschen. Schon läuft alles weiter.
Deine Infos sind so schwammig, dass Du erst mal mehr Infos über das Vorhaben liefern solltest, bevor wir mehr Infos geben (können).
Entschuldige bitte, wenn ich mich anscheinend so unklar ausgedrückt habe.
Dachte eigentlich, dass man das oben so versteht.
Naja nochmal kurz und knackig:
Root-Server: PiHole mit Unbound im Hintergrund.
Client gibt IP von sich preis, diese wird auf dem Server für DNS freigegeben.
(Da nochmal zur Sicherheit) - Daten verschlüsselt, mit Passwort gesichert, getrennt von dem Rest. Damit nicht einfach irgendwer ne IP freigeben kann.
ufw allow from IP proto UDP to any port 53
Danach funktioniert die DNS Auflösung.
Hoffe, dass es ein wenig verständlicher wird.
Wie gesagt generell ist Port 53 dicht. Nur die IPs die ich freigebe, können überhaupt auf den PiHole Service zugreifen.
Standard-Port hatte ich auch geändert gehabt auf einen eigenen, ist aktuell nur zur Kompatibilität auf 53 zurück gestellt.
Macht wahrscheinlich durch die Art der Freigabe eh keinen wirklichen Unterschied.
MfG ✌🏼