|
Anmeldungsdatum: Beiträge: 235 |
Guten tag erst mal. Ich hab da mal eine frage, wie muss ich dnsmasq einstellen, das es nur auf ein subnetz beschränkt lauscht? in meinem fall wäre es ein /28. dnsmasq läuft auf meinem root server als dns und dchp server für die vms, wo auf dem server laufen (vmware esxi). Ich bekomme ständig die nachricht das er als "Offene DNS-Resolver" läuft und es immer öfters zu DNS-Amplification angriffen käme. MEine frage wäre es also, geht es das dnsmasq nur ein subnetz lauscht? gruss conan |
||||
|
Anmeldungsdatum: Beiträge: 14388 |
Du könntest den Zugriff auf dnsmasq, von außerhalb des /28-er Subnetzes, auch mit iptables blocken. Wie ist z. Zt. die Ausgabe von: sudo netstat -tulpen | grep -i dnsm ? |
||||
|
(Themenstarter)
Anmeldungsdatum: Beiträge: 235 |
Wie es geblockt wird, ist mir egal, wen es über iptables geht, ist es für mich ok.
|
||||
|
Anmeldungsdatum: Beiträge: 14388 |
tcp 0 0 188.40.XXX.XXX:53 0.0.0.0:* LISTEN 0 19885 1746/dnsmasq tcp6 0 0 2a01:XXX:XXX:XXX::2:53 :::* LISTEN 0 19891 1746/dnsmasq udp 0 0 188.40.xxx.xxx: 0.0.0.0:* 0 19884 1746/dnsmasq udp6 0 0 2a01:xxx:xxx:xxx::2:53 :::* 0 19890 1746/dnsmasq Dein dnsmasq lauscht an einem Interface das eine externe/öffentliche IP-Adresse hat. Was für Subnetz ist das /28-er, aus dem der Zugriff auf den dnsmasq möglich sein soll? |
||||
|
(Themenstarter)
Anmeldungsdatum: Beiträge: 235 |
das stimmt so. der root server steht bei hetzner und hat 2 öffentliche IPs, mit interfaces eth0 und eht1, das ist ne vmware sache, man muss eine router vm daziwschen hängen, alle daten kommen über eht0 rein und über eht1 gehen die daten an die restlichen vms. Alle ips sind statisch: 188.40.xxx.xxx /28 ist die range. |
||||
|
Anmeldungsdatum: Beiträge: 14388 |
Dann versuch mal (als Test) mit: sudo ip6tables -I INPUT 1 -p tcp -i eth0 --dport 53 -j REJECT sudo ip6tables -I INPUT 1 -p udp -i eth0 --dport 53 -j REJECT sudo iptables -I INPUT 1 -p tcp -i eth0 ! -s 188.40.xxx.xxx/28 --dport 53 -j REJECT sudo iptables -I INPUT 1 -p udp -i eth0 ! -s 188.40.xxx.xxx/28 --dport 53 -j REJECT Die Regeln sind zum testen und noch nicht persistent, wenn sie so eingegeben werden. Ich denke aber nicht, dass damit die Nachrichten: ... als "Offene DNS-Resolver" läuft und es immer öfters zu DNS-Amplification angriffen käme. , weg sein werden. EDIT: ... alle daten kommen über eht0 rein und über eht1 gehen die daten ... eht oder eth? |
||||
|
(Themenstarter)
Anmeldungsdatum: Beiträge: 235 |
ich hab es so gedacht, wen mein dsnmasq nur auf mein subnetz reagiert, kann es von ausen nicht mehr getestet werden:
|
||||
|
Anmeldungsdatum: Beiträge: 14388 |
|||||
|
Ehemalige
Anmeldungsdatum: Beiträge: 4403 Wohnort: Sachsen |
Ich würde dnsmasq einfach so einstellen, dass er nicht öffentlich lauscht. Dazu gibt es diesen Block in der Konfigurationsdatei: # If you want dnsmasq to listen for DHCP and DNS requests only on # specified interfaces (and the loopback) give the name of the # interface (eg eth0) here. # Repeat the line for more than one interface. #interface= # Or you can specify which interface _not_ to listen on #except-interface= # Or which to listen on by address (remember to include 127.0.0.1 if # you use this.) #listen-address= |
||||
|
(Themenstarter)
Anmeldungsdatum: Beiträge: 235 |
ich hab schon interface=eth1 drin stehen, aber wie genau muss ich mein subnetz ebi "listen-address=" eintragen? |
||||
|
Ehemaliger
Anmeldungsdatum: Beiträge: 17529 |
Der technisch korrekte Ansatz ist wie misterunknown schrieb das zuweisen definierter Interfaces für den Dienst. Wenn man ein Problem auf der passenden ebene Lösen kann, dann sollte man dies auch tun. Im Idealfall kommt ein Server ganz ohne iptables aus, weil alle Dienste nur da erreichbar sind wo diese benötigt werden, und darüber hinaus so konfiguriert wurden das diese nicht als Angriffsvektor taugen. mfg Stefan |
||||
|
Anmeldungsdatum: Beiträge: 14388 |
Kann der dnsmasq dann noch mit (öffentlichen) source-IP-Adressen aus dem Subnetz 188.40.xxx.xxx/28, erreicht werden? |
||||
|
Ehemalige
Anmeldungsdatum: Beiträge: 4403 Wohnort: Sachsen |
Nein, das muss er aber auch nicht, denn DNS-Abfragen können über private Adressen gemacht werden, und für DHCP kann man den dnsmasq einfach auf einem Interface ohne öffentliche IP lauschen lassen. Die Frage ist, wie der TS das im ESXi eingerichtet hat. Im Zweifelsfall kann man sich für DHCP einfach ein dediziertes Interface erstellen, an dem dnsmasq lauscht. |
||||
|
(Themenstarter)
Anmeldungsdatum: Beiträge: 235 |
wen die vms nur eine private ip haben, wie ereiche ich sie von ausen? Aber bleiben wir mal beim thema, meine frage war NUR wei der dnsmasq nur auf eine /28 subnetz hört, nicht mehr und nciht weniger. |
||||
|
Ehemalige
Anmeldungsdatum: Beiträge: 4403 Wohnort: Sachsen |
Die VMs bekommen doch eine öffentliche IP zugewiesen. Das heißt aber nicht, dass der DHCP-Server öffentlich erreichbar sein muss. Das eine ist vom andern unabhängig.
Wie soll er das machen? Wenn die DHCP-Requests von einer VM kommen, hat diese ja noch keine IP. Daher kann man auch nicht "auf ein Subnetz lauschen". |
