Добрый день господа. Столкнулся с микротиком первый раз, нужна помощь небольшая.
На локальном сервере планирую установить роль DNS сервера и назначить его основным NS у домен-провайдера.
Что бы он был доступен, мне нужно включить в IP/DNS "Allow remote requests", прописать 2 правила tcp/udp 53 и пробросить их на локальный адрес днс сервера?
DNS
-
- Сообщения: 1199
- Зарегистрирован: 29 сен 2011, 09:16
Allow remote requests заставляет микрот отвечать на dns запросы, или попросту включает режим dns сервера на самом микроте.
-
- Сообщения: 5
- Зарегистрирован: 10 июн 2019, 09:52
То есть проброса портов достаточно?
- Vlad-2
- Модератор
- Сообщения: 2531
- Зарегистрирован: 08 апр 2016, 19:19
- Откуда: Петропавловск-Камчатский (п-ов Камчатка)
- Контактная информация:
Решили заняться ДНСом, а некоторых моментов не учли/не знаете?
1) снаружи сервер выдержит запросы?
2) как настроен ДНС на сервере? Отключена отдача списка корневых зон кому не попадья?
3) Надо разделять службу ДНС, порты её и кеширующий ДНС-сервер на микротике!?
4) А как клиенты (локальные) будут ДНС использовать? И даже наверно
тактично задать вопрос: какой ДНС, Ваш или ДНС-микротика ?
Если Ваш, то есть на сервере настройка анализа кто пришёл,
с какой сети/подсети, что и как ему отдавать, какие значения ?
Если не решить эту задачу в том числе, то локальные клиенты будут
получать в ответ на запрос Вашей же зоны, реальный адрес этой зоны/записи хоста,
и по нему будут пытаться зайти. Естественно обычно ничего не получиться.
Ну и хочу напомнить, ДНС-флуд и атаки = самое популярное. Так
что всё предусмотрите, настройке, продумайте.
Иначе и ДНС может от атак умереть, так и роутер (микротик) может
от их кол-во просесть...
1) снаружи сервер выдержит запросы?
2) как настроен ДНС на сервере? Отключена отдача списка корневых зон кому не попадья?
3) Надо разделять службу ДНС, порты её и кеширующий ДНС-сервер на микротике!?
4) А как клиенты (локальные) будут ДНС использовать? И даже наверно
тактично задать вопрос: какой ДНС, Ваш или ДНС-микротика ?
Если Ваш, то есть на сервере настройка анализа кто пришёл,
с какой сети/подсети, что и как ему отдавать, какие значения ?
Если не решить эту задачу в том числе, то локальные клиенты будут
получать в ответ на запрос Вашей же зоны, реальный адрес этой зоны/записи хоста,
и по нему будут пытаться зайти. Естественно обычно ничего не получиться.
Ну и хочу напомнить, ДНС-флуд и атаки = самое популярное. Так
что всё предусмотрите, настройке, продумайте.
Иначе и ДНС может от атак умереть, так и роутер (микротик) может
от их кол-во просесть...
-
- Сообщения: 5
- Зарегистрирован: 10 июн 2019, 09:52
На самом деле задача очень простая, сервер будет отвечать за одну зону, трафик небольшой, думаю выдержит.
Кому не попадья зоны не передаются.
Локальные пользователи выходят в интернет через proxy-server squid. В микротике прописан гугловский днс. Им вообще не надо к нашему днс серверу обращаться.
По поводу защиты от флуда: что посоветуете? Ограничить количество запросов?
Кому не попадья зоны не передаются.
Локальные пользователи выходят в интернет через proxy-server squid. В микротике прописан гугловский днс. Им вообще не надо к нашему днс серверу обращаться.
По поводу защиты от флуда: что посоветуете? Ограничить количество запросов?
- Vlad-2
- Модератор
- Сообщения: 2531
- Зарегистрирован: 08 апр 2016, 19:19
- Откуда: Петропавловск-Камчатский (п-ов Камчатка)
- Контактная информация:
Ну это естественно, что трансфер нельзя кому угодно, но надо чтобы ДНС-сервер Ваш не отдавал
список корневых ДНСов. На голом сервере ДНС обычно он обязан при запросе = выдать
список всех корневых серверов.
Сложно давать явные советы, всё не однозначно, я бы порекомендовал всё же
взять услугу Secondary-DNS (это когда днс главный у Вас на сервере и вы регулярно
можете зону менять), но в случаи чего, отсутствии связи, света, и Вас ДНС уже не
доступен, будут уже идти "отлупы", поэтому иметь услугу Secondary-DNS
(которую многие дают за 150-300 руб в год) - это обезопасить себя на такой случай.
Secondary-DNS = раз в 4 или в 6 часов с Вас берёт зону (трансферит), и кеширует у себя.
То есть для мира = два ДНСа будет, Ваш и на хостере.
Правда надо тонко подобрать момент TTL значения в зоне. Но это уже практика.
-
- Сообщения: 5
- Зарегистрирован: 10 июн 2019, 09:52
Спасибо за оперативные ответы.
Так secondary dns само собой будет)
По поводу доступа к днс: проброс портов это все, что нужно сделать на уровне микротика?
Так secondary dns само собой будет)
По поводу доступа к днс: проброс портов это все, что нужно сделать на уровне микротика?
- Vlad-2
- Модератор
- Сообщения: 2531
- Зарегистрирован: 08 апр 2016, 19:19
- Откуда: Петропавловск-Камчатский (п-ов Камчатка)
- Контактная информация:
Ну если подводных НО нет, то да.
-
- Сообщения: 5
- Зарегистрирован: 10 июн 2019, 09:52
2Vlad-2
Спасибо, вроде все настроил но какая-то неведомая ерунда творится.
Записи внес, подождал несколько дней и на корневых серверах появились записи. После этого произвел изменения, версия SOA записи на корневых серверах 10 а у меня 15, через час-два на нескольких серверах все синхронизируется, через 5-6 часов уже 70% синхронизируются но через день все слетает и везде версия возвращается в 10. Куда копать? TTL: 3600 / 600/ 86400/ 3600
Спасибо, вроде все настроил но какая-то неведомая ерунда творится.
Записи внес, подождал несколько дней и на корневых серверах появились записи. После этого произвел изменения, версия SOA записи на корневых серверах 10 а у меня 15, через час-два на нескольких серверах все синхронизируется, через 5-6 часов уже 70% синхронизируются но через день все слетает и везде версия возвращается в 10. Куда копать? TTL: 3600 / 600/ 86400/ 3600
- Vlad-2
- Модератор
- Сообщения: 2531
- Зарегистрирован: 08 апр 2016, 19:19
- Откуда: Петропавловск-Камчатский (п-ов Камчатка)
- Контактная информация:
Давайте так:
1) Тему я эту (Вашу) закрываю, пусть тематика этой темы останется как она есть.
2) А Вы в общем разделе (не связанную с Микротик и РОС) создайте отдельную тему,
но с более явным описанием, что куда и как.... Понять что такое 10 или 15 мне сложно.