DNS

Обсуждение ПО и его настройки
Закрыто
Odmin
Сообщения: 5
Зарегистрирован: 10 июн 2019, 09:52

Добрый день господа. Столкнулся с микротиком первый раз, нужна помощь небольшая.
На локальном сервере планирую установить роль DNS сервера и назначить его основным NS у домен-провайдера.
Что бы он был доступен, мне нужно включить в IP/DNS "Allow remote requests", прописать 2 правила tcp/udp 53 и пробросить их на локальный адрес днс сервера?


KARaS'b
Сообщения: 1199
Зарегистрирован: 29 сен 2011, 09:16

Allow remote requests заставляет микрот отвечать на dns запросы, или попросту включает режим dns сервера на самом микроте.


Odmin
Сообщения: 5
Зарегистрирован: 10 июн 2019, 09:52

То есть проброса портов достаточно?


Аватара пользователя
Vlad-2
Модератор
Сообщения: 2531
Зарегистрирован: 08 апр 2016, 19:19
Откуда: Петропавловск-Камчатский (п-ов Камчатка)
Контактная информация:

Решили заняться ДНСом, а некоторых моментов не учли/не знаете?

1) снаружи сервер выдержит запросы?
2) как настроен ДНС на сервере? Отключена отдача списка корневых зон кому не попадья?
3) Надо разделять службу ДНС, порты её и кеширующий ДНС-сервер на микротике!?
4) А как клиенты (локальные) будут ДНС использовать? И даже наверно
тактично задать вопрос: какой ДНС, Ваш или ДНС-микротика ?
Если Ваш, то есть на сервере настройка анализа кто пришёл,
с какой сети/подсети, что и как ему отдавать, какие значения ?

Если не решить эту задачу в том числе, то локальные клиенты будут
получать в ответ на запрос Вашей же зоны, реальный адрес этой зоны/записи хоста,
и по нему будут пытаться зайти. Естественно обычно ничего не получиться.

Ну и хочу напомнить, ДНС-флуд и атаки = самое популярное. Так
что всё предусмотрите, настройке, продумайте.
Иначе и ДНС может от атак умереть, так и роутер (микротик) может
от их кол-во просесть...



На работе(ах): 2xCCR1016-12G, RB3011UiAS и hAP lite (RB941)
Дома: CCR1016-12G, RBcAP2n (standalone), RB wAP LTE kit
Для тестов(под рукой): RB3011UiAS, hAP mini (RB931) и что-то ещё по мелочи
MTCNA
MTCRE
Odmin
Сообщения: 5
Зарегистрирован: 10 июн 2019, 09:52

На самом деле задача очень простая, сервер будет отвечать за одну зону, трафик небольшой, думаю выдержит.
Кому не попадья зоны не передаются.
Локальные пользователи выходят в интернет через proxy-server squid. В микротике прописан гугловский днс. Им вообще не надо к нашему днс серверу обращаться.
По поводу защиты от флуда: что посоветуете? Ограничить количество запросов?


Аватара пользователя
Vlad-2
Модератор
Сообщения: 2531
Зарегистрирован: 08 апр 2016, 19:19
Откуда: Петропавловск-Камчатский (п-ов Камчатка)
Контактная информация:

Odmin писал(а): 10 июн 2019, 13:21 На самом деле задача очень простая, сервер будет отвечать за одну зону, трафик небольшой, думаю выдержит.
Кому не попадья зоны не передаются.
Ну это естественно, что трансфер нельзя кому угодно, но надо чтобы ДНС-сервер Ваш не отдавал
список корневых ДНСов. На голом сервере ДНС обычно он обязан при запросе = выдать
список всех корневых серверов.
Odmin писал(а): 10 июн 2019, 13:21 По поводу защиты от флуда: что посоветуете? Ограничить количество запросов?
Сложно давать явные советы, всё не однозначно, я бы порекомендовал всё же
взять услугу Secondary-DNS (это когда днс главный у Вас на сервере и вы регулярно
можете зону менять), но в случаи чего, отсутствии связи, света, и Вас ДНС уже не
доступен, будут уже идти "отлупы", поэтому иметь услугу Secondary-DNS
(которую многие дают за 150-300 руб в год) - это обезопасить себя на такой случай.
Secondary-DNS = раз в 4 или в 6 часов с Вас берёт зону (трансферит), и кеширует у себя.
То есть для мира = два ДНСа будет, Ваш и на хостере.
Правда надо тонко подобрать момент TTL значения в зоне. Но это уже практика.



На работе(ах): 2xCCR1016-12G, RB3011UiAS и hAP lite (RB941)
Дома: CCR1016-12G, RBcAP2n (standalone), RB wAP LTE kit
Для тестов(под рукой): RB3011UiAS, hAP mini (RB931) и что-то ещё по мелочи
MTCNA
MTCRE
Odmin
Сообщения: 5
Зарегистрирован: 10 июн 2019, 09:52

Спасибо за оперативные ответы.
Так secondary dns само собой будет)
По поводу доступа к днс: проброс портов это все, что нужно сделать на уровне микротика?


Аватара пользователя
Vlad-2
Модератор
Сообщения: 2531
Зарегистрирован: 08 апр 2016, 19:19
Откуда: Петропавловск-Камчатский (п-ов Камчатка)
Контактная информация:

Odmin писал(а): 10 июн 2019, 14:12 По поводу доступа к днс: проброс портов это все, что нужно сделать на уровне микротика?
Ну если подводных НО нет, то да.



На работе(ах): 2xCCR1016-12G, RB3011UiAS и hAP lite (RB941)
Дома: CCR1016-12G, RBcAP2n (standalone), RB wAP LTE kit
Для тестов(под рукой): RB3011UiAS, hAP mini (RB931) и что-то ещё по мелочи
MTCNA
MTCRE
Odmin
Сообщения: 5
Зарегистрирован: 10 июн 2019, 09:52

2Vlad-2
Спасибо, вроде все настроил но какая-то неведомая ерунда творится.

Записи внес, подождал несколько дней и на корневых серверах появились записи. После этого произвел изменения, версия SOA записи на корневых серверах 10 а у меня 15, через час-два на нескольких серверах все синхронизируется, через 5-6 часов уже 70% синхронизируются но через день все слетает и везде версия возвращается в 10. Куда копать? TTL: 3600 / 600/ 86400/ 3600


Аватара пользователя
Vlad-2
Модератор
Сообщения: 2531
Зарегистрирован: 08 апр 2016, 19:19
Откуда: Петропавловск-Камчатский (п-ов Камчатка)
Контактная информация:

Odmin писал(а): 18 июн 2019, 08:28 2Vlad-2
Спасибо, вроде все настроил но какая-то неведомая ерунда творится.
Давайте так:

1) Тему я эту (Вашу) закрываю, пусть тематика этой темы останется как она есть.

2) А Вы в общем разделе (не связанную с Микротик и РОС) создайте отдельную тему,
но с более явным описанием, что куда и как.... Понять что такое 10 или 15 мне сложно.



На работе(ах): 2xCCR1016-12G, RB3011UiAS и hAP lite (RB941)
Дома: CCR1016-12G, RBcAP2n (standalone), RB wAP LTE kit
Для тестов(под рукой): RB3011UiAS, hAP mini (RB931) и что-то ещё по мелочи
MTCNA
MTCRE
Закрыто