gfx wrote:
routeros dns...(恕刪)
不會耶~
我都沒勾... 所以不曾被攻擊~~~
不過我 DHCP自動取得IP 配發HInet DNS
不配發 RouterOS 的 DNS
個人積分:4336分
文章編號:79354820
個人積分:1603分
文章編號:79354935
個人積分:1243分
文章編號:79355479
那就是把來自PPPoE(任何當WAN的)介面目標是UDP/TCP port 53全部drop掉就好了,這樣內網的LAN IP介面繼續可以當內網裏頭DNS server的功能
rule: 1
chain=input action=drop protocol=udp in-interface=pppoe-out1
dst-port=53 log=no log-prefix=""
rule:2
chain=input action=drop protocol=tcp in-interface=pppoe-out1
dst-port=53 log=no log-prefix=""
個人積分:4336分
文章編號:79355540
gfx wrote:這個跟 centos 的 dns server 一樣,預設只能 local 端可以查詢,但是RouterOS 居然開放可以遠端查詢
與理解不太一樣我以為(恕刪)
開放遠端可以查詢,就會受到遞迴放大攻擊
假如自架Linux dns server 要給內部跟網站做正反解,與做dns查詢, 就只能開放,不然不會更新資料....
所以不勾時要配發 8.8.8.8 或 hinet dns,用戶不能指定192.168.88.1
===========
完整DNS Server 有提供正反解+快取...2大功能
(前提53 port UDP + TCP 都要開放)
正反解部分:
1. 任何IP都可以連線
2. 限定Local 與 特定 IP連線 (只能提供給上層連線拿取 你的正反解資料)
快取部分: (也是可以限定連線IP)
1. 沒提供 其他DNS server 查不到就放棄
2. 提供其他DNS server , 自己快取沒有就往上查
個人積分:239分
文章編號:79358564
個人積分:4336分
文章編號:79359999
個人積分:44932分
文章編號:79360037
個人積分:0分
文章編號:79411736
個人積分:1603分
文章編號:79411861
個人積分:0分
文章編號:79416356
,真的不熟悉CLI,謝謝指導
