PF ve FBSD blokovani na zaklade pocitani

[Radek Krejča]

> Ono by to tady asi slo i v ramci toho PF (pokud by to teda fungovalo na
> UDP), protoze regulerni dotazy asi nebudou ve velkem z jedne IP.
> Na druhou stranu, pokud se u tech dotazu neustale meni zdrojova IP
> adresa, tak se to bude spatne filtrovat jakymkoliv zpusobem.
> 

To se sice meni, ale vypada to, ze ne tak casto. Bohuzel podle toho, co jsem dohledal, tak na UDP to pocitani skutecne nefunguje. I kdyz mi hlava nebere, kdyz pak v ruznych prikladech, co jsem nasel po internetu maji v seznamu zpravidla tcp, udp a hned pod tim se resi, ze udp fakt ne.. Ani ty priklady primo opsane mi nechodi, ale mozna to budou take spise zoufale pokusy, ktere zaberou na tcp, tak to tak nechaji. Nevim.

> Nevim, jaka je domluva s koncovymi uzivateli, ale mozna by bylo
> nejlepsi zjistit, kdo z nich skutecne provozuje DNS, tomu ty pristupy z
> venku na jeho port 53 povolit a u ostatnich uzivatelu to filtrovat.
> Ale rozhodne o tom vsem uzivatelum dat predem vedet.

Tohle bohuzel neni realne, tech uzivatelu je fakt hodne a hlavne se to meni v case dosti zivelne. Co me na cele veci rozciluje nejvic je fakt, ze se ty domaci routery prave tvari tak, jako kdyby na nich ten dns server bezel, on se tvari jako otevreny resolver a tak pretezuje nas dns server, ktery je otevren jen pro nase zakazniky. Vubec nechapu, proc na ty dotazy zvenci reaguji - jedno byl mikrotik, ktery jsem videl, posledni verze RouterOS a neprisel jsem na to, jak tomu chovani zabranit (dnes jeste zkusi kolega na nem poladit firewall, ale to je reseni, ktere proste 90 % uzivatelu resit nebude). Druhy byl TP-Link nejak defaultne nastaveny, tam opet je asi jedina cesta nejak zmenit pravidla, at jsme klikali ohledne dns co chcteli, nic nepomohlo. Ale pres FW je to reseni, ktereho u vetsiny uzivatelu nedosahnu - ti prinesou router z obchodu, vybali, naklikaji pres wizard podle navodu a konec...

> Jednou me takhle muj nejmenovany tripismenny poskytovatel pripojeni
> zacal filtrovat port 53 z venku, aniz bych o tom vedel a ja skoro tyden
> resil "neznamou chybu BINDu" (protoze mi prestala fungovat jedna
> domena, co na tom BINDu mela primarni zaznam)... nez jsem z venku
> zjistil, ze ten problem neni u me, ale u poskytovatele, coz by me ani
> ve snu nenapadlo.
> Po me stiznosti filtraci zrusili a nikdo mi nedokazal vysvetlit, co je
> vedlo k tomu filtrovani portu 53.

To je prave to, proc nechci uzivatele takto obtezovat. Co jsem resil s par dalsimi ISP, ktere znam, resi nejak stejny problem vice mene vsude, nicmene maji jinak postavenou sit. Ale asi to blokovani zavedli ze stejneho duvodu. Ono ty DNS utoky v podstate probihaji uz pomerne dlouhou dobu, ale nevim, zda to je tim, ze ted zrovna je to hodne masivni, nebo je neco jinak, ale nikdy to ty moje resolvery nepretezovalo tak, abych to musel nejak razneji resit a zpravidla stacilo bloknout dane ip na par hodin a bylo zpravidla po problemu.

Radek