forum.opennet.ru - "DNS spoofing Cisco 2811 (Закрыть рекурсивные DNS запросы)" (10)

форумы

помощь

поиск

регистрация

майллист

вход/выход

слежка

"DNS spoofing Cisco 2811 (Закрыть рекурсивные DNS запросы)"

Форум Маршрутизаторы CISCO и др. оборудование. (Безопасность)
Вариант для распечатки		Пред. тема \| След. тема
Изначальное сообщение		[ Отслеживать ]

"DNS spoofing Cisco 2811 (Закрыть рекурсивные DNS запросы)"	+/–
Сообщение от Plastilin on 18-Июл-11, 17:08
Доброго времени суток. Была задача настроить форвард днс запросов с Cisco на внутренний DNS сервер. Имеем: внутренний адрес Cisco: 192.168.2.1 Внутренний адрес DNS сервера: 192.168.2.21 При настройке сделано следующее: ip name-server 192.168.2.21 ip domain-lookup ip dns server ip dns spoofing 192.168.2.21 Все работает, однако есть одна небольшая проблема, стали доступны рекурсивные запросы к ДНС серверу 192.168.2.21 через внешний интерфейс Cisco. То есть теперь можно из мира спросить у циски кто например www.ru и она отвечает. Как это закрыть?
Ответить \| Правка \| Cообщить модератору

Оглавление

DNS spoofing Cisco 2811 (Закрыть рекурсивные DNS запросы), Аноним, 00:04 , 19-Июл-11, (1)

DNS spoofing Cisco 2811 (Закрыть рекурсивные DNS запросы), Plastilin, 01:37 , 19-Июл-11, (2)

DNS spoofing Cisco 2811 (Закрыть рекурсивные DNS запросы), Plastilin, 01:39 , 19-Июл-11, (3)

DNS spoofing Cisco 2811 (Закрыть рекурсивные DNS запросы), OvDP, 04:59 , 19-Июл-11, (4)

DNS spoofing Cisco 2811 (Закрыть рекурсивные DNS запросы), VolanD, 06:37 , 19-Июл-11, (5)

DNS spoofing Cisco 2811 (Закрыть рекурсивные DNS запросы), OvDP, 06:47 , 19-Июл-11, (6)

DNS spoofing Cisco 2811 (Закрыть рекурсивные DNS запросы), VolanD, 06:58 , 19-Июл-11, (7)

DNS spoofing Cisco 2811 (Закрыть рекурсивные DNS запросы), OvDP, 08:06 , 19-Июл-11, (8)

DNS spoofing Cisco 2811 (Закрыть рекурсивные DNS запросы), Plastilin, 11:17 , 19-Июл-11, (9)

DNS spoofing Cisco 2811 (Закрыть рекурсивные DNS запросы), VolanD, 18:26 , 19-Июл-11, (10)

Сообщения по теме [Сортировка по времени | RSS]

1. "DNS spoofing Cisco 2811 (Закрыть рекурсивные DNS запросы)" +/–

Сообщение от Аноним (??) on 19-Июл-11, 00:04

Т.е. у вас адрес 192.168.2.21 висит на внешнем интерфейсе. Замечательно.

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

2. "DNS spoofing Cisco 2811 (Закрыть рекурсивные DNS запросы)" +/–

Сообщение от Plastilin on 19-Июл-11, 01:37

> Т.е. у вас адрес 192.168.2.21 висит на внешнем интерфейсе. Замечательно.
Не вижу здесь ничего замечательного. Просто я решил опустить подробность того, что на внешнем интерфейсе вист честный белый айпи. Думал что это и так понятно судя из темы. Если же такая подрбность необходима:
Внешний: ххх.ххх.ххх.ххх/32
Внутренний: 192.168.2.1/24

Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

3. "DNS spoofing Cisco 2811 (Закрыть рекурсивные DNS запросы)" +/–

Сообщение от Plastilin on 19-Июл-11, 01:39

>> Т.е. у вас адрес 192.168.2.21 висит на внешнем интерфейсе. Замечательно.
> Не вижу здесь ничего замечательного. Просто я решил опустить подробность того, что
> на внешнем интерфейсе вист честный белый айпи. Думал что это и
> так понятно судя из темы. Если же такая подрбность необходима:
> Внешний: ххх.ххх.ххх.ххх/32
> Внутренний: 192.168.2.1/24
UPD: 192.168.2.21 - адрес днс сервера внутри сети

Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

4. "DNS spoofing Cisco 2811 (Закрыть рекурсивные DNS запросы)" +/–

Сообщение от OvDP (ok) on 19-Июл-11, 04:59

>>> Т.е. у вас адрес 192.168.2.21 висит на внешнем интерфейсе. Замечательно.
>> Не вижу здесь ничего замечательного. Просто я решил опустить подробность того, что
>> на внешнем интерфейсе вист честный белый айпи. Думал что это и
>> так понятно судя из темы. Если же такая подрбность необходима:
>> Внешний: ххх.ххх.ххх.ххх/32
>> Внутренний: 192.168.2.1/24
> UPD: 192.168.2.21 - адрес днс сервера внутри сети
этим же например страдает NTP, поэтому ACLом закрыть на аутсайде всё что не нужно

Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

5. "DNS spoofing Cisco 2811 (Закрыть рекурсивные DNS запросы)" +/–

Сообщение от VolanD (ok) on 19-Июл-11, 06:37

>>>> Т.е. у вас адрес 192.168.2.21 висит на внешнем интерфейсе. Замечательно.
>>> Не вижу здесь ничего замечательного. Просто я решил опустить подробность того, что
>>> на внешнем интерфейсе вист честный белый айпи. Думал что это и
>>> так понятно судя из темы. Если же такая подрбность необходима:
>>> Внешний: ххх.ххх.ххх.ххх/32
>>> Внутренний: 192.168.2.1/24
>> UPD: 192.168.2.21 - адрес днс сервера внутри сети
> этим же например страдает NTP, поэтому ACLом закрыть на аутсайде всё что
> не нужно
А если ДНС поддерживает какой-нить домен?

Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

6. "DNS spoofing Cisco 2811 (Закрыть рекурсивные DNS запросы)" +/–

Сообщение от OvDP (ok) on 19-Июл-11, 06:47

>>>>> Т.е. у вас адрес 192.168.2.21 висит на внешнем интерфейсе. Замечательно.
>>>> Не вижу здесь ничего замечательного. Просто я решил опустить подробность того, что
>>>> на внешнем интерфейсе вист честный белый айпи. Думал что это и
>>>> так понятно судя из темы. Если же такая подрбность необходима:
>>>> Внешний: ххх.ххх.ххх.ххх/32
>>>> Внутренний: 192.168.2.1/24
>>> UPD: 192.168.2.21 - адрес днс сервера внутри сети
>> этим же например страдает NTP, поэтому ACLом закрыть на аутсайде всё что
>> не нужно
> А если ДНС поддерживает какой-нить домен?
А зачем фантазировать? :)

Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору

7. "DNS spoofing Cisco 2811 (Закрыть рекурсивные DNS запросы)" +/–

Сообщение от VolanD (ok) on 19-Июл-11, 06:58

>[оверквотинг удален]
>>>>> Не вижу здесь ничего замечательного. Просто я решил опустить подробность того, что
>>>>> на внешнем интерфейсе вист честный белый айпи. Думал что это и
>>>>> так понятно судя из темы. Если же такая подрбность необходима:
>>>>> Внешний: ххх.ххх.ххх.ххх/32
>>>>> Внутренний: 192.168.2.1/24
>>>> UPD: 192.168.2.21 - адрес днс сервера внутри сети
>>> этим же например страдает NTP, поэтому ACLом закрыть на аутсайде всё что
>>> не нужно
>> А если ДНС поддерживает какой-нить домен?
> А зачем фантазировать? :)
Ну я просто, ради просвящения)) Допустим днс поддерживает домен, т.е. мы не можем закрыть на вход 53 порт. Тогда только на ДНС запрещать рекусию?

Ответить | Правка | ^ к родителю #6 | Наверх | Cообщить модератору

8. "DNS spoofing Cisco 2811 (Закрыть рекурсивные DNS запросы)" +/–

Сообщение от OvDP (ok) on 19-Июл-11, 08:06

>[оверквотинг удален]
>>>>>> Внешний: ххх.ххх.ххх.ххх/32
>>>>>> Внутренний: 192.168.2.1/24
>>>>> UPD: 192.168.2.21 - адрес днс сервера внутри сети
>>>> этим же например страдает NTP, поэтому ACLом закрыть на аутсайде всё что
>>>> не нужно
>>> А если ДНС поддерживает какой-нить домен?
>> А зачем фантазировать? :)
> Ну я просто, ради просвящения)) Допустим днс поддерживает домен, т.е. мы не
> можем закрыть на вход 53 порт. Тогда только на ДНС запрещать
> рекусию?
поправьте меня если я не прав: поскольку для внутреннего днс все запросы идут от киски (независимо от того с какого интерфейса внутреннего или внешнего спуфился реквест), то отключать рекурсию на днс наверно зло с точки зрения локальных писюков.
имхо в случае наличия поддержки домена следует отказаться от спуфинга как такого, кинуть днс в дмз и настроить поддержку рекурсивных запросов только для локальных хостов.

Ответить | Правка | ^ к родителю #7 | Наверх | Cообщить модератору

9. "DNS spoofing Cisco 2811 (Закрыть рекурсивные DNS запросы)" +/–

Сообщение от Plastilin on 19-Июл-11, 11:17

>[оверквотинг удален]
>> Ну я просто, ради просвящения)) Допустим днс поддерживает домен, т.е. мы не
>> можем закрыть на вход 53 порт. Тогда только на ДНС запрещать
>> рекусию?
> поправьте меня если я не прав: поскольку для внутреннего днс все запросы
> идут от киски (независимо от того с какого интерфейса внутреннего или
> внешнего спуфился реквест), то отключать рекурсию на днс наверно зло с
> точки зрения локальных писюков.
> имхо в случае наличия поддержки домена следует отказаться от спуфинга как такого,
> кинуть днс в дмз и настроить поддержку рекурсивных запросов только для
> локальных хостов.
Поправочка, на циске фукция ДНС используется исключительно для заворачивания запросов клиентов на внутренний ДНС сервер.

Ответить | Правка | ^ к родителю #8 | Наверх | Cообщить модератору

10. "DNS spoofing Cisco 2811 (Закрыть рекурсивные DNS запросы)" +/–

Сообщение от VolanD (ok) on 19-Июл-11, 18:26

>[оверквотинг удален]
>>> рекусию?
>> поправьте меня если я не прав: поскольку для внутреннего днс все запросы
>> идут от киски (независимо от того с какого интерфейса внутреннего или
>> внешнего спуфился реквест), то отключать рекурсию на днс наверно зло с
>> точки зрения локальных писюков.
>> имхо в случае наличия поддержки домена следует отказаться от спуфинга как такого,
>> кинуть днс в дмз и настроить поддержку рекурсивных запросов только для
>> локальных хостов.
> Поправочка, на циске фукция ДНС используется исключительно для заворачивания запросов
> клиентов на внутренний ДНС сервер.
А чем от rdr отличается?

Ответить | Правка | ^ к родителю #9 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру

1. "DNS spoofing Cisco 2811 (Закрыть рекурсивные DNS запросы)"	+/–
Сообщение от Аноним (??) on 19-Июл-11, 00:04
Т.е. у вас адрес 192.168.2.21 висит на внешнем интерфейсе. Замечательно.
Ответить \| Правка \| ^ к родителю #0 \| Наверх \| Cообщить модератору


	2. "DNS spoofing Cisco 2811 (Закрыть рекурсивные DNS запросы)"	+/–
	Сообщение от Plastilin on 19-Июл-11, 01:37
	> Т.е. у вас адрес 192.168.2.21 висит на внешнем интерфейсе. Замечательно. Не вижу здесь ничего замечательного. Просто я решил опустить подробность того, что на внешнем интерфейсе вист честный белый айпи. Думал что это и так понятно судя из темы. Если же такая подрбность необходима: Внешний: ххх.ххх.ххх.ххх/32 Внутренний: 192.168.2.1/24
	Ответить \| Правка \| ^ к родителю #1 \| Наверх \| Cообщить модератору


	3. "DNS spoofing Cisco 2811 (Закрыть рекурсивные DNS запросы)"	+/–
	Сообщение от Plastilin on 19-Июл-11, 01:39
	>> Т.е. у вас адрес 192.168.2.21 висит на внешнем интерфейсе. Замечательно. > Не вижу здесь ничего замечательного. Просто я решил опустить подробность того, что > на внешнем интерфейсе вист честный белый айпи. Думал что это и > так понятно судя из темы. Если же такая подрбность необходима: > Внешний: ххх.ххх.ххх.ххх/32 > Внутренний: 192.168.2.1/24 UPD: 192.168.2.21 - адрес днс сервера внутри сети
	Ответить \| Правка \| ^ к родителю #2 \| Наверх \| Cообщить модератору


	4. "DNS spoofing Cisco 2811 (Закрыть рекурсивные DNS запросы)"	+/–
	Сообщение от OvDP (ok) on 19-Июл-11, 04:59
	>>> Т.е. у вас адрес 192.168.2.21 висит на внешнем интерфейсе. Замечательно. >> Не вижу здесь ничего замечательного. Просто я решил опустить подробность того, что >> на внешнем интерфейсе вист честный белый айпи. Думал что это и >> так понятно судя из темы. Если же такая подрбность необходима: >> Внешний: ххх.ххх.ххх.ххх/32 >> Внутренний: 192.168.2.1/24 > UPD: 192.168.2.21 - адрес днс сервера внутри сети этим же например страдает NTP, поэтому ACLом закрыть на аутсайде всё что не нужно
	Ответить \| Правка \| ^ к родителю #3 \| Наверх \| Cообщить модератору


	5. "DNS spoofing Cisco 2811 (Закрыть рекурсивные DNS запросы)"	+/–
	Сообщение от VolanD (ok) on 19-Июл-11, 06:37
	>>>> Т.е. у вас адрес 192.168.2.21 висит на внешнем интерфейсе. Замечательно. >>> Не вижу здесь ничего замечательного. Просто я решил опустить подробность того, что >>> на внешнем интерфейсе вист честный белый айпи. Думал что это и >>> так понятно судя из темы. Если же такая подрбность необходима: >>> Внешний: ххх.ххх.ххх.ххх/32 >>> Внутренний: 192.168.2.1/24 >> UPD: 192.168.2.21 - адрес днс сервера внутри сети > этим же например страдает NTP, поэтому ACLом закрыть на аутсайде всё что > не нужно А если ДНС поддерживает какой-нить домен?
	Ответить \| Правка \| ^ к родителю #4 \| Наверх \| Cообщить модератору


	6. "DNS spoofing Cisco 2811 (Закрыть рекурсивные DNS запросы)"	+/–
	Сообщение от OvDP (ok) on 19-Июл-11, 06:47
	>>>>> Т.е. у вас адрес 192.168.2.21 висит на внешнем интерфейсе. Замечательно. >>>> Не вижу здесь ничего замечательного. Просто я решил опустить подробность того, что >>>> на внешнем интерфейсе вист честный белый айпи. Думал что это и >>>> так понятно судя из темы. Если же такая подрбность необходима: >>>> Внешний: ххх.ххх.ххх.ххх/32 >>>> Внутренний: 192.168.2.1/24 >>> UPD: 192.168.2.21 - адрес днс сервера внутри сети >> этим же например страдает NTP, поэтому ACLом закрыть на аутсайде всё что >> не нужно > А если ДНС поддерживает какой-нить домен? А зачем фантазировать? :)
	Ответить \| Правка \| ^ к родителю #5 \| Наверх \| Cообщить модератору


	7. "DNS spoofing Cisco 2811 (Закрыть рекурсивные DNS запросы)"	+/–
	Сообщение от VolanD (ok) on 19-Июл-11, 06:58
	>[оверквотинг удален] >>>>> Не вижу здесь ничего замечательного. Просто я решил опустить подробность того, что >>>>> на внешнем интерфейсе вист честный белый айпи. Думал что это и >>>>> так понятно судя из темы. Если же такая подрбность необходима: >>>>> Внешний: ххх.ххх.ххх.ххх/32 >>>>> Внутренний: 192.168.2.1/24 >>>> UPD: 192.168.2.21 - адрес днс сервера внутри сети >>> этим же например страдает NTP, поэтому ACLом закрыть на аутсайде всё что >>> не нужно >> А если ДНС поддерживает какой-нить домен? > А зачем фантазировать? :) Ну я просто, ради просвящения)) Допустим днс поддерживает домен, т.е. мы не можем закрыть на вход 53 порт. Тогда только на ДНС запрещать рекусию?
	Ответить \| Правка \| ^ к родителю #6 \| Наверх \| Cообщить модератору


	8. "DNS spoofing Cisco 2811 (Закрыть рекурсивные DNS запросы)"	+/–
	Сообщение от OvDP (ok) on 19-Июл-11, 08:06
	>[оверквотинг удален] >>>>>> Внешний: ххх.ххх.ххх.ххх/32 >>>>>> Внутренний: 192.168.2.1/24 >>>>> UPD: 192.168.2.21 - адрес днс сервера внутри сети >>>> этим же например страдает NTP, поэтому ACLом закрыть на аутсайде всё что >>>> не нужно >>> А если ДНС поддерживает какой-нить домен? >> А зачем фантазировать? :) > Ну я просто, ради просвящения)) Допустим днс поддерживает домен, т.е. мы не > можем закрыть на вход 53 порт. Тогда только на ДНС запрещать > рекусию? поправьте меня если я не прав: поскольку для внутреннего днс все запросы идут от киски (независимо от того с какого интерфейса внутреннего или внешнего спуфился реквест), то отключать рекурсию на днс наверно зло с точки зрения локальных писюков. имхо в случае наличия поддержки домена следует отказаться от спуфинга как такого, кинуть днс в дмз и настроить поддержку рекурсивных запросов только для локальных хостов.
	Ответить \| Правка \| ^ к родителю #7 \| Наверх \| Cообщить модератору


	9. "DNS spoofing Cisco 2811 (Закрыть рекурсивные DNS запросы)"	+/–
	Сообщение от Plastilin on 19-Июл-11, 11:17
	>[оверквотинг удален] >> Ну я просто, ради просвящения)) Допустим днс поддерживает домен, т.е. мы не >> можем закрыть на вход 53 порт. Тогда только на ДНС запрещать >> рекусию? > поправьте меня если я не прав: поскольку для внутреннего днс все запросы > идут от киски (независимо от того с какого интерфейса внутреннего или > внешнего спуфился реквест), то отключать рекурсию на днс наверно зло с > точки зрения локальных писюков. > имхо в случае наличия поддержки домена следует отказаться от спуфинга как такого, > кинуть днс в дмз и настроить поддержку рекурсивных запросов только для > локальных хостов. Поправочка, на циске фукция ДНС используется исключительно для заворачивания запросов клиентов на внутренний ДНС сервер.
	Ответить \| Правка \| ^ к родителю #8 \| Наверх \| Cообщить модератору


	10. "DNS spoofing Cisco 2811 (Закрыть рекурсивные DNS запросы)"	+/–
	Сообщение от VolanD (ok) on 19-Июл-11, 18:26
	>[оверквотинг удален] >>> рекусию? >> поправьте меня если я не прав: поскольку для внутреннего днс все запросы >> идут от киски (независимо от того с какого интерфейса внутреннего или >> внешнего спуфился реквест), то отключать рекурсию на днс наверно зло с >> точки зрения локальных писюков. >> имхо в случае наличия поддержки домена следует отказаться от спуфинга как такого, >> кинуть днс в дмз и настроить поддержку рекурсивных запросов только для >> локальных хостов. > Поправочка, на циске фукция ДНС используется исключительно для заворачивания запросов > клиентов на внутренний ДНС сервер. А чем от rdr отличается?
	Ответить \| Правка \| ^ к родителю #9 \| Наверх \| Cообщить модератору