Forum

Bom dia Galera...

Estou tendo ataques na porta 53 UDP em algumas RouterBoard, entao bloquei a porta 53 udp na interface de entrada. ate ai blza... mas pesquisando achei uma regra que nao entendi o que faz. alguem poderia me explicar?

/ip firewall nat
add action=add-src-to-address-list address-list=DNS address-list-timeout=1d chain=dstnat comment="DNS Flood - Test" disabled=no dst-address-list=!Server dst-port=53 in-interface=Bridge-Link protocol=udp
add action=add-dst-to-address-list address-list=DNS-dst address-list-timeout=1d chain=dstnat comment="" disabled=no dst-address-list=!Server dst-port=53 in-interface=INTERFACE ENTRADA NET protocol=udp
add action=redirect chain=dstnat comment="" disabled=no dst-address-list=!Server dst-port=53 in-interface=INTERFACE ENTRADA NET protocol=udp to-ports=2
/ip firewall address-list
add address=8.8.8.8 comment="DNS Google" disabled=no list=Server
add address=8.8.4.4 comment="DNS Google" disabled=no list=Server
add address=200.195.159.104 comment="DNS Copel" disabled=no list=Server
add address=200.195.159.105 comment="DNS Copel" disabled=no list=Server

"Imagem do que acredito seja os ips que utilizam o meu IP como DNS Reverso"

Os Ataques podem vir somente de fora da rede (UDP) ou também podem vir de dentro da rede?

Caso tenha ataque interno poderia bloquear a porta (53 TCP) e liberar a porta somente para os ips dos servidores DNS que utilizo?

É pq nao só queria bloquear a porta 53 udp e sim saber sé realmente estou tendo ataques e de que ips´ etc.

Obrigado