Bom dia Galera...
Estou tendo ataques na porta 53 UDP em algumas RouterBoard, entao bloquei a porta 53 udp na interface de entrada. ate ai blza... mas pesquisando achei uma regra que nao entendi o que faz. alguem poderia me explicar?
/ip firewall nat
add action=add-src-to-address-list address-list=DNS address-list-timeout=1d chain=dstnat comment="DNS Flood - Test" disabled=no dst-address-list=!Server dst-port=53 in-interface=Bridge-Link protocol=udp
add action=add-dst-to-address-list address-list=DNS-dst address-list-timeout=1d chain=dstnat comment="" disabled=no dst-address-list=!Server dst-port=53 in-interface=INTERFACE ENTRADA NET protocol=udp
add action=redirect chain=dstnat comment="" disabled=no dst-address-list=!Server dst-port=53 in-interface=INTERFACE ENTRADA NET protocol=udp to-ports=2
/ip firewall address-list
add address=8.8.8.8 comment="DNS Google" disabled=no list=Server
add address=8.8.4.4 comment="DNS Google" disabled=no list=Server
add address=200.195.159.104 comment="DNS Copel" disabled=no list=Server
add address=200.195.159.105 comment="DNS Copel" disabled=no list=Server
"Imagem do que acredito seja os ips que utilizam o meu IP como DNS Reverso"
Os Ataques podem vir somente de fora da rede (UDP) ou também podem vir de dentro da rede?
Caso tenha ataque interno poderia bloquear a porta (53 TCP) e liberar a porta somente para os ips dos servidores DNS que utilizo?
É pq nao só queria bloquear a porta 53 udp e sim saber sé realmente estou tendo ataques e de que ips´ etc.
Obrigado
Respostas
Basta não permitir consultas externas:
/ip dns
set allow-remote-requests=no
Eu tinha um conceito errado sobre o "Allow Remote Request" era isso mesmo...
Obrigado.
Também bloquei a porta 53 ja que ainda tinha um IP externo realizando requisição pela porta 53 udp.
/ip firewall filter
add action=drop chain=input dst-port=53 in-interface=ETH_WAN protocol=udp
add action=drop chain=input dst-port=53 in-interface=ETH_WAN protocol=tcp
nossa foi tiro e que queda eu tinha aqui mais ou menos umas mil conecxoes no ip com essa porta foi desabita pah resoleveu na hora ate o processamento caiu de 100% pra 20%
valeu a dica
Marco de Freitas disse:
Em 2023 Me ajudou !
Também eram desabilitar Allow Remote Request