dns服務(wù)器該怎么寫iptables規(guī)則

bobopu

bind做的校園內(nèi)的遞歸dns服務(wù)器，最近頻繁出現(xiàn)
DNS request timed out.
timeout was 2 seconds.
初步懷疑是有人攻擊，現(xiàn)在需要用iptables對(duì)解析量做個(gè)限制
1.只開放udp53、tcp53和udp9001端口（用于ssh管理）
2.每ip每10秒查詢DNS請(qǐng)求超過600次即攔截1200秒，1200后放行
3.需要對(duì)個(gè)別ip加入白名單，不受第二條限制，例如192.68.1.2、192.168.1.8、192.168.0.11等
4.每ip每60秒訪問超過6個(gè)端口即攔截1200秒，1200秒后放行。（防止惡意端口掃描）
5.每ip每10秒發(fā)送ICMP超過100個(gè)即攔截1200秒，1200秒后放行
請(qǐng)問這種復(fù)雜的iptables規(guī)則該怎么寫，這樣對(duì)惡意攻擊DNS服務(wù)器的行為有效果么

lyhabc

iptables -A INPUT -p tcp --dport 53 -p udp --dport 53 -p udp --dport 9001  -d 127.0.0.1   -j ACCEPT

iptables -I INPUT -p icmp --icmp-type 8 -j DROP

iptables -I INPUT -m iprange --src-range 192.168.1.2,192.168.1.8,192.168.0.11 -j ACCEPT

bobopu

謝謝。但是這個(gè)沒法對(duì)解析頻率做出限制，怎樣才能對(duì)解析頻率做限制呢？回復(fù) 2# lyhabc


   

shang2010

復(fù)雜的包處理工具有么，感覺iptable需要加強(qiáng)了

chenyx

2樓,你的iptables指令能執(zhí)行?

ziluopao

iptables 馬上就要被淘汰了,建議樓主學(xué)學(xué)firewalld吧,其中的zone很強(qiáng)大的說

bobopu

centos6.5能安裝firewalld嗎？

ziluopao 發(fā)表于 2015-04-23 08:38
iptables 馬上就要被淘汰了,建議樓主學(xué)學(xué)firewalld吧,其中的zone很強(qiáng)大的說

chenyx

Firewalld目前只是7支持,還沒看出來必然取代Iptacles的跡象.

jixuuse

查下是否有補(bǔ)丁沒打

前段時(shí)間發(fā)現(xiàn)過一個(gè)bug，一臺(tái)設(shè)備的DNS請(qǐng)求能把千兆接口堵塞，最后發(fā)現(xiàn)是設(shè)備鏡像里面DNS相關(guān)代碼有漏洞被人利用

另外你也可以在DNS前面掛個(gè)設(shè)備限制請(qǐng)求頻率，比如panabit或者專業(yè)的防火墻

bobopu

嗯，把bind升級(jí)到9.10.2了，暫時(shí)用linux安全狗把udp包限制為每ip每10秒1000個(gè)了，情況有所改善。在研究如何用bind最新的rate-limit模塊限制查詢速率。

jixuuse 發(fā)表于 2015-04-24 11:23
查下是否有補(bǔ)丁沒打

前段時(shí)間發(fā)現(xiàn)過一個(gè)bug，一臺(tái)設(shè)備的DNS請(qǐng)求能把千兆接口堵塞，最后發(fā)現(xiàn)是設(shè)備鏡像里 ...