免费注册 查看新帖 |

Chinaunix

  平台 论坛 博客 文库
12下一页
最近访问板块 发新帖
查看: 4558 | 回复: 13

[网络配置] dns服务器该怎么写iptables规则 [复制链接]

论坛徽章:
1
IT运维版块每日发帖之星
日期:2016-05-24 06:20:00
发表于 2015-04-22 13:04 |显示全部楼层
bind做的校园内的递归dns服务器,最近频繁出现
DNS request timed out.
timeout was 2 seconds.
初步怀疑是有人攻击,现在需要用iptables对解析量做个限制
1.只开放udp53、tcp53和udp9001端口(用于ssh管理)
2.每ip每10秒查询DNS请求超过600次即拦截1200秒,1200后放行
3.需要对个别ip加入白名单,不受第二条限制,例如192.68.1.2、192.168.1.8、192.168.0.11等
4.每ip每60秒访问超过6个端口即拦截1200秒,1200秒后放行。(防止恶意端口扫描)
5.每ip每10秒发送ICMP超过100个即拦截1200秒,1200秒后放行
请问这种复杂的iptables规则该怎么写,这样对恶意攻击DNS服务器的行为有效果么

求职 : Linux运维
论坛徽章:
203
拜羊年徽章
日期:2015-03-03 16:15:432015年辞旧岁徽章
日期:2015-03-03 16:54:152015年迎新春徽章
日期:2015-03-04 09:57:092015小元宵徽章
日期:2015-03-06 15:58:182015年亚洲杯之约旦
日期:2015-04-05 20:08:292015年亚洲杯之澳大利亚
日期:2015-04-09 09:25:552015年亚洲杯之约旦
日期:2015-04-10 17:34:102015年亚洲杯之巴勒斯坦
日期:2015-04-10 17:35:342015年亚洲杯之日本
日期:2015-04-16 16:28:552015年亚洲杯纪念徽章
日期:2015-04-27 23:29:17操作系统版块每日发帖之星
日期:2015-06-06 22:20:00操作系统版块每日发帖之星
日期:2015-06-09 22:20:00
发表于 2015-04-22 14:36 |显示全部楼层

iptables -A INPUT -p tcp --dport 53 -p udp --dport 53 -p udp --dport 9001  -d 127.0.0.1   -j ACCEPT

iptables -I INPUT -p icmp --icmp-type 8 -j DROP

iptables -I INPUT -m iprange --src-range 192.168.1.2,192.168.1.8,192.168.0.11 -j ACCEPT

论坛徽章:
1
IT运维版块每日发帖之星
日期:2016-05-24 06:20:00
发表于 2015-04-22 16:13 |显示全部楼层
谢谢。但是这个没法对解析频率做出限制,怎样才能对解析频率做限制呢?回复 2# lyhabc


   

论坛徽章:
137
2022北京冬奥会纪念版徽章
日期:2015-08-07 17:10:5719周年集字徽章-庆
日期:2019-08-27 13:28:5615-16赛季CBA联赛之福建
日期:2019-09-10 11:43:2519周年集字徽章-周
日期:2019-12-12 10:54:07
发表于 2015-04-22 18:21 来自手机 |显示全部楼层
复杂的包处理工具有么,感觉iptable需要加强了

论坛徽章:
381
CU十二周年纪念徽章
日期:2014-01-04 22:46:58CU大牛徽章
日期:2013-03-13 15:32:35CU大牛徽章
日期:2013-03-13 15:38:15CU大牛徽章
日期:2013-03-13 15:38:52CU大牛徽章
日期:2013-03-14 14:08:55CU大牛徽章
日期:2013-04-17 11:17:19CU大牛徽章
日期:2013-04-17 11:17:32CU大牛徽章
日期:2013-04-17 11:17:37CU大牛徽章
日期:2013-04-17 11:17:42CU大牛徽章
日期:2013-04-17 11:17:47CU大牛徽章
日期:2013-04-17 11:17:52CU大牛徽章
日期:2013-04-17 11:17:56
发表于 2015-04-23 08:12 |显示全部楼层
2楼,你的iptables指令能执行?

论坛徽章:
0
发表于 2015-04-23 08:38 |显示全部楼层
iptables 马上就要被淘汰了,建议楼主学学firewalld吧,其中的zone很强大的说

论坛徽章:
1
IT运维版块每日发帖之星
日期:2016-05-24 06:20:00
发表于 2015-04-23 10:34 |显示全部楼层
centos6.5能安装firewalld吗?
ziluopao 发表于 2015-04-23 08:38
iptables 马上就要被淘汰了,建议楼主学学firewalld吧,其中的zone很强大的说

论坛徽章:
381
CU十二周年纪念徽章
日期:2014-01-04 22:46:58CU大牛徽章
日期:2013-03-13 15:32:35CU大牛徽章
日期:2013-03-13 15:38:15CU大牛徽章
日期:2013-03-13 15:38:52CU大牛徽章
日期:2013-03-14 14:08:55CU大牛徽章
日期:2013-04-17 11:17:19CU大牛徽章
日期:2013-04-17 11:17:32CU大牛徽章
日期:2013-04-17 11:17:37CU大牛徽章
日期:2013-04-17 11:17:42CU大牛徽章
日期:2013-04-17 11:17:47CU大牛徽章
日期:2013-04-17 11:17:52CU大牛徽章
日期:2013-04-17 11:17:56
发表于 2015-04-23 15:29 |显示全部楼层
Firewalld目前只是7支持,还没看出来必然取代Iptacles的迹象.

论坛徽章:
41
操作系统版块每日发帖之星
日期:2016-08-21 06:20:00每日论坛发贴之星
日期:2016-05-05 06:20:00操作系统版块每日发帖之星
日期:2016-05-05 06:20:00IT运维版块每日发帖之星
日期:2016-05-05 06:20:0015-16赛季CBA联赛之山西
日期:2016-04-27 08:49:00操作系统版块每日发帖之星
日期:2016-04-25 06:20:00操作系统版块每日发帖之星
日期:2016-04-17 06:23:2815-16赛季CBA联赛之吉林
日期:2016-03-25 15:46:3415-16赛季CBA联赛之四川
日期:2016-03-25 14:26:19操作系统版块每日发帖之星
日期:2016-05-27 06:20:00操作系统版块每日发帖之星
日期:2016-05-28 06:20:00IT运维版块每日发帖之星
日期:2016-08-18 06:20:00
发表于 2015-04-24 11:23 |显示全部楼层
本帖最后由 jixuuse 于 2015-04-24 11:24 编辑

查下是否有补丁没打

前段时间发现过一个bug,一台设备的DNS请求能把千兆接口堵塞,最后发现是设备镜像里面DNS相关代码有漏洞被人利用

另外你也可以在DNS前面挂个设备限制请求频率,比如panabit或者专业的防火墙

论坛徽章:
1
IT运维版块每日发帖之星
日期:2016-05-24 06:20:00
发表于 2015-04-24 16:47 |显示全部楼层
嗯,把bind升级到9.10.2了,暂时用linux安全狗把udp包限制为每ip每10秒1000个了,情况有所改善。在研究如何用bind最新的rate-limit模块限制查询速率。
jixuuse 发表于 2015-04-24 11:23
查下是否有补丁没打

前段时间发现过一个bug,一台设备的DNS请求能把千兆接口堵塞,最后发现是设备镜像里 ...
您需要登录后才可以回帖 登录 | 注册

本版积分规则 发表回复

DTCC2020中国数据库技术大会

【架构革新 高效可控】2020年12月21日-23日第十一届中国数据库技术大会将在北京隆重召开。

大会设置2大主会场,20+技术专场,将邀请超百位行业专家,重点围绕数据架构、AI与大数据、传统企业数据库实践和国产开源数据库等内容展开分享和探讨,为广大数据领域从业人士提供一场年度盛会和交流平台。

http://dtcc.it168.com


大会官网>>
  

北京盛拓优讯信息技术有限公司. 版权所有 16024965号-6 北京市公安局海淀分局网监中心备案编号:11010802020122
中国互联网协会会员  联系我们:huangweiwei@it168.com
感谢所有关心和支持过ChinaUnix的朋友们 转载本站内容请注明原作者名及出处

清除 Cookies - ChinaUnix - Archiver - WAP - TOP