forum.opennet.ru

Составление сообщения

Исходное сообщение

"Bind. Drop вместо refuse"
Отправлено Fullmetal8ender, 31-Окт-12 08:30

Спасибо за ответ, но этот вариант не совсем подходит.
ДНС сервер отвечает за несколько зон, поэтому он должен отвечать на запросы извне.
Для каждой зоны прописано allow-query { any; };
А в опциях указано allow-query { mynet; }
Таким образом он отвечает на запросы для зон, за которые отвечает сам, и на рекурсивные запросы с моих сетей. Всем остальным он отвечает refuse.
Но я вижу что часто к серверу обращаются с разными рекурсивными запросами. Видимо тк он долгое время был открыт кто-то им воспользовался. Еще периодически подвергаюсь атакам типа запрос зоны ANY/ripe.net с дикой частотой.
Сейчас блокирую такие запросы фаерволом. Можно настроить fail2ban, но мне кажется было бы проще всего что бы он дропал такие запросы.
Ответ refuse по моему плох тем, что судя по логам его игнорируют и продолжают слать запросы, а сервер на ответ тратит свои ресурсы.

Исходное сообщение
"Bind. Drop вместо refuse" Отправлено Fullmetal8ender, 31-Окт-12 08:30
Спасибо за ответ, но этот вариант не совсем подходит. ДНС сервер отвечает за несколько зон, поэтому он должен отвечать на запросы извне. Для каждой зоны прописано allow-query { any; }; А в опциях указано allow-query { mynet; } Таким образом он отвечает на запросы для зон, за которые отвечает сам, и на рекурсивные запросы с моих сетей. Всем остальным он отвечает refuse. Но я вижу что часто к серверу обращаются с разными рекурсивными запросами. Видимо тк он долгое время был открыт кто-то им воспользовался. Еще периодически подвергаюсь атакам типа запрос зоны ANY/ripe.net с дикой частотой. Сейчас блокирую такие запросы фаерволом. Можно настроить fail2ban, но мне кажется было бы проще всего что бы он дропал такие запросы. Ответ refuse по моему плох тем, что судя по логам его игнорируют и продолжают слать запросы, а сервер на ответ тратит свои ресурсы.

Ваше сообщение
Имя*:
EMail:	Для отправки новых сообщений в текущей нити на email укажите знак ! перед адресом, например, [email protected] (!! - не показывать email). Более тонкая настройка отправки ответов производится в профиле зарегистрированного участника форума.
Заголовок*:
Сообщение*:	> Спасибо за ответ, но этот вариант не совсем подходит. > ДНС сервер отвечает за несколько зон, поэтому он должен отвечать на запросы > извне. > Для каждой зоны прописано allow-query { any; }; > А в опциях указано allow-query { mynet; } > Таким образом он отвечает на запросы для зон, за которые отвечает сам, > и на рекурсивные запросы с моих сетей. Всем остальным он отвечает > refuse. > Но я вижу что часто к серверу обращаются с разными рекурсивными запросами. > Видимо тк он долгое время был открыт кто-то им воспользовался. Еще > периодически подвергаюсь атакам типа запрос зоны ANY/ripe.net с дикой частотой. > Сейчас блокирую такие запросы фаерволом. Можно настроить fail2ban, но мне кажется было > бы проще всего что бы он дропал такие запросы. > Ответ refuse по моему плох тем, что судя по логам его игнорируют > и продолжают слать запросы, а сервер на ответ тратит свои ресурсы.
	Введите код, изображенный на картинке:

При общении не допускается: неуважительное отношение к собеседнику, хамство, унизительное обращение, ненормативная лексика, переход на личности, агрессивное поведение, обесценивание собеседника, провоцирование флейма голословными и заведомо ложными заявлениями. Не отвечайте на сообщения, явно нарушающие правила - удаляются не только сами нарушения, но и все ответы на них. Лог модерирования.

На сайте действует частичное премодерирование - после публикации некоторые сообщения от анонимов могут автоматически скрываться ботом. После проверки модератором ошибочно скрытые сообщения раскрываются. Для ускорения раскрытия можно воспользоваться ссылкой "Сообщить модератору", указав в качестве причины обращения "скрыто по ошибке".

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру