- Поисковые системы
- Практика оптимизации
- Трафик для сайтов
- Монетизация сайтов
- Сайтостроение
- Социальный Маркетинг
- Общение профессионалов
- Биржа и продажа
- Финансовые объявления
- Работа на постоянной основе
- Сайты - покупка, продажа
- Соцсети: страницы, группы, приложения
- Сайты без доменов
- Трафик, тизерная и баннерная реклама
- Продажа, оценка, регистрация доменов
- Ссылки - обмен, покупка, продажа
- Программы и скрипты
- Размещение статей
- Инфопродукты
- Прочие цифровые товары
- Работа и услуги для вебмастера
- Оптимизация, продвижение и аудит
- Ведение рекламных кампаний
- Услуги в области SMM
- Программирование
- Администрирование серверов и сайтов
- Прокси, ВПН, анонимайзеры, IP
- Платное обучение, вебинары
- Регистрация в каталогах
- Копирайтинг, переводы
- Дизайн
- Usability: консультации и аудит
- Изготовление сайтов
- Наполнение сайтов
- Прочие услуги
- Не про работу
Все что нужно знать о DDоS-атаках грамотному менеджеру
И как реагировать на "пожар", когда неизвестно, где хранятся "огнетушители
Антон Никонов
Авторизуйтесь или зарегистрируйтесь, чтобы оставить комментарий
имеется выделенный сервер с внешним ip , стоит dns сервер славе - но не работает потому что у провайдера заблочен исходящий днс трафик и славе не может сделать AXFR запрос к мастер. входящий днс трафик разрешен.
подумал - поднял впн до сервера где исходящий трафик не ограничен
задача чтобы пробросить только все исходящие днс запросы в интерфейс впн линка ppp0 через iptables
попробовал разные варианты проброса iptables - не работает.
например https://www.linux.org.ru/forum/admin/5813403
enp1s0: flags=4163<UP,BROADCAST,RUNNING,MULTICAST> mtu 1500
inet 99.55.95.222 netmask 255.255.255.0 broadcast 99.55.95.255
inet6 fe80::1e1b:dff:feee:f2b6 prefixlen 64 scopeid 0x20<link>
ether 1c:1b:0d:ee:f2:v3 txqueuelen 1000 (Ethernet)
RX packets 542139664 bytes 521460902387 (485.6 GiB)
RX errors 0 dropped 244 overruns 0 frame 0
TX packets 428492134 bytes 507776329435 (472.9 GiB)
TX errors 0 dropped 0 overruns 0 carrier 0 collisions 0
lo: flags=73<UP,LOOPBACK,RUNNING> mtu 65536
inet 127.0.0.1 netmask 255.0.0.0
inet6 ::1 prefixlen 128 scopeid 0x10<host>
loop txqueuelen 1 (Local Loopback)
RX packets 1684674 bytes 140065694 (133.5 MiB)
RX errors 0 dropped 0 overruns 0 frame 0
TX packets 1684674 bytes 140065694 (133.5 MiB)
TX errors 0 dropped 0 overruns 0 carrier 0 collisions 0
ppp0: flags=4305<UP,POINTOPOINT,RUNNING,NOARP,MULTICAST> mtu 1280
inet 192.168.30.10 netmask 255.255.255.255 destination 1.0.0.1
ppp txqueuelen 3 (Point-to-Point Protocol)
RX packets 4 bytes 52 (52.0 B)
RX errors 0 dropped 0 overruns 0 frame 0
TX packets 4 bytes 64 (64.0 B)
TX errors 0 dropped 0 overruns 0 carrier 0 collisions 0
root@srv:~# ip a
1: lo: <LOOPBACK,UP,LOWER_UP> mtu 65536 qdisc noqueue state UNKNOWN group default qlen 1
link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00
inet 127.0.0.1/8 scope host lo
valid_lft forever preferred_lft forever
inet6 ::1/128 scope host
valid_lft forever preferred_lft forever
2: enp1s0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc pfifo_fast state UP group default qlen 1000
link/ether 1c:1b:0d:ee:f2:v3 brd ff:ff:ff:ff:ff:ff
inet 99.55.95.222/24 brd 99.55.95.255 scope global enp1s0
valid_lft forever preferred_lft forever
inet6 fe80::1e1b:dff:feee:f2b6/64 scope link
valid_lft forever preferred_lft forever
4: ppp0: <POINTOPOINT,MULTICAST,NOARP,UP,LOWER_UP> mtu 1280 qdisc pfifo_fast state UNKNOWN group default qlen 3
link/ppp
inet 192.168.30.10 peer 1.0.0.1/32 scope global ppp0
valid_lft forever preferred_lft forever
root@srv:~# ip route
default via 92.53.90.1 dev enp1s0 onlink
1.0.0.1 dev ppp0 proto kernel scope link src 192.168.30.10
92.53.90.0/24 dev enp1s0 proto kernel scope link src 99.55.95.222
подскажите как правильно пробросить.
Можно сконфигурировать дополнительный порт, например в bind директива "listen-on port".
А какой вариант с iptables вы пробовали и он "не помогает"?
стоит powerdns slave . если руками проверять с сервера slave
dig -t AXFR site.ru @ns1.master.ru - то axfr запрос проходит и без всяких пробросов iptables.
но до этого не доходит powerdns (он останавливается на другой ошибке) - видимо он запрашивает напрямую ns1.master.ru.
если запросить руками dig @ns1.master.ru site.ru -connection timeout.
а ошибка в логе powerdns такая
где 88.88.98.55 ip ns1.master.ru
ответ техподдержки:
С нашей стороны включена фильтрация для портов 0,19,53,123,161,1900,520 по UDP протоколу на нашем сетевом оборудовании. Данные меры позволят защитить клиентов от распространённых DDoS amplification атак.
В качестве DNS-серверов (рекурсоров)вы можете использовать: 8.8.8.8
Это можно сделать через дополнительные таблицы маршрутизации.
Например так:
Создаем дополнительную таблицу маршрутизации:
Добавляем маршрут на маршрутизатор 1.0.0.1 в таблицу:
Добавляем правило попадания в эту таблицу по метке IP-пакета 1:
Выставляем метку 1 всем исходящим udp пакетам с портом назначения 53 (метка выставляется в таблице mangle у iptables, mangle должен быть включен)