Oui en effet, le proxy DNS mikrotik qui n'intègre pas d'ACL et qu'il
faut donc limiter par le firewall.
Ah moins qu'on fasse référence à une autre faille de sécu ? si oui
laquelle ? quelle version ?
Même suggestion à Mikrotik si ils lisent la liste. Donner la possibilité
d'ACL dans la conf DNS serait assez cool.
Comme c'est un cas assez courant, j'ai fini par mettre un quota/couperet
sur le udp53 entrant dans mon AS.
J'ai une liste de serveurs DNS légitimes connus qui peuvent passer. Pour
les autres, c'est autorisé (si par exemple un client veut monter son
petit serveur dns pour gérer sa petite zone et qu'il fait ça bien) mais
si ça dépasse 100 queries/seconde alors c'est bloqué (pas seulement
limité) et le débloquage et la mise en whitelist sont uniquement manuel
sur justificatif et après avoir vérifié que ça n'est pas un openresolver.
C'est un peu violent mais j'ai encore jamais eu de faux positif.
On 26/09/2017 23:40, David Ponzone wrote:
k, j'imagine que le "bug" dont tu parles, c'est le fait que quand tu ouvres le
resolver interne (avec allow-remote-requests = yes), il est ouvert pour le monde entier
car il répond sur toutes les IP du routeur, donc tu dois impérativement mettre des ACL,
ce qui n'est pas implicite pour quelqu'un qui est habitué à un CPE classique.
C'est vrai que c'est pénible, ça serait pas mal qu'ils rajoutent un champ pour
binder le resolver sur une ou plusieurs IP, mais aucune par défaut.
---------------------------
Liste de diffusion du FRnOG
http://www.frnog.org/
