Oui en effet, le proxy DNS mikrotik qui n'intègre pas d'ACL et qu'il faut donc limiter par le firewall.

Ah moins qu'on fasse référence à une autre faille de sécu ? si oui laquelle ? quelle version ?


Même suggestion à Mikrotik si ils lisent la liste. Donner la possibilité d'ACL dans la conf DNS serait assez cool.


Comme c'est un cas assez courant, j'ai fini par mettre un quota/couperet sur le udp53 entrant dans mon AS.

J'ai une liste de serveurs DNS légitimes connus qui peuvent passer. Pour les autres, c'est autorisé (si par exemple un client veut monter son petit serveur dns pour gérer sa petite zone et qu'il fait ça bien) mais si ça dépasse 100 queries/seconde alors c'est bloqué (pas seulement limité) et le débloquage et la mise en whitelist sont uniquement manuel sur justificatif et après avoir vérifié que ça n'est pas un openresolver.

C'est un peu violent mais j'ai encore jamais eu de faux positif.



On 26/09/2017 23:40, David Ponzone wrote:
k, j'imagine que le "bug" dont tu parles, c'est le fait que quand tu ouvres le 
resolver interne (avec allow-remote-requests = yes), il est ouvert pour le monde entier 
car il répond sur toutes les IP du routeur, donc tu dois impérativement mettre des ACL, 
ce qui n'est pas implicite pour quelqu'un qui est habitué à un CPE classique.
C'est vrai que c'est pénible, ça serait pas mal qu'ils rajoutent un champ pour 
binder le resolver  sur une ou plusieurs IP, mais aucune par défaut.


---------------------------
Liste de diffusion du FRnOG
http://www.frnog.org/

Répondre à