1

Тема: [DNS] Перелік публічних звичайних та альтернативних DNS серверів

Часом треба блокувати публічні DNS сервера, щоб не оминали внутрішній.. також є потреба блокувати так звані публічні альтернативні DNS сервера, щоб обрізати доступ різній нечисті для завантаження "корисного" навантаження та керування нею..

Тож стало питання які сервіси існують та як автоматизовано завантажувати перелік ip адрес, щоб вручну не відстежувати.. у кого які пропозиції?

2

Re: [DNS] Перелік публічних звичайних та альтернативних DNS серверів

Редиректити всі запити на порт 53 зі шлюзу на внутрішній DNS?

3 Востаннє редагувалося HetmanNet (09.04.2018 13:30:19)

Re: [DNS] Перелік публічних звичайних та альтернативних DNS серверів

koala написав:

Редиректити всі запити на порт 53 зі шлюзу на внутрішній DNS?

Але з публічними вузлами альтернативних DNS то не допоможе, бо там не лише 53 порт юзають.. :(

4

Re: [DNS] Перелік публічних звичайних та альтернативних DNS серверів

HetmanNet написав:
koala написав:

Редиректити всі запити на порт 53 зі шлюзу на внутрішній DNS?

Але з публічними вузлами альтернативних DNS то не допоможе, бо там не лише 53 порт юзають.. :(

53 TCP/UDP - DNS
853 TCP/UDP - DNS over TLS
5353    ?/UDP - Multicast DNS (mDNS)
8245    TCP - Dynamic DNS for at least No-IP and DyDNS
Ніби все.
https://en.wikipedia.org/wiki/List_of_T … rt_numbers
Якщо ваш DNS чогось не вміє - викидайте пакети, якщо вміє - редіректе на нього.
Якщо хтось розгорнув DNS-сервер на нестандартному порті (тим більше під TLS), а якийсь софт туди лізе - ну вибачте, або файрвольте все нестандартне, або змиріться.

Подякували: leofun011

5

Re: [DNS] Перелік публічних звичайних та альтернативних DNS серверів

koala написав:
HetmanNet написав:
koala написав:

Редиректити всі запити на порт 53 зі шлюзу на внутрішній DNS?

Але з публічними вузлами альтернативних DNS то не допоможе, бо там не лише 53 порт юзають.. :(

53 TCP/UDP - DNS
853 TCP/UDP - DNS over TLS
5353    ?/UDP - Multicast DNS (mDNS)
8245    TCP - Dynamic DNS for at least No-IP and DyDNS
Ніби все.
https://en.wikipedia.org/wiki/List_of_T … rt_numbers
Якщо ваш DNS чогось не вміє - викидайте пакети, якщо вміє - редіректе на нього.
Якщо хтось розгорнув DNS-сервер на нестандартному порті (тим більше під TLS), а якийсь софт туди лізе - ну вибачте, або файрвольте все нестандартне, або змиріться.

Навіщо миритися? Можна по IP забанити найбільш відомі. Наприклад OpenNIC має близько сотні публічних DNS.. банеш їх і тим самим відсікаєш доступ до чималої частки альтернативних DNS.. тож забанити ІР найбільш популярних публічних альтернативних DNS і можна відсікти 99%.. тож не варто переоцінювати надійність альтернативних DNS..