DNS spoofing

wombat

Zdravím,

mám na routeru naroubovaných několik veřejných IP, které posílám dál via NAT 1 a příčí se mi tam posílal toto:

Otázka zní:

Jak byste to řešili Vy? Co je čistší řešení, čistit to rovnou na routeru, nebo nechat jak je, drtit SXTčka nesmyslnými pakety a ať si to každý řeší jak uzná za vhodné? ;-)

Díky.

Gabriel

ludvik

To záleží na tom, jestli jsi purista, nebo dobroser. Purista neomezuje nic. Dobroser ve jménu jejich dobra zablokuje DNS (a NTP) směrem ke klientům. Výběr je na tobě.

wombat

No dejme tomu, jen mi příjde zbytečný zatěžovat spoje zbytečným bastlem, který nemá žádný využití a jen zatěžuje železo. Proto mě jen zajímá co je lepší cesta ;-)

ludvik

Sám sis odpověděl. Hledáš odpovědi na vcelku zbytečné otázky. Je-li toho moc, tak to sekni. Alespoň zabráníš stát se klientům součástí nějakého DDoS. A ušetříš na wifinách trochu kapacity. Jsou věci, které se u klientů typicky nevyskytují a jsou spíš na obtíž. Zmíněné DNS, NTP. Já jim sekám i SNMP a porty 17,19 a 1900/UDP. Jde to sice proti mému osobnímu přesvědčení, ale co už nadělám, stejně konektivitu kazím NATem ...

Takový špatně nakonfigurovaný mikrotik lze pomocí DNS totálně zablokovat i na hodně pomalé wifině. A pak se lidi diví, že to nejede.