PF ve FBSD blokovani na zaklade pocitani

Ladislav Kohout omicron.czech at gmail.com
Thu May 15 13:45:10 CEST 2014


Tohle bohuzel neni realne, tech uzivatelu je fakt hodne a hlavne se to meni
v case dosti zivelne. Co me na cele veci rozciluje nejvic je fakt, ze se ty
domaci routery prave tvari tak, jako kdyby na nich ten dns server bezel, on
se tvari jako otevreny resolver a tak pretezuje nas dns server, ktery je
otevren jen pro nase zakazniky. Vubec nechapu, proc na ty dotazy zvenci
reaguji - jedno byl mikrotik, ktery jsem videl, posledni verze RouterOS a
neprisel jsem na to, jak tomu chovani zabranit (dnes jeste zkusi kolega na
nem poladit firewall, ale to je reseni, ktere proste 90 % uzivatelu resit
nebude). Druhy byl TP-Link nejak defaultne nastaveny, tam opet je asi
jedina cesta nejak zmenit pravidla, at jsme klikali ohledne dns co chcteli,
nic nepomohlo. Ale pres FW je to reseni, ktereho u vetsiny uzivatelu
nedosahnu - ti prinesou router z obchodu, vybali, naklikaji pres wizard
podle navodu a konec...


Co se mikrotiků týče tak proto mají v defaultním nastavení pravidlo které
zahazuje veškerý, zevnitř nevyvolaný, příchozí provoz.

Jinak taky jsem se dlouho potýkal s tím že naše primární DNS přetěžovaly
dotazy z nezabezpečených routerů.

Filtrace příchozch udp:53 paketů je rozumná pokud je valná část připojených
domácích uživatelů. Business klientelu je vždy třeba řešit iddividuálně a
být v kontaktu s jejich IT.

Jednoduché pravidlo pro filtraci příchozích udp:53 paketů na mikrotiku je:

/ip firewall filter
add action=drop chain=input comment="Blokace DNS" disabled=no
dst-address=<venkovní IP pool> dst-port=53 protocol=udp

Přeji hodně štěstí

-- 
Ladislav Kohout DiS

mobil: 606 787 923
ICQ: 210-192-640


More information about the Users-l mailing list