DNS spoofing Cisco 2811 (Закрыть рекурсивные DNS запросы)

Все остальное

DNS spoofing Cisco 2811 (Закрыть рекурсивные DNS запросы)

Сообщение plastilin » 15 июл 2011, 11:46

Доброго времени суток. Есть задача настроить форвард днс запросов с Cisco на внутренний DNS сервер.

Имеем: внутренний адрес Cisco: 192.168.2.1
Внутренний адрес DNS сервера: 192.168.2.21

Конфигурируем:

Код: Выделить всё
ip name-server 192.168.2.21
ip domain-lookup
ip dns server
ip dns spoofing


Все работает, однако есть одна небольшая проблема, стали доступны рекурсивные запросы к ДНС серверу 192.168.2.21 через внешний интерфейс Cisco. Если отключить ip domain lookup - то клиеннтские запросы заканчиваются на Cisco. Как это закрыть?
Последний раз редактировалось plastilin 18 июл 2011, 12:48, всего редактировалось 1 раз.
Кто ищет тот всегда найдет и обязательно скачает...
Аватара пользователя
plastilin
новичок
 
Сообщения: 97
Зарегистрирован: 21 ноя 2008, 14:20
Откуда: Из города-героя Киева!

Re: DNS spoofing Cisco 2811 (Закрыть рекурсивные DNS запросы

Сообщение root » 16 июл 2011, 10:42

DNS Spoofing

ip dns spoofing

To enable Domain Name System (DNS) spoofing, use the ip dns spoofing command in global configuration mode.
To disable DNS spoofing, use the no form of this command.

ip dns spoofing [ip-address]
no ip dns spoofing [ip-address]

Syntax Description
ip-address (Optional) IP address used in replies to DNS queries.


попробуй немного изменить команду:
Код: Выделить всё
ip dns spoofing 192.168.2.1
С уважением, root

Изображение
------------
www.mega-net.ru - IT аутсорсинг
Аватара пользователя
root
Site Admin
 
Сообщения: 1894
Зарегистрирован: 11 июн 2008, 13:05
Откуда: Moscow, Russia

Re: DNS spoofing Cisco 2811 (Закрыть рекурсивные DNS запросы

Сообщение plastilin » 16 июл 2011, 18:19

Пробовал, тот же эффект.
Кто ищет тот всегда найдет и обязательно скачает...
Аватара пользователя
plastilin
новичок
 
Сообщения: 97
Зарегистрирован: 21 ноя 2008, 14:20
Откуда: Из города-героя Киева!

Re: DNS spoofing Cisco 2811 (Закрыть рекурсивные DNS запросы

Сообщение root » 18 июл 2011, 10:22

расскажи как ты проверяешь
С уважением, root

Изображение
------------
www.mega-net.ru - IT аутсорсинг
Аватара пользователя
root
Site Admin
 
Сообщения: 1894
Зарегистрирован: 11 июн 2008, 13:05
Откуда: Moscow, Russia

Re: DNS spoofing Cisco 2811 (Закрыть рекурсивные DNS запросы

Сообщение plastilin » 18 июл 2011, 10:45

Код: Выделить всё
dig @xxx.xxx.xxx.xxx subnets.ru A


Где ххх - внешний айпи на циске. Спрашиваю из-за серой сети, выдает ответ нормально.
Кто ищет тот всегда найдет и обязательно скачает...
Аватара пользователя
plastilin
новичок
 
Сообщения: 97
Зарегистрирован: 21 ноя 2008, 14:20
Откуда: Из города-героя Киева!

Re: DNS spoofing Cisco 2811 (Закрыть рекурсивные DNS запросы

Сообщение root » 18 июл 2011, 11:05

ну ессно если ты это делаешь находясь в подсети 192.168.2.0/24, то ты получишь ответ.
ты попробуй сделать это извне, а не изнутри.
С уважением, root

Изображение
------------
www.mega-net.ru - IT аутсорсинг
Аватара пользователя
root
Site Admin
 
Сообщения: 1894
Зарегистрирован: 11 июн 2008, 13:05
Откуда: Moscow, Russia

Re: DNS spoofing Cisco 2811 (Закрыть рекурсивные DNS запросы

Сообщение plastilin » 18 июл 2011, 12:47

Я то это и делаю извне как раз.

UPD. Я вот думаю что в этой ситуации нужно делать акцесс лист, запрещающий днс запросы и вешать его на все внешние интерфейсы, однако вопрос в том, как его правильно составить...

UPD2: Нашел пример разрешающего ACL

Код: Выделить всё
access-list 101 permit udp any any eq domain
access-list 101 permit udp any eq domain any
Кто ищет тот всегда найдет и обязательно скачает...
Аватара пользователя
plastilin
новичок
 
Сообщения: 97
Зарегистрирован: 21 ноя 2008, 14:20
Откуда: Из города-героя Киева!

Re: DNS spoofing Cisco 2811 (Закрыть рекурсивные DNS запросы

Сообщение root » 20 июл 2011, 08:47

plastilin писал(а):Я то это и делаю извне как раз.

тогда как понимать твою фразу:
plastilin писал(а):Спрашиваю из-за серой сети

?

plastilin писал(а): Я вот думаю что в этой ситуации нужно делать акцесс лист, запрещающий днс запросы и вешать его на все внешние интерфейсы

с ACL`ами будь аккуратнее, а то понавешаешь и тогда и твой DNS перестанет что либо отдавать, т.к. прежде чем он узнает где искомый домен он так же пошлет DNS запрос к внешнему DNS серверу.

что то ты явно не так делаешь, снова читаем, например тут:
ip dns spoofing [ip-address]
Example:
Router(config)# ip dns spoofing 192.168.15.1

Configures DNS spoofing.
•The router will respond to the DNS query with the configured ip-address when queried for any hostname other than its own.

•The router will respond to the DNS query with the IP address of the incoming interface when queried for its own hostname.

получается что если ты дал таки команду:
root писал(а):ip dns spoofing 192.168.2.1

то при рекурсивном запросе, твой роутер ответит с серого адреса и ответ до реальника из Инета точно никогда не дойдет.

вруби debug domain и посмотри что там происходит при запросе:
Код: Выделить всё
nslookup subnets.ru. xxx.xxx.xxx.xxx

Где ххх - внешний айпи на циске.
С уважением, root

Изображение
------------
www.mega-net.ru - IT аутсорсинг
Аватара пользователя
root
Site Admin
 
Сообщения: 1894
Зарегистрирован: 11 июн 2008, 13:05
Откуда: Moscow, Russia

Re: DNS spoofing Cisco 2811 (Закрыть рекурсивные DNS запросы

Сообщение plastilin » 20 июл 2011, 11:36

Из-за серой сети имелось ввиду, что запросы идут из за НАТ, но из совершенно другой сети никак не связанной с Cisco. Честно говоря я уже и незнаю куда копать.

А может в этом ответ?

This feature is useful for devices where the interface toward the Internet service provider (ISP) is not up. Once the interface to the ISP is up, the router forwards DNS queries to the real DNS servers.
Кто ищет тот всегда найдет и обязательно скачает...
Аватара пользователя
plastilin
новичок
 
Сообщения: 97
Зарегистрирован: 21 ноя 2008, 14:20
Откуда: Из города-героя Киева!

Re: DNS spoofing Cisco 2811 (Закрыть рекурсивные DNS запросы

Сообщение root » 23 июл 2011, 10:16

plastilin писал(а):А может в этом ответ?

что то я не вижу в этой строке никакого ответа

ты дебаг посмотрел ? что в нем ?
С уважением, root

Изображение
------------
www.mega-net.ru - IT аутсорсинг
Аватара пользователя
root
Site Admin
 
Сообщения: 1894
Зарегистрирован: 11 июн 2008, 13:05
Откуда: Moscow, Russia

След.

Вернуться в Разное (networks)

Кто сейчас на конференции

Сейчас этот форум просматривают: нет зарегистрированных пользователей и гости: 5

cron