¿Como bloquear el puerto 80 en nuestro DNS?

openroot · 26-ago-2012, 03:45

Hola, tengo 2 dns que apuntan a 2 IP

dns1.dominio.com
dns2.dominio.com
¿ Alguien sabe como hacen lo siguiente ?

Quisiera bloquear el acceso por puerto 80, pero tener acceso a las DNS!
me he dado cuenta que cuando por ejemplo quiero ingresar a un host a

dns1.dominiohost.com está cerrado el puerto 80
pero si le hago ping está funcionando!! quiero aprenderlo siempre tuve esta curiosidad ¿Puede bloquear ataque DDOS que se hacen al puerto 80?

turcu · 26-ago-2012, 10:15

Cita:

Iniciado por openroot

Hola, tengo 2 dns que apuntan a 2 IP

dns1.dominio.com
dns2.dominio.com
¿ Alguien sabe como hacen lo siguiente ?

Quisiera bloquear el acceso por puerto 80, pero tener acceso a las DNS!
me he dado cuenta que cuando por ejemplo quiero ingresar a un host a

dns1.dominiohost.com está cerrado el puerto 80
pero si le hago ping está funcionando!! quiero aprenderlo siempre tuve esta curiosidad ¿Puede bloquear ataque DDOS que se hacen al puerto 80?

Dependiendo que tengas, podes cerrar el puerto con el firewall que tengas instalado.

Otra opcion es no correr nada en el puerto 80. Por ejemplo que el servidor que corre los DNS, no corra ningun servidor Web, que es quien utiliza generalmente ese puerto. Cada servicio utiliza un puerto diferente.

A un DDOS no lo vas a frenar en el servidor.

Saludos!

Andaina.net · 26-ago-2012, 12:54

Cita:

Iniciado por turcu

A un DDOS no lo vas a frenar en el servidor.

Saludos!

Efectivamente, lo mejor es que contacte con su proveedor y ver que pueden hacer.

openroot · 26-ago-2012, 18:37

Cita:

Iniciado por turcu

Dependiendo que tengas, podes cerrar el puerto con el firewall que tengas instalado.

Otra opcion es no correr nada en el puerto 80. Por ejemplo que el servidor que corre los DNS, no corra ningun servidor Web, que es quien utiliza generalmente ese puerto. Cada servicio utiliza un puerto diferente.

A un DDOS no lo vas a frenar en el servidor.

Saludos!

Cita:

Iniciado por Andaina.net

Efectivamente, lo mejor es que contacte con su proveedor y ver que pueden hacer.

Hola gracias por responder.

Quiero hacer algo parecido a esto:
algo así como
NS3.MONIKERDNS.NET 50.57.11.89
NS3.MONIKERDNS.NET 50.57.11.88

Se puede hacer ping pero no entrar al 80

Esto es lo que hice:
Uso Ispconfig3 y bloquié y desabilité el puerto 80 y se desabilitó el 80, pero si se podía hacer ping pero no se podía entrar a ninguna web :S

Me pregunto
Las IP de las DNS tienen que ser distintas a las que apuntan las ¿páginas alojadas?

Aparte tengo otra pregunta como logra ¿forosdelweb.com logra bloquear el ping?
la IP es 96.127.155.234, pero no se si es mi proveedor por que no logro hacer ping y funciona el 80!

Código:

ping 96.127.155.234
ping www.amigomensajero.com
ping maestrasweb.com
ping cvander.com
ping www.120segundos.com
ping www.maestrosdelweb.com
ping forosdelweb.com

FanHost · 26-ago-2012, 22:02

Buenas,

Para bloquear el ping, debes bloquear todos los mensajes ICMP que vayan hacia la IP en cuestión. Esto se hace mediante reglas iptables (firewall).

En Google tienes muchísima documentación.

Saludos,

skunk · 26-ago-2012, 23:52

Cita:

Iniciado por openroot

Me pregunto
Las IP de las DNS tienen que ser distintas a las que apuntan las ¿páginas alojadas?

Es lo ideal así manejas por ejemplo, un servidor para las Web, Un par de vps para los dns, y así vas separando los servicios en diferentes maquinas..

openroot · 28-ago-2012, 05:55

Cita:

Iniciado por FanHost

Buenas,

Para bloquear el ping, debes bloquear todos los mensajes ICMP que vayan hacia la IP en cuestión. Esto se hace mediante reglas iptables (firewall).

En Google tienes muchísima documentación.

Saludos,

Hola Fanhost no lo sabía gracias por la info de algo nuevo he interesante.
según he visto pueden ocurrir problemas al momento de cargar paquetes en la web, el staff de ispconfig no me recomienda hacerlo

¿eso es muy peligroso?

Cita:

Iniciado por skunk

Es lo ideal así manejas por ejemplo, un servidor para las Web, Un par de vps para los dns, y así vas separando los servicios en diferentes maquinas..

Hola skunk

Tengo curiosidad de aprender eso skunk
Estoy utilizando como panel ispconfig3 instalando todo los servicios me consume 35% de la memoria de 2 GB RAM

Si compro un par de VPS para las DNS tengo que hacerlo directamente al VPS o tengo que hacerlo desde el panel ispconfig3, supongo que si se haría directamente aliviarías la carga y solo el VPS se concentraría en las DNS

he buscado como separar servidor de DNS debian y me ha salido información interesante si los separo con esos tutoriales ¿funcionará bien con el panel ispconfig?

Me puedes pasar tutoriales o algún nombre corto para encontrar la documentación por google he estado buscando pero no encuentro información sobre como separar, utilizo debian 6.0 gracias por esta info me interesa mucho!

skunk · 28-ago-2012, 07:25

Cita:

Iniciado por openroot

Hola skunk

Tengo curiosidad de aprender eso skunk
Estoy utilizando como panel ispconfig3 instalando todo los servicios me consume 35% de la memoria de 2 GB RAM

Si compro un par de VPS para las DNS tengo que hacerlo directamente al VPS o tengo que hacerlo desde el panel ispconfig3, supongo que si se haría directamente aliviarías la carga y solo el VPS se concentraría en las DNS

Estimado desconozco como funciona ese panel, yo lo hago manualmente y me apoyo con webmin para una y que otra cosa, te diré que me ha funcionado bastante bien y es bastante amigable, te aclaro que lo hago como hobbie no tengo servicio de webhosting ni nada por el estilo, los años y la cantidad de servidores rotos

me han otorgado algo de conocimiento sobre este tema.

Te dejo la carga que tiene mi servidor DNS primario para que tengas una idea, hay 57 dominios y no se fastidia para nada, para que te digo del DNS secundario tiene un 10% menos de carga.

Hace un tiempo atrás ideasmultiples me aclaro que con 128Mb de Ram y ningún otro servicio activo, podría estar sobre los 1000 dominios.

Código:

http://www.comunidadhosting.com/vps-hosting/14389-vps-128mb-bind-server.html

Cita:

Iniciado por openroot

he buscado como separar servidor de DNS debian y me ha salido información interesante si los separo con esos tutoriales ¿funcionará bien con el panel ispconfig?

Trabajo con centOS, desconozco la fuente de esos tutoriales.

Cita:

Iniciado por openroot

Me puedes pasar tutoriales o algún nombre corto para encontrar la documentación por google he estado buscando pero no encuentro información sobre como separar, utilizo debian 6.0 gracias por esta info me interesa mucho!

Te dejo un ejemplo que puedes ver el servidor DNS Separado del servidor Web y un par de subdominios, también lo puedes hacer con el servidor de base de datos, y todo lo que se te ocurra

Saludos, que tengas un buen día.

instalarcpanel · 29-ago-2012, 00:09

Cita:

Iniciado por FanHost

Buenas,

Para bloquear el ping, debes bloquear todos los mensajes ICMP que vayan hacia la IP en cuestión. Esto se hace mediante reglas iptables (firewall).

En Google tienes muchísima documentación.

Saludos,

Hola Kevin,

Exactamente desde el archivo de configuración del kernel sysctl.conf

Editar sysctl.conf

Código:

# vim /etc/sysctl.conf

Buscar con vim en modo de comandos (tecla escape) tecla Shift /7:

Código:

net.ipv4.icmp_echo_ignore_all = 1

Y lo cambias por:

Código:

net.ipv4.icmp_echo_ignore_all = 0

:wq

service network restart

Salu2,

instalarcpanel · 29-ago-2012, 00:19

Cita:

Iniciado por skunk

Es lo ideal así manejas por ejemplo, un servidor para las Web, Un par de vps para los dns, y así vas separando los servicios en diferentes maquinas..

Lo importante es que las IP's sean diferentes y además de eso el sistema DNS se encuentre ubicado en otro nodo de otra red (AS) distinto para cumplir con la RFC 2182 sección 3.1.

Salu2,

skunk · 29-ago-2012, 01:53

Cita:

Iniciado por instalarcpanel

Lo importante es que las IP's sean diferentes y además de eso el sistema DNS se encuentre ubicado en otro nodo de otra red (AS) distinto para cumplir con la RFC 2182 sección 3.1.

Salu2,

Eso ya se ha mencionado en un par de ocasiones. gracias

silicontower · 14-sep-2012, 21:28

A título informativo, openroot amigo, creo que tienes una pequeña confusión entre el puerto 80 y los pings.

Veamos, el puerto 80 es un puerto TCP (Así a grandes rasgos en IP tenemos protocolo UDP, TCP y ICMP ... Además de GRE y otras cosas "raras")

Es decir, el puerto 80 TCP es el puerto que utilizan las páginas web para funcionar (Osea donde corre el protocolo HTTP) hay otros puertos como el 25 SMTP que es para enviar correo o el 110 que es para descargarlo por POP3. Y también los hay UDP, como el 53 que sería el de las DNS.

Además del protocolo TCP y el UDP también tenemos el ICMP (Que es el que a ti te interesa) que es sobre el que funcionan los pings (O las echo requests / reply) el ICMP aunque no lo parezca se usa para muchas mas cosas, pero los echos o pings se pueden cerrar, y la solución que te ha dado "instalarcpanel" es totalmente válida.

Espero que mi explicación te haya dado un poco más de contexto respecto a los protocolos IP :)