NxFilter come server DNS
NxFilter è fondamentalmente un server DNS di inoltro e caching con capacità di filtraggio. È anche possibile utilizzarlo
come server DNS autoritario.
Server DNS autoritario
NxFilter può funzionare come server DNS autoritario.
1. Zone File
Utilizziamo lo stesso formato di file di zona di BIND. Si crea un file di zona per un dominio su DNS > Zone File.
È possibile aggiungere i propri host nella zona DNS modificandola con la GUI.
2. Clustering
Quando si crea un cluster di NxFilter, i nodi slave funzioneranno anche come server DNS autoritario
con le impostazioni del nodo master. Non è necessario impostare un server DNS secondario per la ridondanza.
È già in cluster.
Eseguirlo su Internet
Poiché NxFilter è un filtro DNS con autenticazione, quando lo si usa come server DNS autoritativo, ci sono diversi aspetti da considerare.
autoritativo, ci sono diverse cose a cui bisogna pensare.
- Autenticazione
È necessario abilitare l'autenticazione soprattutto quando si mette NxFilter su Internet per evitare di essere bersaglio di attacchi DNS.
di essere un bersaglio di attacchi DNS. Ma il problema è che se si attiva l'autenticazione,
le query DNS per i vostri domini da parte di utenti anonimi saranno reindirizzate alla pagina di log di NxFilter.
Per consentire le query DNS anonime sul proprio dominio, è necessario bypassare l'autenticazione per il dominio.
- Filtraggio
Essendo un filtro DNS, NxFilter potrebbe bloccare il vostro dominio per qualche motivo. Questo porterà
alla mancata risoluzione del proprio dominio. Per evitare questo tipo di problema,
è necessario bypassare il filtro per il proprio dominio.
- Troppi dati di log
Potrebbero esserci troppi dati di log per il vostro dominio come risultato di un attacco DNS. Sarebbe meglio bypassare
la registrazione per il proprio dominio.
Quando si è sottoposti ad attacchi DNS
Quando si mette NxFilter sul cloud, può essere soggetto ad attacchi DNS. Una volta che si è sottoposti ad attacchi DNS
si avrà un traffico massiccio verso il server. NxFilter non è in grado di gestire tutto il traffico e alla fine sembrerà quasi morto.
morto e si otterranno log di errore su 'Queue full'.
Per evitare questo tipo di problema, la cosa migliore è nascondere il proprio server DNS e non rispondere agli aggressori.
Per nascondere NxFilter a questi aggressori, si può innanzitutto abilitare l'autenticazione. NxFilter risponderà alle interrogazioni DNS
da parte di utenti sconosciuti con il suo IP di richiesta di blocco.
Tuttavia, gli utenti potrebbero continuare a pensare che ci sia un server DNS da attaccare, poiché ricevono comunque una risposta. Per nasconderlo completamente a questi aggressori,
dobbiamo far cadere i pacchetti provenienti da questi utenti sconosciuti in modo silenzioso. A tale scopo, è possibile attivare la funzione "Disabilita reindirizzamento dell'accesso".
su System > Setup e NxFilter eliminerà i pacchetti provenienti da questi aggressori.
Esecuzione di un server ricorsivo locale
Si potrebbe voler eseguire un server DNS ricorsivo locale, come MaraDNS o Unbound, sulla stessa macchina su cui si esegue NxFilter.
C'è chi vuole farlo per velocizzarlo e chi per nascondersi dai server DNS pubblici o dalla censura di Internet.
dai server DNS pubblici o dalla censura di Internet.
Quando si esegue un server DNS ricorsivo locale, si può avere un problema di collisione di porte.
È quindi necessario modificare il numero di porta del server DNS ricorsivo. Dopo aver modificato il numero di porta in
un numero non standard come 5353, è possibile specificare il numero di porta per il server DNS Upstream su DNS > Setup utilizzando
i due punti come di seguito.
ex) 127.0.0.1:5353
