Имя пользователя:
Пароль:  
Помощь | Регистрация | Забыли пароль?  | Правила  

Компьютерный форум OSzone.net » Серверные продукты Microsoft » ISA Server / Microsoft Forefront TMG » [решено] TMG и DNS, огромный трафик извне

Ответить
Настройки темы
[решено] TMG и DNS, огромный трафик извне

Новый участник


Сообщения: 7
Благодарности: 0

Профиль | Отправить PM | Цитировать


Изображения
Тип файла: png problem.png
(62.3 Kb, 12 просмотров)
Дано:
Основой контроллер домена: PDC, вторичный котролер домена SDC, сервер exchange: Mail, сервер TMG (Win 2008 R2 Standart ).
DNS запросы, которые не может обработать PDC и SDC перенаправляются на DNS на TMG, с DNS TMG на DNS провайдера, также есть MX запись домена для доступа из все.
На TMG два физических порта WAN, LAN, смотрящие в интернет и в сеть.
пару месяцев назад была миграция с ISA 2006 на TMG, в остальном все работает(ло) не один год.

Проблема:
За последние 3 дня, DNS трафика 18 гигабайт.
C внешних IP идут запросы на внешний интерфейс, примерно с десятка адресов забивая практически полностью интернет канал + служба DNS хорошенько подгружает сервер.

Запрет DNS прослушивать внешний IP блокирует работу почты, и внешних сервисов служба DNS перестает поедать ресурсы сервера,
тоже самое происходит, если отключить правило позволяющие видеть DNS на из вне.

Вопрос:
Как закрыться от негодяев, не нарушив работу внешних сервисов?
Может я что упустил.. ?

Отправлено: 12:09, 21-06-2012

 

Старожил


Сообщения: 250
Благодарности: 37

Профиль | Отправить PM | Цитировать


R3pl1CID, покажите скрин правил

Отправлено: 15:03, 21-06-2012 | #2



Для отключения данного рекламного блока вам необходимо зарегистрироваться или войти с учетной записью социальной сети.

Если же вы забыли свой пароль на форуме, то воспользуйтесь данной ссылкой для восстановления пароля.

exo exo вне форума

Аватара для exo

Ветеран


Сообщения: 12417
Благодарности: 1442

Профиль | Отправить PM | Цитировать


Цитата R3pl1CID:
перенаправляются на DNS на TMG »
зачем на ТМГ установлен ДНС ?

-------
Вежливый клиент всегда прав!

Это сообщение посчитали полезным следующие участники:

Отправлено: 15:12, 21-06-2012 | #3


Новый участник


Сообщения: 7
Благодарности: 0

Профиль | Отправить PM | Цитировать


Проблема решилась долгим разговором с провайдером и принятием мер по защите от DDOS.

Цитата:
зачем на ТМГ установлен ДНС ?
На нем прописаны зоны для работы с филиалами, он является промежуточным для разрешения внешних имен, через него идет публкация фтп сервера, через него работает сервер exchange.

И насколько мне известно не рекомендуется показывать основной сервер имен во внешнюю сеть.

Отправлено: 07:25, 26-06-2012 | #4

exo exo вне форума

Аватара для exo

Ветеран


Сообщения: 12417
Благодарности: 1442

Профиль | Отправить PM | Цитировать


Цитата R3pl1CID:
На нем прописаны зоны для работы с филиалами »
если филиалы к вам подключаются, то я думаю, они делают это через VPN, а дальше могут использовать внутренний ДНС
(тот, который на контроллере домена, с настроенными перенаправления на ДНС провайдера).
если вы рабоете с филиалами, то кто мешает прописать эти зоны на внутреннем ДНС ?
Цитата R3pl1CID:
он является промежуточным для разрешения внешних имен, »
с этим справиться и тот же внутренний ДНС на контроллере домена.
Цитата R3pl1CID:
через него идет публкация фтп сервера »
публикация через ДНС ? я о таком не знаю. Расскажите поподробнее?
Цитата R3pl1CID:
через него работает сервер exchange »
он так же может использовать ДНС на контроллере домена...
Цитата R3pl1CID:
И насколько мне известно не рекомендуется показывать основной сервер имен во внешнюю сеть. »
тот который интегрирован с АД - да. Или у вас ДНС на TMG обслуживает зоны для ваших внешних веб-сайтов?

пока я вижу кучу ДНС, но не понимаю реального их обоснования...

-------
Вежливый клиент всегда прав!

Это сообщение посчитали полезным следующие участники:

Отправлено: 13:00, 26-06-2012 | #5


Аватара для Anton04

Ветеран


Сообщения: 2054
Благодарности: 389

Профиль | Отправить PM | Цитировать


Цитата R3pl1CID:
И насколько мне известно не рекомендуется показывать основной сервер имен во внешнюю сеть. »
А никто Вам и не говорит о публикации вашего внутреннего DNS сервера. Речь идёт всего лишь о том, что DNS сервер на TMG является излишним звеном.

-------
Слабый всю жизнь идёт лёгкой дорогой, черта сильного выбрать трудный путь.
Будь осторожен в своих желаниях, ибо они иногда сбываются.


Отправлено: 13:13, 26-06-2012 | #6


Новый участник


Сообщения: 7
Благодарности: 0

Профиль | Отправить PM | Цитировать


Структура, что как и куда смотрит работает(ла) достаточно долго, гороздо дольше чем работаю я в этой компании и большая часть моих колег.
Часть всего хозяйства приводится в божеский вид в процессе модернизации/доработки.

Цитата exo:
публикация через ДНС ? я о таком не знаю. Расскажите поподробнее? »
ftp.имядомена.ru указывает на фтп внутри сети, который не имеет внешнего адресса.

Цитата exo:
Или у вас ДНС на TMG обслуживает зоны для ваших внешних веб-сайтов? »
Да, корпаротивные сайты расположены на внешнем хостинге.

Цитата Anton04:
А никто Вам и не говорит о публикации вашего внутреннего DNS сервера. Речь идёт всего лишь о том, что DNS сервер на TMG является излишним звеном. »
Я вам больше скажу, обратились мы в оустсорс компанию, мол помогите, они пришли, посмотрели и сразу предложими DMZ c еще одним промежуточным DNS!

Отправлено: 11:49, 28-06-2012 | #7

exo exo вне форума

Аватара для exo

Ветеран


Сообщения: 12417
Благодарности: 1442

Профиль | Отправить PM | Цитировать


Цитата R3pl1CID:
посмотрели и сразу предложими DMZ c еще одним промежуточным DNS! »
странно, что не предложили просто пробросить 53 порт к ДНС серверу.
Цитата R3pl1CID:
ftp.имядомена.ru указывает на фтп внутри сети, который не имеет внешнего адресса. »
т.е. у внешних клиентов ваш ДНС прописан в свойствах сетевой карты?
Почему бы просто не опубликовать тот же ФТП через ТМГ ? через ваш внешний адрес....

-------
Вежливый клиент всегда прав!


Отправлено: 13:26, 28-06-2012 | #8



Компьютерный форум OSzone.net » Серверные продукты Microsoft » ISA Server / Microsoft Forefront TMG » [решено] TMG и DNS, огромный трафик извне

Участник сейчас на форуме Участник сейчас на форуме Участник вне форума Участник вне форума Автор темы Автор темы Шапка темы Сообщение прикреплено

Похожие темы
Название темы Автор Информация о форуме Ответов Последнее сообщение
Всем ОГРОМНЫЙ привет! :-) K.A.V. Флейм 11 01-05-2011 19:24
[решено] Огромный исходящий трафик на vista.winmicrosoft.com shaint Лечение систем от вредоносных программ 3 24-06-2010 18:33
DFI готовит огромный процессорный кулер boss911 Новости железа 6 22-01-2009 22:10
Огромный траф с DNS-сервера провайдера Aleks121 Защита компьютерных систем 9 23-08-2007 23:35




 
Переход