[Lista ArNOG] Problemas de DNS (Ivan Chapero)

Eduardo Tealdi Saad eduardots en amc.com.ar
Vie Oct 28 16:41:58 ART 2016


Federico, es entendible lo que planteas, pero parece un poco extremista.
Creo que lo ideal es mantener la neutralidad de la red, SIEMPRE QUE NO 
afecte la seguridad y calidad de tu red o de los demas.

DNS:
1.- permitis los DNS conocidos: tuyos, google, level3, openDNS, etc
2.- DENEGAS DNS de Botnet y afines (como 181.41.210.139) y metes en una 
lista a quienes los usan
3.- el resto lo mandas a tus DNS de prepo

Cuando tengo tiempo registro en 3 que DNS se estan usando, si 
corresponde lo agrego a la lista de 1
Cuando uno de los DNS externo falla, lo deshabilitas de 1 y pasa a tus 
DNS por 3
Con la lista de 2, los redirigís mediante el proxy a una pagina 
"Servicio suspendido x virus, Hackeo, ataque, abuso, etc."


PING
El ping todo el dia a 8.8.8.8 o cualquier sitio es un abuso.
lo limitas : 5, 10 pck por origen y destino cada 1 minuto, despues 
Reject, drop

TP-LINK y afines: esto no es neutralidad es un ATAQUE, por lo tanto SE 
PROHIBE:
port 80 entrante                FILTRADO POR SEGURIDAD.
DNS 181.41.210.139         FILTRADO POR SEGURIDAD

La mayoria de los port bajos entrantes en clientes particulares TIENEN 
que estar cerrados. Un abonado no puede hostear servicios en su 
conexión. dejaria de ser uso particular y cobro el triple.

Lo difícil es hacerles entender que cambien el port de las camaras o del 
soft de facturacion. Sino lo entienden, le ofreces pasarlo a Tarifa 
Comercial/Empresarial Platino con Titanio: Fibra dedicada, IP fija, BW 
dedicado, un chupetin por semana y el port 80 abierto.
Solamente tenes que traer el CUIT, firmar ante escribano la 
responsabilidad de cualquier ataque, descarga pirata que salga de tu 
conexión, abona U$S 1000 de cargo de conexion y U$S 200 extras por mes.


Saludos, Eduardo
Coop. Mariano Acosta


El 28/10/2016 a las 2:08 p. m., Federico Kearney (WNinternet) escribió:
>> El spoofing lo "encendemos" en contingencias como la del evento 
>> reciente de Google para no ser tan violento con la neutralidad hacia 
>> el usuario.
> Violar la que??? Mi red, mis reglas. Al que no le guste que se valla.
> Corro un DNS local, y mando todo el DNS ahí.
>
> Conozco las desventajas de permitir que la gente se ponga cualquier 
> cosa. Las enumero para que esten al tanto:
> -Tenes un super guru informático de foros recomendando a la gente 
> ponerse un mega dns chino, después todos esos pavos que andan en los 
> foros seguro andan bajando pavadas de steam, esos pavos los tenes 
> despilfarrando vocablos en las redes sociales en contra de mi red 
> "porque stim baja a 3kb/s" y claro, si estas usando un DNS chino, pavo.
> -Viene un nabo visitador serial de paginas infectadas con malware 
> cambiando los DNS de todos los tplink a un dns brasilero sin que el lo 
> sepa, porque la gente deja admin / admin en sus routers. Precisamente, 
> el DNS brasilero es 181.41.210.139
> -Tenes a otro haciendo ping todo el dia al 8.8.8.8 para medir "la 
> performance de tu red" y no tiene ni la menor idea de como funciona 
> google. Porque según el, google no se cae, espero que ese gurú, que 
> conozco a varios, estén al tanto de las ultimas noticias.
> -Resulta que respeto tanto la neutralidad de la red y dejo que todos 
> los tplink resuelvan en 181.41.210.139 y después comienzan a llegar 
> los mails "Tu internet tiene virus".
>
> Para evitar reclamos y para ser eficientes con la vida de todos (los 
> que trabajamos aca y los que disfrutan de nuestros servicios) los dns 
> tienen una linda redirección.
>
> Espero que con los karmas sufridos anteriormente, mis experiencias les 
> sirvan para levantar un DNS local y les hayan sacado una sonrisa en la 
> cara!
>
> Espero que las comillas en lo "encendemos" impliquen contingencia 
> permanente.
>
> Saludos a todos!
>
>
>
> El viernes, 28 de octubre de 2016, Luciano Minuchin <
> luciano.minuchin en gmail.com
> <javascript:_e(%7B%7D,'cvml','luciano.minuchin en gmail.com');>> escribió:
>
>> Apoyo lo que dice Christian estamos queriendo resolver problemas de DNS
>> con soluciones IP, me parece claro que son temas bien distintos, 
>> deberíamos
>> volver al tema central que hace tiempo que nos tienen dando vuelta y 
>> es que
>> cada uno debería tener su recursivo propio y uno externo como 
>> alternativa
>> de contingencia o para pruebas pero no por default.
>>
>> Deberíamos trabajar en eso como comunidad seria interesante hablarlo 
>> en el
>> encuentro de Técnicos.
>>
>> Saludos.
>> Luciano.
>>
>>
>>
>> El 28 de octubre de 2016, 12:36, Christian O'Flaherty 
>> <oflaherty en isoc.org>
>> escribió:
>>
>>> parece como si poco a poco se estuviera utilizando 8.8.8.8 como la IP
>>> standard para los recursivos y luego cada ISP lo acomoda (con 
>>> anycast, NAT,
>>> etc.) según sus necesidades
>>>
>>> No es muy bueno eso...
>>>
>>> Christian O'Flaherty  oflaherty en isoc.org
>>> Regional Development - Internet Society
>>> Skype/Gmail/Yahoo!:  christian.oflaherty
>>> Mobile/WhatsApp: +598 98769636
>>>
>>> On Oct 28, 2016, at 11:54 AM, Pablo Fritz 
>>> <pablo.fritz en nap.cabase.org.ar>
>>> wrote:
>>>
>>> Christian,
>>> Varios hicieron esto con destination nat en sus routers. En mikrotik
>>> hasta es fácil natear solo el tráfico udp 53.
>>> Yo estaba pensando hacer algo similar en un server en ruteo central 
>>> en el
>>> futuro, ya que tenemos un problema con Facebook, que asigna el cache 
>>> según
>>> el server dns que pregunta, y a diferencia de Akamai no saben sacar esa
>>> info del 8.8.8.8 y mandan  las consultas a usa.
>>> Pablo
>>>
>>> Sent from my Phone
>>>
>>> El 27 oct. 2016, a las 18:46, Christian O'Flaherty <oflaherty en isoc.org>
>>> escribió:
>>>
>>> Hola Marcos,
>>>
>>> Hola Gente, les comento que nosotros aplicamos una solución muy simple,
>>> como todos nuestro clientes usan 8.8.8.8 y 8.8.4.4 simplemente
>>> redireccionamos el trafico con esos destinos a los DNS de Level3 
>>> 4.2.2.2 y
>>> 4.2.2.1 hasta que se soluciono el inconveniente.
>>>
>>>
>>> Cómo hicieron esa redirección?
>>>
>>> Christian
>>>
>>>
>>> El 25 de octubre de 2016, 13:23, Pedro Casa <pcasa en telecentro.net.ar>
>>> escribió:
>>>
>>>> Buenas,
>>>>
>>>> Por lo comentado por google hubo un  network outage que provocó la
>>>> perdida de capacidad en su servidores.
>>>> En cuanto ellos sepan algo va a dar a conocer la causa del mismo.
>>>>
>>>> Saludos.
>>>>
>>>> Pedro E. Casa.
>>>> Especialista de Backbone IP.
>>>> Tel: 54 11 39771299 | Cel: 54 911 6515-5902 | Mail:
>>>> pcasa en telecentro.net.ar
>>>>
>>>> ------------------------------
>>>> *De: *sectorip en cotelcam.net.ar
>>>> *Para: *lista en arnog.com.ar
>>>> *Enviados: *Martes, 25 de Octubre 2016 12:30:08
>>>> *Asunto: *Re: [Lista ArNOG] Problemas de DNS
>>>>
>>>> Muchas gracias por la info.
>>>>
>>>>
>>>> -- 
>>>> Atte
>>>> Soporte
>>>> Cooperativa Telefónica Lopez Camelo
>>>> Quirno Costa 3318 - (1618) Lopez Camelo
>>>> Tel: (54-3327) 45-0069
>>>> Tel: (54-3327) 45-0083
>>>> Tel: (54-3327) 45-0067
>>>> Web: www.cotelcam.com.ar
>>>>
>>>>
>>>>
>>>> El 25/10/16 a las 12:12, Wilfredo Fontana escribió:
>>>>
>>>> Es un tema en la region según nos comentaron desde google.
>>>>
>>>> Viendo desde www.downdetector.com, se los ve afectados en estas zonas.
>>>>
>>>>
>>>> <Mail Attachment.png>
>>>>
>>>>
>>>>
>>>> Saludos cordiales.
>>>>
>>>>
>>>> *Wilfredo O. Fontana Arce*
>>>>
>>>> Network Operations Center
>>>>
>>>> Tel.: (54 11) 5093-5139/5131/5136
>>>>
>>>>        (54 11) 5918-9999
>>>>
>>>> Cel.: (54 9 11) 5180-6764
>>>>
>>>> wfontana en gruposkymax.com.ar
>>>>
>>>> www.gruposkymax.com.ar
>>>>
>>>> <Mail Attachment.png>
>>>>
>>>>
>>>> *This email and any attachments may contain confidential, proprietary
>>>> and/or privileged information. If you are not the intended recipient,
>>>> please immediately notify the sender by return email, and delete this
>>>> communication and any copies. Any dissemination or use of this 
>>>> information
>>>> by a person other than the intended recipient is unauthorized and 
>>>> may be
>>>> subject to criminal and civil proceedings. *
>>>>
>>>>
>>>> antes de imprimir este mail, *CUIDA EL MEDIO AMBIENTE!!!*
>>>>
>>>>
>>>>
>>>> *De:* lista-bounces en arnog.com.ar 
>>>> [mailto:lista-bounces en arnog.com.ar] *En
>>>> nombre de *Ivan Chapero
>>>> *Enviado el:* martes, 25 de octubre de 2016 12:01
>>>> *Para:* lista en arnog.com.ar
>>>> *Asunto:* Re: [Lista ArNOG] Problemas de DNS
>>>>
>>>>
>>>> No es exclusivo de CABASE, ISPs no conectados a los IXPs tienen el 
>>>> mismo
>>>> inconveniente.
>>>>
>>>>
>>>> El 25 de octubre de 2016, 11:54, Diego Rodriguez <
>>>> drodriguez en starnetworks.com.ar> escribió:
>>>>
>>>> Mis rutas al 8.8.8.8 estan vía Cabase, es sólo el enlace entre 
>>>> Suipacha
>>>> y Google el problema o el más grande?
>>>>
>>>>
>>>> A mi no me responde ni un ping al 8.8.8.8
>>>>
>>>>
>>>> Saludos
>>>>
>>>>
>>>> Diego F. Rodríguez
>>>> STARNETWORKS
>>>> Redes y Comunicaciones Moreno S.R.L.
>>>>
>>>> Cel: 15 6660 0035
>>>> Tel: 3220 5923
>>>>
>>>>
>>>> El 25 de octubre de 2016, 11:14, Maximiliano Dobladez 
>>>> <elmaxi en gmail.com>
>>>> escribió:
>>>>
>>>> Si, desde esta mañana estamos teniendo reportes de resolución de 
>>>> DNS, y
>>>> se pierden ping hacia el 8.8.8.8
>>>>
>>>>
>>>> Saludos
>>>>
>>>>
>>>> Maximiliano
>>>>
>>>>
>>>> 2016-10-25 11:08 GMT-03:00 Luciano Minuchin 
>>>> <luciano.minuchin en gmail.com
>>>> >:
>>>>
>>>> problemas en google en general dns e IP.
>>>>
>>>>
>>>> Seguimos con la recomendación de no tener el 8.8.8.8 como unico DNS en
>>>> nuestras infraestructuras tenemos que tener opciones propias, como 
>>>> se dice
>>>> no poner todos lo huevos en la misma canasta.
>>>>
>>>> Saludos.
>>>>
>>>> Luciano.
>>>>
>>>>
>>>> El 25 oct. 2016, a las 10:53, Italo Rocha Supercanal.com.ar
>>>> <http://supercanal.com.ar/> <rocha.italo en supercanal.com.ar> escribió:
>>>>
>>>> Buenos días, alguien esta teniendo problemas de DNS ahora???
>>>>
>>>> tuvimos una caída en la navegación y fue por resolución de DNS.
>>>>
>>>> Saludos
>>>>
>>>>
>>>> -- 
>>>> <italo super.png>
>>>>
>>>> _______________________________________________
>>>> Lista mailing list
>>>> Lista en arnog.com.ar
>>>> http://mailmancabase.interdotnet.com.ar/mailman/listinfo/lista
>>>>
>>>>
>>>> _______________________________________________
>>>> Lista mailing list
>>>> Lista en arnog.com.ar
>>>> http://mailmancabase.interdotnet.com.ar/mailman/listinfo/lista
>>>>
>>>>
>>>> ?
>>>>
>>>>
>>>> _______________________________________________
>>>> Lista mailing list
>>>> Lista en arnog.com.ar
>>>> http://mailmancabase.interdotnet.com.ar/mailman/listinfo/lista
>>>>
>>>>
>>>>
>>>> _______________________________________________
>>>> Lista mailing list
>>>> Lista en arnog.com.ar
>>>> http://mailmancabase.interdotnet.com.ar/mailman/listinfo/lista
>>>>
>>>>
>>>>
>>>>
>>>> -- 
>>>>
>>>>
>>>> *Ivan Chapero Área Técnica y Soporte*
>>>> Fijo: 03464-470280 (interno 535) | Móvil:  03464-155-20282 | Skype ID:
>>>> ivanchapero
>>>>
>>>> -- 
>>>>
>>>> GoDATA Banda Ancha - CABLETEL S.A. | Av. 9 de Julio 1163 - 2183 -
>>>> Arequito - Santa Fe - Argentina
>>>>
>>>>
>>>>
>>>>
>>>>
>>>>
>>>>
>>>>
>>>>
>>>> _______________________________________________
>>>> Lista mailing 
>>>> listLista en arnog.com.arhttp://mailmancabase.interdotnet.com.ar/mailman/listinfo/lista
>>>>
>>>>
>>>> -- 
>>>> Atte
>>>> Soporte
>>>> Cooperativa Telefónica Lopez Camelo
>>>> Quirno Costa 3318 - (1618) Lopez Camelo
>>>> Tel: (54-3327) 45-0069
>>>> Tel: (54-3327) 45-0083
>>>> Tel: (54-3327) 45-0067
>>>> Web: www.cotelcam.com.ar
>>>>
>>>>
>>>> _______________________________________________
>>>> Lista mailing list
>>>> Lista en arnog.com.ar
>>>> http://mailmancabase.interdotnet.com.ar/mailman/listinfo/lista
>>>>
>>>> _______________________________________________
>>>> Lista mailing list
>>>> Lista en arnog.com.ar
>>>> http://mailmancabase.interdotnet.com.ar/mailman/listinfo/lista
>>>>
>>>>
>>>
>>>
>>> -- 
>>>
>>> Marcos G. Roasenda - SRCoop
>>> marcos en srcoop.com.ar
>>> Sector Internet
>>> *No imprima este correo si no es necesario. Ahorrar papel protege el
>>> medio ambiente.*
>>> _______________________________________________
>>> Lista mailing list
>>> Lista en arnog.com.ar
>>> http://mailmancabase.interdotnet.com.ar/mailman/listinfo/lista
>>>
>>>
>>> _______________________________________________
>>> Lista mailing list
>>> Lista en arnog.com.ar
>>> http://mailmancabase.interdotnet.com.ar/mailman/listinfo/lista
>>>
>>> _______________________________________________
>>> Lista mailing list
>>> Lista en arnog.com.ar
>>> http://mailmancabase.interdotnet.com.ar/mailman/listinfo/lista
>>>
>>>
>>>
>>> _______________________________________________
>>> Lista mailing list
>>> Lista en arnog.com.ar
>>> http://mailmancabase.interdotnet.com.ar/mailman/listinfo/lista
>>>
>>>
>>
>

-- 
Eduardo Tealdi Saad
Administrador de Red
Cooperativa Mariano Acosta
Superi 660, Mariano Acosta (CP 1723)
Cel: 221 643-4291
eduardots en amc.com.ar



Más información sobre la lista de distribución Lista