W związku z licznymi atakami DDoS przez usługę DNS, na skutek „niewłaściwej konfiguracji” niektórych serwerów na terenie Uczelnianej Sieci Komputerowej, wprowadziliśmy na brzegu USK mechanizm kontrolny w postaci filtracji zapytań DNS (53/UDP). Za niewłaściwą konfigurację serwera uznajemy taką, która nie wyłącza odpowiedzi rekursywnych ani nie wprowadza ograniczonej, przynajmniej do przestrzeni adresowej PŁ, listy dostępowej dla klientów, którzy mogą wysyłać zapytania i otrzymać odpowiedzi od serwera.
Filtracja przepuszcza do wnętrza sieci uczelnianej zapytania adresowane do serwerów uczelnianych:
dns.p.lodz.pl |
212.51.207.67 |
dns1.p.lodz.pl |
212.51.207.70 |
dns2.p.lodz.pl |
212.51.207.68 |
dns3.p.lodz.pl |
212.51.207.69 |
ns1.best.p.lodz.pl |
212.51.208.163/32 |
tower.phys.p.lodz.pl |
212.51.209.34/32 |
zak.p.lodz.pl |
212.51.209.177/32 |
pc-212-51-211-200.p.lodz.pl |
212.51.211.200/32 |
piatka.p.lodz.pl |
212.51.213.194/32 |
smtp.dmcs.p.lodz.pl |
212.51.218.231/32 |
dns.dmcs.p.lodz.pl |
212.51.218.240/32 |
zsko.zsk.p.lodz.pl |
212.51.220.12/32 |
ns1.ics.p.lodz.pl |
212.51.220.226/32 |
ns2.ics.p.lodz.pl |
212.51.220.227/32 |
server.zao.p.lodz.pl |
212.51.222.190/32 |
kraken.wee.p.lodz.pl |
212.191.76.162/32 |
trojka.p.lodz.pl |
212.191.78.50/32 |
pc-212-191-78-132.p.lodz.pl |
212.191.78.132/32 |
gerald.szostka.p.lodz.pl |
212.191.78.146/32 |
czworka.p.lodz.pl |
212.191.78.193/32 |
pc-212-191-79-98.p.lodz.pl |
212.191.79.98/32 |
pc-212-191-79-162.p.lodz.pl |
212.191.79.162/32 |
dns1.ipos.p.lodz.pl |
212.191.88.50/32 |
zly.iis.p.lodz.pl |
212.191.89.2/32 |
lud-rekrutacja.p.lodz.pl |
212.191.91.35/32 |
pc-212-191-92-120.p.lodz.pl |
212.191.92.120/32 |
Podana lista serwerów jest otwarta i będzie można dopisać do niej kolejne serwery DNS, które, oprócz zaleceń technicznych wskazanych na wstępie, spełniają następujące warunki organizacyjne:
-
serwer obsługuje subdomenę jednej z domen zarejestrowanych przez PŁ („p.lodz.pl”, „politechnika.lodz.pl”, „tul.edu.pl”) lub obsługują inną domenę, która została wcześniej zgłoszona do Centrum Komputerowego, a jeśli nie to należy taką domenę zgłosić,
-
adres IP serwera DNS został zgłoszony do Centrum Komputerowego, jako adres na którym będzie świadczona usługa DNS,
-
przełożony jednostki organizacyjnej, do sieci której zostanie przyłączony serwera DNS, wyznaczy administratora serwera i zgłosi go do UCI.
Serwery DNS zainstalowane w jednostkach organizacyjnych PŁ, które wymagają dostępności 53/UDP spoza USK prosimy zgłaszać w wybrany sposób:
-
za pośrednictwem e-mail na adres bok@p.lodz.pl; w tym przypadku zgłoszenie powinno być wykonane z adresu źródłowego XXX@adm.p.lodz.pl, gdzie XXX jest symbolem jednostki organizacyjnej PŁ,
-
listownie za pośrednictwem poczty wewnętrznej PŁ; w tym przypadku pismo powinno być podpisane przez kierownika danej jednostki organizacyjnej.
Zgłoszenie powinno zawierać:
-
nazwę domeny lub domen, które obsługuje zgłaszany serwer,
-
adres IP serwera,
-
imię i nazwisko, email oraz dokładne miejsce zatrudnienia administratora serwera (w przypadku gdy administratorem jest pracownik PŁ to należy wskazać jednostkę organizacyjną, w której jest zatrudniony, a w przypadku osoby zewnętrznej – firmę pod jaką wykonuje zadania związane z administracją).