DNS-Forwards gleichmäßig verteilen

Eine Barracuda NG Firewall ist das zentrale Gateway ins Internet. So auch bei DNS-Anfragen, welche die Windows Domänen-Controller nicht auflösen können. Mit Hilfe von einem App Redirect werden alle DNS-Anfragen ins Intenet an die Firewall weitergeleitet. Bisher waren die beiden Google DNS-Server (8.8.8.8 und 8.8.4.4) hinterlegt. Immer öfters habe ich im Eventlog der Firewall festgestellt, dass Anfragen gedropped wurden. Zusätzlich tauchte noch die Meldung „DNS Amplification Attack“ auf.

Daraufhin habe ich erst einmal in der Firewall – History nachgeschaut wie viele DNS – Anfragen am Tag/Woche/Monat an die beiden DNS-Server weitergeleitet werden. Schnell war klar, dass die Anfragen besser verteilt werden müssen. Folgende deutsche DNS-Server nutzen wir aktuell:

194.25.0.52 -> resolv-L.DTAG.DE
134.60.1.111 -> dns.rz.uni-ulm.de
212.211.132.4 -> ns2.scan-plus.de
141.2.159.78 -> dc4.hof.uni-frankfurt.de
134.106.13.97 -> artemis-wi.Informatik.Uni-Oldenburg.de
195.145.249.71 -> dembdns01.messe-berlin.de
134.102.242.190 -> bela-pc.mtu.uni-bremen.de
139.14.26.249 -> Sprachserver.slz.uni-landau.de
134.106.33.28 -> zeus1.chemie.uni-oldenburg.de
212.38.26.132 -> ns2.infraserv.net
134.247.141.18 -> quatar1.munich-airport.com
195.243.238.180 -> mail1.merz.de
194.30.174.222 -> ns1.superdns.de

Folgende Zeile kann benutzt werden um die DNS-Server in die Barracuda – Konfiguartion über Copy und Paste zu übernehmen:

CONFDEF box/boxadm secpartial 5.4
DNSSERVER[] = 194.25.0.52 134.60.1.111 212.211.132.4 141.2.159.78 134.106.13.97 195.145.249.71 134.102.242.190 139.14.26.249 134.106.33.28 212.38.26.132 134.247.141.18 195.243.238.180 194.30.174.222

Standardmäßig frägt die Firewall den ersten DNS-Server in der Liste an. Falls diese nicht (rechtezeitig) antwortet, wird der nächste gefragt. Wie bereits anfangs geschrieben, wollen wir die Anfragen gleichmäßig verteilen. Dazu muss folgende Option angepasst werden. Im Config-Mode die Administrative Settings der Box öffnen, in den Advanced Mode umschalten und die Option „DNS Query Rotation“ von „yes“ auf „no“ setzen.
barracuda-dns-round-robin-option
Damit die Änderung wirksam wird reicht ein Firwamre Reboot (Control -> Box -> Operation System).