通过仅允许来自 VPN 的连接来保护我的 DNS 服务器

tag-icon tag-icon ubuntu domain-name-system iptables wireguard
通过仅允许来自 VPN 的连接来保护我的 DNS 服务器

我有一个 Ubuntu 20.04 LTS VPS(直接连接到互联网),在上面安装了 WireGuard 和 Pi-Hole。

我注意到我的广告拦截 DNS 服务器上有大量请求,我突然意识到保持 53 端口开放根本不是一个好主意。

我现在想知道如何阻止所有对端口 53 的请求,除非它们来自 WireGuard 隧道(我的想法是,只有当我连接到我的 VPN 时才希望能够访问我的 DNS)。

问题在于如何通过检查客户端是否连接到服务器上的 WireGuard 或它是否来自互联网荒地来选择传入的流量。

答案1

将您的 DNS 服务器绑定到 VPN 接口,而不是0.0.0.0

答案2

我终于找到了如何阻止外部客户端访问我的 DNS 服务器的方法。

根据我对以下建议进行的一些研究杰拉德·施奈德,我发现我可以限制 Pi-Hole 仅在 WireGuard 接口(wg0)上监听。

通过重新配置 Pi-Hol它的安装脚本curl -sSL https://install.pi-hole.net | sudo bash),并且仅启用 wg0 接口,我已经能够阻止解析不是来自 WireGuard 的请求。

相关内容