classic.ISPforum.cz

Zdravím jak by tedy měl vypadat správný firewall pro DNS na hlavní GW

Nevím, jestli správný, ale v době, když jsme používali DNS na MK, měli jsme tohle:



Na konci samozřejmě drop.
Za celou dobu (cca 8 let) se nic nestalo.

Drop veskery 53 ?

jen tohle nepomuže chodí mě do sítě dotazy na portu 53 i pro IP který nemám ještě přidělený takže byc to chtělo ještě nejaky pravidla nachain forward
v conecction by bylo dobrý si dat filtr na port 53 a uvidite co tam vsechno je

shooter píše:jen tohle nepomuže chodí mě do sítě dotazy na portu 53 i pro IP který nemám ještě přidělený takže byc to chtělo ještě nejaky pravidla nachain forward
v conecction by bylo dobrý si dat filtr na port 53 a uvidite co tam vsechno je

psal si, že chceš FW pro DNS na hlavní GW, ne? A ne blokovat 53ku při průchodu routerem.
A ve forwardu snad povoluješ jen IP, který jsou živý, ne?

ppp76 píše:Drop veskery 53 ?

drop máme globálně. Tohle je jen část input FW. Máme tam VPNky, NTP, atd.

tak docela zabijacky pravidlo je
chain=forward action=log protocol=udp in-interface=(do internetu ) dst-port=53 log-prefix="co"
zkuste zadat a uvidite co vám teče na klioše za kraviny
aorat je mi divný proč zrovna na UDP

a) DNS je většinou UDP ...
b) dost "krabiček" používá port 53 i jako odchozí. Takže je tam i spousta regulérního provozu.

co je na tomto regulerniho

10:07:21 firewall,info forward: in:ether5 out:bridge1, src-mac e848:82:2c:77, proto UDP, 85.95.245.80:64787->6.14.76.10:53, len 51
10:07:25 firewall,info forward: in:ether5 out:bridge1, src-mac e848:82:2c:77, proto UDP, 85.95.245.80:38182->6.14.76.12:53, len 51
10:07:29 firewall,info forward: in:ether5 out:bridge1, src-mac e848:82:2c:77, proto UDP, 85.95.245.80:46894->5.14.76.13:53, len 51
10:07:33 firewall,info forward: in:ether5 out:bridge1, src-mac e848:82:2c:77, proto UDP, 85.95.245.80:25484->6.14.76.15:53, len 51
10:07:38 firewall,info forward: in:ether5 out:bridge1, src-mac e848:82:2c:77, proto UDP, 85.95.245.80:29664->6.14.76.193:53, len 51
10:07:42 firewall,info forward: in:ether5 out:bridge1, src-mac e848:82:2c:77, proto UDP, 85.95.245.80:45614->6.14.76.20:53, len 51
10:07:44 firewall,info forward: in:ether5 out:bridge1, src-mac e848:82:2c:77, proto UDP, 85.95.245.80:55802->6.14.76.217:53, len 51
10:07:48 firewall,info forward: in:ether5 out:bridge1, src-mac e848:82:2c:77, proto UDP, 85.95.245.80:47297->6.14.76.233:53, len 51
10:07:52 firewall,info forward: in:ether5 out:bridge1, src-mac e848:82:2c:77, proto UDP, 85.95.245.80:52229->6.14.76.237:53, len 51
10:07:57 firewall,info forward: in:ether5 out:bridge1, src-mac e848:82:2c:77, proto UDP, 85.95.245.80:10829->6.14.76.241:53, len 51
10:08:01 firewall,info forward: in:ether5 out:bridge1, src-mac e848:82:2c:77, proto UDP, 85.95.245.80:50313->6.14.76.242:53, len 51
10:08:05 firewall,info forward: in:ether5 out:bridge1, src-mac e848:82:2c:77, proto UDP, 85.95.245.80:55602->6.14.76.245:53, len 51
10:08:09 firewall,info forward: in:ether5 out:bridge1, src-mac e848:82:2c:77, proto UDP, 85.95.245.80:24463->6.14.76.4:53, len 51
10:08:13 firewall,info forward: in:ether5 out:bridge1, src-mac e848:82:2c:77, proto UDP, 85.95.245.80:23649->6.14.76.6:53, len 51
10:08:18 firewall,info forward: in:ether5 out:bridge1, src-mac e848:82:2c:77, proto UDP, 85.95.245.80:51969->6.14.76.65:53, len 51
10:08:22 firewall,info forward: in:ether5 out:bridge1, src-mac e848:82:2c:77, proto UDP, 85.95.245.80:12237->6.14.76.7:53, len 51
10:08:26 firewall,info forward: in:ether5 out:bridge1, src-mac e848:82:2c:77, proto UDP, 85.95.245.80:33391->6.14.76.8:53, len 51
10:08:30 firewall,info forward: in:ether5 out:bridge1, src-mac e848:82:2c:77, proto UDP, 85.95.245.80:48388->6.14.76.9:53, len 51
10:08:34 firewall,info forward: in:ether5 out:bridge1, src-mac e848:82:2c:77, proto UDP, 85.95.245.80:47044->6.14.76.97:53, len 51
10:09:15 firewall,info forward: in:ether5 out:bridge1, src-mac e848:82:2c:77, proto UDP, 122.136.196.116:36801->6.14.76.16:53, len 83
10:09:18 firewall,info forward: in:ether5 out:bridge1, src-mac e848:82:2c:77, proto UDP, 122.136.196.116:25524->6.14.76.17:53, len 83
10:09:22 firewall,info forward: in:ether5 out:bridge1, src-mac e848:82:2c:77, proto UDP, 122.136.196.116:10424->6.14.76.19:53, len 83
10:09:35 firewall,info forward: in:ether5 out:bridge1, src-mac e848:82:2c:77, proto UDP, 122.136.196.116:60325->6.14.76.24:53, len 83

tohle je samozrejmě špatně... zaříznout na FW

shooter píše:co je na tomto regulerniho

10:07:21 firewall,info forward: in:ether5 out:bridge1, src-mac e848:82:2c:77, proto UDP, 85.95.245.80:64787->6.14.76.10:53, len 51
...

no IMHO Ti ani tohle jedno IPcko nepatri. Takze jak se asi k tobe ty requesty dostavaji? Zrejme jsou to packety odchytavany na nejaky gateway mezi zakaznikem a internetem. Packety chodi od zakaznika se zfalsovanou IP adresou (= nefiltrujes co od nich leze nebo to filtrujes az za tim logovanim). Podivej se z jake MACky to chodi a tim se dostanes o krucek blize k zakaznikovi, ktery to posila...

dle našich zkušeností to bude z MAC boxu jeho poskytovatele Nebo logicky z boxu před jeho bránou

ta moje ip je změněná jasny že vám tady nebudu telit zbytečně IP čka
první v řadě je utočník druhy sou moje jde ale hlavně o koncové číslo jsou tam totiž i ip ktery nikdo nemá

Dalibor Toman píše:

shooter píše:co je na tomto regulerniho

10:07:21 firewall,info forward: in:ether5 out:bridge1, src-mac e848:82:2c:77, proto UDP, 85.95.245.80:64787->6.14.76.10:53, len 51
...

no IMHO Ti ani tohle jedno IPcko nepatri. Takze jak se asi k tobe ty requesty dostavaji? Zrejme jsou to packety odchytavany na nejaky gateway mezi zakaznikem a internetem. Packety chodi od zakaznika se zfalsovanou IP adresou (= nefiltrujes co od nich leze nebo to filtrujes az za tim logovanim). Podivej se z jake MACky to chodi a tim se dostanes o krucek blize k zakaznikovi, ktery to posila...

Jenomže pak to lehce mění pohled, co to může být.
Pokud jsou tvoje ty 6...., tak jde o klasické skenování, někde zvenčí hledá, zda najde otevřený DNS server u tebe v síti.

jasny že skenuje ale tak ho nenecham že