UDP DNS e firewall

Naviga le tue risposte
1

Questa domanda potrebbe essere semplice, ma ti preghiamo di capire la mia mancanza di conoscenza.

Vedo molti pacchetti DNS abbandonati dal nostro firewall (sophos SG125) per la regola predefinita 60001.

Ci sono tre controller di dominio 10.0.0.1 - 3. Le workstation hanno 10.0.0.1 per il loro server preferito DNS.

Quando il nostro server DNS interno riceve query DNS da computer di dominio, ovviamente invia a server di inoltro ISP, ad es. 111.111.111.111 e 111.111.111.222.

Nel nostro firewall, abbiamo una regola del firewall in uscita che consente i pacchetti DNS ai server di inoltro ISP. Non esiste una regola in entrata per consentire i pacchetti DNS da ISP o IP. Quindi tutte le risposte del DNS UDP dall'ISP vengono lasciate cadere, credo. Ma gli utenti sono ancora in grado di navigare su Internet, questo significa che i DC sono in grado di risolvere i nomi di dominio anche se le risposte sono state bloccate dal firewall.

Devo aprire la porta DNS per i server di inoltro DNS dell'ISP?

    
posta PaddyKim 18.02.2016 - 06:23
fonte

1 risposta

1

Se non si dispone di server DNS interni o di server DNS interni che inoltrano tutte le query (cache DNS), non è necessario creare regole DNS nell'altro modo (ad esempio, le regole per l'interno).

Firewall crea una tabella interna, che accetterà nel modo in cui le risposte alle richieste interne sono state autorizzate a uscire dalle regole / politiche definite. La tecnologia che permette questo è chiamato "stateful Firewall", ed è praticamente onnipresente al giorno d'oggi. Cisco, Checkpoint, iptables lo ha implementato da tempo ormai.

In computing, a stateful firewall is a network firewall that tracks the operating state and characteristics of network connections traversing it. The firewall is configured to distinguish legitimate packets for different types of connections.

Che cosa è necessario modificare, è che il DNS non funziona solo in UDP, ma anche in TCP. Quindi oltre alla porta 53 / UDP, devi consentire la porta 53 / TCP.

Non farlo potrebbe causare problemi con alcune operazioni in Internet, poiché il DNS può ricorrere al TCP per dare risposte più lunghe.

Da È vero che un server dei nomi deve rispondere alle domande su TCP?

TCP is not just for zone transfers. DNS server implementations are now "required" (in so much as any RFC requires anything) to support TCP, per RFC 5966, "DNS Transport over TCP - Implementation Requirements". That said, if your particular DNS servers are not configured to support TCP, or if it is blocked, then the longer term effect will be an inability to support DNSSEC correctly. Similarly any other DNS data which causes responses to exceed 512 bytes might be blocked.

Come per i pacchetti DNS abbandonati che vengono rilasciati nel modo in cui, dopo aver ottenuto la regola TCP, stanno eseguendo dei tentativi di scansione. Ignorali. Come per gli altri pacchetti DNS abbandonati a IP che non sono i tuoi spedizionieri DNS, li ignoro definitivamente.

    
risposta data 18.02.2016 - 08:46
fonte

Leggi altre domande sui tag

JTR non sta violando le password XP SAM, perché? Quanto è sicuro usare un Access Point WAP54G Linksys?