UDP DNS y Firewall

Navega tus respuestas
1

Esta pregunta puede ser simple pero, por favor, comprenda mi falta de conocimiento.

Veo muchos paquetes DNS que nuestro firewall (sophos SG125) ha eliminado de forma predeterminada por la regla 60001.

Hay tres controladores de dominio 10.0.0.1 - 3. Las estaciones de trabajo tienen 10.0.0.1 para su servidor DNS preferido.

Cuando nuestro servidor DNS interno recibe consultas de DNS de las computadoras del dominio, obviamente se envía a los reenviadores del ISP, por ejemplo. 111.111.111.111 y 111.111.111.222.

En nuestro firewall, tenemos una regla de firewall de salida que permite paquetes DNS a los reenviadores del ISP. No hay una regla de entrada para permitir paquetes DNS desde ISP o cualquier IP. Así que todas las respuestas de DNS UDP del ISP se eliminan, creo. Pero los usuarios aún pueden navegar por Internet, lo que significa que los controladores de dominio pueden resolver nombres de dominio a pesar de que las respuestas fueron bloqueadas por el firewall.

¿Tengo que abrir el puerto DNS para los reenviadores de DNS del ISP?

    
pregunta PaddyKim 18.02.2016 - 06:23
fuente

1 respuesta

1

Si no tiene servidores DNS internos, o tiene servidores DNS internos que envían todas las consultas (cachés de DNS), no necesita crear reglas de DNS de la otra manera (por ejemplo, reglas para el interior).

El Firewall construye una tabla interna, que se aceptará de la forma en que se responda a las solicitudes internas que las reglas / políticas definidas permitieron salir. La tecnología que permite esto se llama "Firewall de estado", y es bastante omnipresente en la actualidad. Cisco, Checkpoint, iptables lo han implementado desde hace años.

  

En informática, un firewall con estado es un firewall de red que rastrea   El estado operativo y características de las conexiones de red.   atravesándolo El firewall está configurado para distinguir legítimos.   Paquetes para diferentes tipos de conexiones.

Lo que necesita cambiar es que el DNS no solo funciona en UDP, sino también en TCP. Entonces, además del puerto 53 / UDP, debe permitir el puerto 53 / TCP fuera.

No hacerlo puede causarle problemas con algunas operaciones en Internet, ya que DNS puede recurrir a TCP para dar respuestas más largas.

De ¿Es cierto que ¿Un servidor de nombres tiene que responder consultas a través de TCP?

  

TCP no es solo para transferencias de zona.   Las implementaciones del servidor DNS ahora son "necesarias" (en la medida en que cualquier RFC   requiere nada) para admitir TCP, según RFC 5966, "DNS Transport over over   TCP - Requisitos de implementación ".   Dicho esto, si sus servidores DNS particulares no están configurados para   compatible con TCP, o si está bloqueado, entonces el efecto a largo plazo será   una incapacidad para soportar DNSSEC correctamente. Similarmente cualquier otro dato del DNS.   lo que hace que las respuestas excedan los 512 bytes podrían estar bloqueadas.

En cuanto a los paquetes DNS que se descartaron y que se eliminan de la forma en que ingresan, después de tener la regla de TCP, son intentos de escaneo. Ingnóralos. En cuanto a otros paquetes DNS eliminados a direcciones IP que no son sus reenviadores de DNS, ignorarlos definitivamente.

    
respondido por el Rui F Ribeiro 18.02.2016 - 08:46
fuente

Lea otras preguntas en las etiquetas

certificado de servidor de wordpress no coincide con url JTR no está descifrando la (s) contraseña (s) SAM de XP, ¿por qué?