Есть тут спецы по CISCO?
- Войдите на сайт для отправки комментариев
Чт, 12/12/2019 - 16:56
Знаю, тут есть сисадмины. Звиняйте за жётский оффтоп на форуме. Но гугл, гад такой, не хочет сознаваться...
Админю циску (роутер 1941/k9) второй месяц... До этого с цисками не сталкивался, в основном tp-link/d-link всякие, mikrotik немного.
К сути вопроса: на роутере почему-то 53 порт (DNS) открыт наружу. И в логах периодически такое: "%DNSSERVER-3-BADQUERY: Bad DNS query from 192.168.35.55" (всегда один и тот же IP). Такого IP в локальной сети вообще нет, даже подсеть другая (172.16.*.*). Получается, что DNS запрос прилетает снаружи от провайдера с чужого оборудования с адреса 192.168.35.55? Как такое может быть? Ведь подсеть 192.168.*.* зарезервирована только для локальных сетей.
Собственно, как выключить DNS сервер / закрыть 53 порт для WAN? Смотрю в конфиг и не пойму, где это настраивается. Или только вручную закрывать порт на интерфейсе с помощью ACL?
В конфиге есть строчка "ip dns server". Если я его выключу ("no ip dns server"), но оставлю в конфиге строчку "ip name-server 8.8.8.8", будет ли работать DNS для клиентов в локальной сети?
Засунул я как-то шланг от провайдера в свой каталист, а у него как давай порт лочиться.... Посмотрел внимательно, а из шланга тегированный траффик лезет. И подсети там всякие...
Gray networks не зарезервированы в приказном порядке для домашних или ещё каких сетей. Просто рекомендовано использовать эти адресные пространства в вышеозначенных целях и приличный провайдер не будет их маршрутизировать, обрубая на границе пользовательского сегмента. Однако, и на старуху, как говорится....
По поводу настроек - так:
----------------
ip dns server enables the DNS feature on the router (much like ip dhcp server enables DHCP services).
ip name-server specifies one or more DNS servers the the router will use for address resolution.
----------------
А вообще, да - access-list на WAN и весь этот кнокинг рубить к чертовой матери не дожидаясь интрудеров.
от провайдера что только не лезет :(
закрывается правилом, точный синтаксис не помню, но в инете масса информации, я запрещаю у себя все входящие по интерфейсу на 53 порт.
/ip firewall filter add action=drop chain=input comment="OFF external DNS request" dst-port=53 \ in-interface=bridge-wan protocol=tcp add action=drop chain=input comment="OFF external DNS request" dst-port=53 \ in-interface=bridge-wan protocol=udpОднажды пытаюсь со смартфона открыть незащищенное соединение http://arduino.ru/ и вижу рекурсивный редирект на страницу в домене провайдера, думаю деньги закончились на номере и провайдер хочет направить на странице где можно выполнить пополнение, проверил баланс - все в норме.
Открываю страницу с ПК, опять всё в порядке.
Звоню провайдеру, оставляю заявку, на следующий день всё исправилось и работает как следовало.
По моей заявке никаких проблем провайдер не выявил.
Провайдеры остались. 53 порт надо закрывать извне, иначе быстро насканят и заюзают, многие провайдеры для физлиц, кстати, часто делают это сами.
ыстчо адин :( порт закрывать надо, но, скорее всего, в конфиге вашего фаервола в конце есть вот такая строчка:
Которая прекрасно отсечет обращения на сей злосчастный порт, и ваши две строки становятся не нужны. Не, ну можно и оставить, увидите, сколько пакетов мусора по этим правилам отсекается, но и только.
Провайдеры остались. 53 порт надо закрывать извне, иначе быстро насканят и заюзают, многие провайдеры для физлиц, кстати, часто делают это сами.
ыстчо адин :( порт закрывать надо, но, скорее всего, в конфиге вашего фаервола в конце есть вот такая строчка:
Которая прекрасно отсечет обращения на сей злосчастный порт, и ваши две строки становятся не нужны. Не, ну можно и оставить, увидите, сколько пакетов мусора по этим правилам отсекается, но и только.
а мне не надо все отсекать, и строчки у меня такой нет.
В IOS-е, если мне склероз не изменяет, дефолтовый "deny ip any any" существует только тогда, когда нет иных правил в ACL. Как только появляется одно - дефолта не становится.
очень зря :(
очень зря :(
возможно, но мне отсюда виднее что запрещать а что нет.
У меня два провайдера. Местный - оптика и резерв МГТС через очень старый радиомост на DWL-2100 перешитых блубоксом, если кто такое помнит.
Так вот именно от МГТС падал DNS спуффинг, который ронял мой мелкий микротик! Пришлось блокировать не порт, но спуффинг. Помещаешь в таблицу запретов на час исходящий IP.
Совсем я 53 не закрываю обычно,так как иногда поднимаю активный сервер на поддомены, временно бывает нужно.
вот на микротике это так делается:
/ip firewall filter add action=add-src-to-address-list address-list=DNS_spoofing \ address-list-timeout=1h chain=input dst-port=53 in-interface=INTELSC \ protocol=udp add action=drop chain=input dst-port=53 in-interface=INTELSC protocol=udp \ src-address-list=DNS_spoofing add action=add-src-to-address-list address-list=DNS_spoofing \ address-list-timeout=1h chain=input dst-port=53 in-interface=MGTS \ protocol=udp add action=drop chain=input dst-port=53 in-interface=MGTS protocol=udp \ src-address-list=DNS_spoofingИ такое возможно, но надо быть очень бесстрашным человеком. Вот вы уверены, что если я на ваш микротик на порт 47527 по udp пришлю парочку заветных байт, что он не откроет мне любезно шелл?
И такое возможно, но надо быть очень бесстрашным человеком. Вот вы уверены, что если я на ваш микротик на порт 47527 по udp пришлю парочку заветных байт, что он не откроет мне любезно шелл?
Без понятия :)
Да вы расслабьтесь :)
Взломаете - у меня копия конфига есть))))
Я спокоен, как слон, у меня-то политика "всё запретить, нужное разрешить" :) Но любая имеет право на жизнь, да.
А копия свободы тоже есть? А то подломают, превратят в сокс, прокачают через вас во вконтактик и фейсбучек дetское поrnо, ну или там с карт денежек натырят, а придут-то к вашему ипаку.
Да да....и мы все умрём)
Несомненно умрём ) но в таких делах всё же лучше перебдеть, чем потом носиться, рвавши волосы на шопе, "ахтунг-ахтунг", тем более, что пара лишних строчек в конфиг ничего не стоят.
Несомненно умрём ) но в таких делах всё же лучше перебдеть, чем потом носиться, рвавши волосы на шопе, "ахтунг-ахтунг", тем более, что пара лишних строчек в конфиг ничего не стоят.
Да успокойтесь уже)
Всё у меня закрыто, только другие строки и не в конце конфига и немного в другом виде.
Да спокоен я, но если даже одной уязвимостью станет меньше, мир станет капельку лучше :)
Аха, но тогда зачем нужны эти две строки с днсом? просто так, посмотреть срабатывание? ))
Ребята, спасибо большое! Что откликнулись и поделились своим опытом и дали полезные советы. Мне теперь нужно вникнуть во всё это более подробно и обдумать дальнейшие действия, чтобы не напортачить :-)
Ребята, спасибо большое! Что откликнулись и поделились своим опытом и дали полезные советы. Мне теперь нужно вникнуть во всё это более подробно и обдумать дальнейшие действия, чтобы не напортачить :-)
зачем, запрещай да и всё