53-й порт

Обсуждение общих вопросов, не касающихся настройки оборудования и ОС
sergium
Сообщения: 12
Зарегистрирован: 26 авг 2016, 09:48

Имеется роутер MikroTik hEX Lite.Вопрос по 53-порту- в сети много статей о том, как его закрыть из-за так называемого "DNS флуда" Но, насколько я понимаю, в этом случае DNS запросы из локальной сети станут невозможны.При этом DNS флуд действительно существует- до 10 Mbps исходящего трафика.Борюсь с этим путем закрытия исходящих соединений с 53-го порта по tcp и udp.Потом, мой провайдер имеет DNS сервера со статическими ip и я могу в сетевых настройках компьютеров в локальной сети прописать их и обращаться к ним напрямую, но, насколько я понимаю, роутер имеет свой DNS кэш и использование его ускоряет разрешение DNS имен. Вопрос- как правильно организовать доступ к DNS?


gmx
Модератор
Сообщения: 3290
Зарегистрирован: 01 окт 2012, 14:48

Нет никаких трудностей по ваше вопросу.

Вы можете использовать DNS микротика или провайдера. Делайте так, как вам удобно.
Правильная блокировка ВХОДЯЩИХ запросов на 53 порту гарантирует блокировку внешнего трафика и оставляет работоспособным DNS сервер микротика.

Код: Выделить всё

chain=input action=drop protocol=udp in-interface=pppoe-out1 dst-port=53 log=no log-prefix=""


sergium
Сообщения: 12
Зарегистрирован: 26 авг 2016, 09:48

А что будет если я закрою 53-й порт на ether1?


Аватара пользователя
podarok66
Модератор
Сообщения: 4355
Зарегистрирован: 11 фев 2012, 18:49
Откуда: МО

sergium писал(а):А что будет если я закрою 53-й порт на ether1?

Вы закроете 53 порт на озвученном интерфейсе. :hi_hi_hi: А надо на смотрящем с мир...


Мануалы изучил и нигде не ошибся? Фаервол отключил? Очереди погасил? Витая пара проверена? ... Тогда Netinstal'ом железку прошей и настрой ее заново. Что, все равно не фурычит? Тогда к нам. Если не подскажем, хоть посочувствуем...
sergium
Сообщения: 12
Зарегистрирован: 26 авг 2016, 09:48

Извиняюсь, напишу поподробнее, интерфейс ether1 используется как WAN.Почему то когда на нем я закрываю 53 порт, DNS запросы через роутер не проходят.
P.S. Закрыл 53-й порт на pppoe-out1, результат-DNS запросы не проходят.


Аватара пользователя
podarok66
Модератор
Сообщения: 4355
Зарегистрирован: 11 фев 2012, 18:49
Откуда: МО

sergium писал(а):Извиняюсь, напишу поподробнее...

Подробнее - это конфиг выложить. Так гадать не будут.


Мануалы изучил и нигде не ошибся? Фаервол отключил? Очереди погасил? Витая пара проверена? ... Тогда Netinstal'ом железку прошей и настрой ее заново. Что, все равно не фурычит? Тогда к нам. Если не подскажем, хоть посочувствуем...
sergium
Сообщения: 12
Зарегистрирован: 26 авг 2016, 09:48

Тогда обьясните пожалуйста для чего маршрутизатор открывает 53-й порт на внешнем интерфейсе, перелопатил весь интернет - та
К и не нашел ответа...


KARaS'b
Сообщения: 1199
Зарегистрирован: 29 сен 2011, 09:16

sergium писал(а):Тогда обьясните пожалуйста для чего маршрутизатор открывает 53-й порт на внешнем интерфейсе, перелопатил весь интернет - та
К и не нашел ответа...

Чистый микротик, без дефолтного конфига, это просто маршрутизатор, в котором только то, что вы настроили, у которого нет внешнего порта, соответственно он не блокирует ничего, если вы этого не с казали ему сделать. Внешний порт есть только в вашей голове, руководствуясь этим представлением вы блокируете определенные момент в определенных местах. Микротик это не домашний длинк\тплин и иже с ними, вы можете сделать ван портом любой порт или даже несколько, но все эти представления о "внешних портах" только в вашей голове и вы удостоены чести сконфигурировать устройство так, как вам это нужно.
Последний раз редактировалось KARaS'b 04 сен 2016, 23:41, всего редактировалось 1 раз.


Аватара пользователя
Vlad-2
Модератор
Сообщения: 2531
Зарегистрирован: 08 апр 2016, 19:19
Откуда: Петропавловск-Камчатский (п-ов Камчатка)
Контактная информация:

sergium писал(а): Вопрос- как правильно организовать доступ к DNS?

Давайте различать ДНС-клиент и ДНС-сервер.
И также понимать, что на интерфейсе (суб-интерфейсе, типа как рррое) - это внешний канал.
А локальная сеть (локалка) - она может быть или портом ether2 или даже bridge1

1) При включении ДНС в микротике, микротик слушает и обрабатывает запросы, он не знает, что своё, а что внешнее. Задача тупая - включили ДНС - работает.
2) Ваша задача помочь и закрыть запросы с внешнего интерфейса на Ваш ДНС-сервер микротика (то есть мы закрываем входящий открытый порт 53 на внешнем интерфейсе в вашем микротике) и вот тут,
явно по-простому ещё раз оговорю, мы закрываем ДНС-сервер микротика, микротик как ДНС-клиент может сам спокойно обращаться к провайдерским ДНСам и работать, кешировать запросы,и т.д., исходящие запросы мы не трогаем.
Вот это и есть разница.
3) Поэтому создайте правила в файрволле блокирующие пакеты на 53 порт (процентов 80 атак по протоколу - UDP) на внешнем интерфейсе. Блокировать локальную сеть и запросы НЕ надо.

(не большая аллегория (не идеальная, но всё же): "...У Вас в доме железная дверь, Вы никого не пускаете, но сами когда хотите - её открываете и выходите, так и тут, к Вам никто не может попасть, а Вы можете и куда и когда захочется." )



На работе(ах): 2xCCR1016-12G, RB3011UiAS и hAP lite (RB941)
Дома: CCR1016-12G, RBcAP2n (standalone), RB wAP LTE kit
Для тестов(под рукой): RB3011UiAS, hAP mini (RB931) и что-то ещё по мелочи
MTCNA
MTCRE
sergium
Сообщения: 12
Зарегистрирован: 26 авг 2016, 09:48

Спасибо, вот этого я как раз и не мог понять.Получается, что любая запущенная служба открывает порты по всем интерфейсам вне зависимости - внешние они или внутренние.Тогда в случае c DNS запросами - клиент в локальной сети посылает запрос на DNS-сервер маршрутизатора, тот обрабатывает запрос и перенаправляет его на DNS-клиент, который в свою очередь устанавливает соединение с DNS-сервером провайдера и 53-й порт должен быть открыт только на локальном интерфейсе.


Ответить