53-й порт
-
- Сообщения: 12
- Зарегистрирован: 26 авг 2016, 09:48
Имеется роутер MikroTik hEX Lite.Вопрос по 53-порту- в сети много статей о том, как его закрыть из-за так называемого "DNS флуда" Но, насколько я понимаю, в этом случае DNS запросы из локальной сети станут невозможны.При этом DNS флуд действительно существует- до 10 Mbps исходящего трафика.Борюсь с этим путем закрытия исходящих соединений с 53-го порта по tcp и udp.Потом, мой провайдер имеет DNS сервера со статическими ip и я могу в сетевых настройках компьютеров в локальной сети прописать их и обращаться к ним напрямую, но, насколько я понимаю, роутер имеет свой DNS кэш и использование его ускоряет разрешение DNS имен. Вопрос- как правильно организовать доступ к DNS?
-
- Модератор
- Сообщения: 3290
- Зарегистрирован: 01 окт 2012, 14:48
Нет никаких трудностей по ваше вопросу.
Вы можете использовать DNS микротика или провайдера. Делайте так, как вам удобно.
Правильная блокировка ВХОДЯЩИХ запросов на 53 порту гарантирует блокировку внешнего трафика и оставляет работоспособным DNS сервер микротика.
Вы можете использовать DNS микротика или провайдера. Делайте так, как вам удобно.
Правильная блокировка ВХОДЯЩИХ запросов на 53 порту гарантирует блокировку внешнего трафика и оставляет работоспособным DNS сервер микротика.
Код: Выделить всё
chain=input action=drop protocol=udp in-interface=pppoe-out1 dst-port=53 log=no log-prefix=""
-
- Сообщения: 12
- Зарегистрирован: 26 авг 2016, 09:48
А что будет если я закрою 53-й порт на ether1?
- podarok66
- Модератор
- Сообщения: 4355
- Зарегистрирован: 11 фев 2012, 18:49
- Откуда: МО
sergium писал(а):А что будет если я закрою 53-й порт на ether1?
Вы закроете 53 порт на озвученном интерфейсе. А надо на смотрящем с мир...
Мануалы изучил и нигде не ошибся? Фаервол отключил? Очереди погасил? Витая пара проверена? ... Тогда Netinstal'ом железку прошей и настрой ее заново. Что, все равно не фурычит? Тогда к нам. Если не подскажем, хоть посочувствуем...
-
- Сообщения: 12
- Зарегистрирован: 26 авг 2016, 09:48
Извиняюсь, напишу поподробнее, интерфейс ether1 используется как WAN.Почему то когда на нем я закрываю 53 порт, DNS запросы через роутер не проходят.
P.S. Закрыл 53-й порт на pppoe-out1, результат-DNS запросы не проходят.
P.S. Закрыл 53-й порт на pppoe-out1, результат-DNS запросы не проходят.
- podarok66
- Модератор
- Сообщения: 4355
- Зарегистрирован: 11 фев 2012, 18:49
- Откуда: МО
sergium писал(а):Извиняюсь, напишу поподробнее...
Подробнее - это конфиг выложить. Так гадать не будут.
Мануалы изучил и нигде не ошибся? Фаервол отключил? Очереди погасил? Витая пара проверена? ... Тогда Netinstal'ом железку прошей и настрой ее заново. Что, все равно не фурычит? Тогда к нам. Если не подскажем, хоть посочувствуем...
-
- Сообщения: 12
- Зарегистрирован: 26 авг 2016, 09:48
Тогда обьясните пожалуйста для чего маршрутизатор открывает 53-й порт на внешнем интерфейсе, перелопатил весь интернет - та
К и не нашел ответа...
К и не нашел ответа...
-
- Сообщения: 1199
- Зарегистрирован: 29 сен 2011, 09:16
sergium писал(а):Тогда обьясните пожалуйста для чего маршрутизатор открывает 53-й порт на внешнем интерфейсе, перелопатил весь интернет - та
К и не нашел ответа...
Чистый микротик, без дефолтного конфига, это просто маршрутизатор, в котором только то, что вы настроили, у которого нет внешнего порта, соответственно он не блокирует ничего, если вы этого не с казали ему сделать. Внешний порт есть только в вашей голове, руководствуясь этим представлением вы блокируете определенные момент в определенных местах. Микротик это не домашний длинк\тплин и иже с ними, вы можете сделать ван портом любой порт или даже несколько, но все эти представления о "внешних портах" только в вашей голове и вы удостоены чести сконфигурировать устройство так, как вам это нужно.
Последний раз редактировалось KARaS'b 04 сен 2016, 23:41, всего редактировалось 1 раз.
- Vlad-2
- Модератор
- Сообщения: 2531
- Зарегистрирован: 08 апр 2016, 19:19
- Откуда: Петропавловск-Камчатский (п-ов Камчатка)
- Контактная информация:
sergium писал(а): Вопрос- как правильно организовать доступ к DNS?
Давайте различать ДНС-клиент и ДНС-сервер.
И также понимать, что на интерфейсе (суб-интерфейсе, типа как рррое) - это внешний канал.
А локальная сеть (локалка) - она может быть или портом ether2 или даже bridge1
1) При включении ДНС в микротике, микротик слушает и обрабатывает запросы, он не знает, что своё, а что внешнее. Задача тупая - включили ДНС - работает.
2) Ваша задача помочь и закрыть запросы с внешнего интерфейса на Ваш ДНС-сервер микротика (то есть мы закрываем входящий открытый порт 53 на внешнем интерфейсе в вашем микротике) и вот тут,
явно по-простому ещё раз оговорю, мы закрываем ДНС-сервер микротика, микротик как ДНС-клиент может сам спокойно обращаться к провайдерским ДНСам и работать, кешировать запросы,и т.д., исходящие запросы мы не трогаем.
Вот это и есть разница.
3) Поэтому создайте правила в файрволле блокирующие пакеты на 53 порт (процентов 80 атак по протоколу - UDP) на внешнем интерфейсе. Блокировать локальную сеть и запросы НЕ надо.
(не большая аллегория (не идеальная, но всё же): "...У Вас в доме железная дверь, Вы никого не пускаете, но сами когда хотите - её открываете и выходите, так и тут, к Вам никто не может попасть, а Вы можете и куда и когда захочется." )
-
- Сообщения: 12
- Зарегистрирован: 26 авг 2016, 09:48
Спасибо, вот этого я как раз и не мог понять.Получается, что любая запущенная служба открывает порты по всем интерфейсам вне зависимости - внешние они или внутренние.Тогда в случае c DNS запросами - клиент в локальной сети посылает запрос на DNS-сервер маршрутизатора, тот обрабатывает запрос и перенаправляет его на DNS-клиент, который в свою очередь устанавливает соединение с DNS-сервером провайдера и 53-й порт должен быть открыт только на локальном интерфейсе.