DNS Recursive resolver

volterr
Posts: 5
Joined: May 14th, 2017, 1:54 am

DNS Recursive resolver

Post by volterr » June 14th, 2019, 10:35 am

Hallo zusammen,

habe von meinem Provider die Info bekommen das an meinem Anschluss ein Open recursive DNS resolver entdeckt wurde.

Habe daraufhin auf http://openresolver.com meine ip gecheckt und dort wurde dann auch bestätigt das die Adresse für DNS amplification attacks offen ist!

Im meinem ipfire Regelwerk habe ich Port 53 DNS normal freigegeben, siehe Screenshot dns.jpg

Standardverhalten der Firewall für Outgoing/Forward ist Block.

Habe alle anderen Regeln geprüft ob es überschneidungen gibt, konnte nicht derartiges finden!

Wenn ich als Quelle für die Regel DNS anstatt ALLE die Quelle auf GRÜN setze, funktioniert das DNS nicht aber der Test auf openresolver.com zeigt nun keinen Open DNS Resolver mehr an! Meinem Verständnis nach sollte aber das DNS aus dem grünen Netz so funktionieren!

Was mache ich falsch?
Attachments
dns.png
dns.png (4.24 KiB) Viewed 840 times

User avatar
Arne.F
Core Developer
Core Developer
Posts: 8516
Joined: May 7th, 2006, 8:57 am
Location: BS <-> NDH
Contact:

Re: DNS Recursive resolver

Post by Arne.F » June 14th, 2019, 10:47 am

ALLE bei Quelle ist sehr gefährlich für "ALLOW" Regeln!

Du brauchst für DNS zwei Regeln die der Firewall selbst Zugriff auf RED:Port53 erlaubt und zwar TCP und UDP.

Und welche die Jeweils von Grün/Blau auf die Firewall port 53 erlauben (wieder TCP und UDP)
Arne

Support the project on the donation!

Image

Image

Image
PS: I will not answer support questions via email and ignore IPFire related messages on my non IPFire.org mail addresses.

volterr
Posts: 5
Joined: May 14th, 2017, 1:54 am

Re: DNS Recursive resolver

Post by volterr » June 14th, 2019, 11:38 am

Hallo vielen dank für die Info!

Habe jetzt fürs DNS zwei Regeln, siehe Screenshot

Leider funktionierts damit nicht! Erst wenn ich von Grün auf Alle umstelle läuft das DNS. Ich kann mir beim besten Willen nicht erkären warum!

Oder muss ich noch zwei weitere Regeln dafür erstellen? Mir ist nicht ganz klar welche das wären! Hast du vll einne screenshot von einem funktionierendem DNS Regelwerk?
Attachments
dns2.png
dns2.png (10.26 KiB) Viewed 827 times

DJ-Melo
Posts: 670
Joined: July 8th, 2014, 7:12 am

Re: DNS Recursive resolver

Post by DJ-Melo » June 14th, 2019, 1:52 pm

fehlt da nicht noch die regel für die Fire selbst so wie ich Arne verstanden hab.

volterr
Posts: 5
Joined: May 14th, 2017, 1:54 am

Re: DNS Recursive resolver

Post by volterr » June 14th, 2019, 2:23 pm

Danke für die Antwort! Mir ist leider nicht klar wie diese zweite Regel dafür aussehen müsste. Habe mehrfach versucht so eine Regel zu erstellen, jedoch erscheint dann immer die Meldung das Quelle und Ziel identisch seien! Könnt ihr mir noch einen Hinweis dazu geben?

volterr
Posts: 5
Joined: May 14th, 2017, 1:54 am

Re: DNS Recursive resolver

Post by volterr » June 14th, 2019, 3:25 pm

Habe jetzt noch zu den beiden bestehenden Regeln von grün auf Rot Port 53 TCP/UDP folgende im Screenshot hinzugefügt, jedoch läuft das DNS immer noch nicht! Freue mich über jeden Hinweis :)
Attachments
dns3.png
dns3.png (8.67 KiB) Viewed 801 times

volterr
Posts: 5
Joined: May 14th, 2017, 1:54 am

Re: DNS Recursive resolver

Post by volterr » June 17th, 2019, 3:25 pm

Habe jetzt das Wochenenende mit Versuchen verbracht fürs DNS die beiden Regeln zu konfigurieren, jedoch ohne Erfolg!

Ich würde mich wahnsinning freuen wenn ihr die beiden Regeln nennen könntet oder einen Tipp wie die Freigabe für die Fire aussehen muss.

User avatar
Arne.F
Core Developer
Core Developer
Posts: 8516
Joined: May 7th, 2006, 8:57 am
Location: BS <-> NDH
Contact:

Re: DNS Recursive resolver

Post by Arne.F » June 17th, 2019, 7:49 pm

Du hast in deinen neuen Regeln den Source port auf 53 gesetzt, es muss aber der destination port sein.

Regel 1:
Source: Network "green"
Destination "Firewall (green)"
Protocol UDP
Destnation port 53

Regel 2: Genauso blos Protocol TCP

Wenn auch blue verwendet wird das gleiche für blue...

Regel 3:
Source Firewall (Red)
Destination: Any
Protocoll udp
Destination Port 53

Regel 4: das gleiche für TCP

Regel 1 und 2 erlauben deinem Netz den unbound auf dem IPFire zu verwenden und 3 und 4 braucht der unbound um selbst dns aufzulösen.
Arne

Support the project on the donation!

Image

Image

Image
PS: I will not answer support questions via email and ignore IPFire related messages on my non IPFire.org mail addresses.

User avatar
coffeemachine
Posts: 87
Joined: December 20th, 2017, 7:40 am

Re: DNS Recursive resolver

Post by coffeemachine » June 20th, 2019, 1:41 pm

Auch wenn ich jetzt nicht selbst davon betroffen bin, versuche ich aber gerade einmal nachzuvollziehen wie es dazu gekommen sein konnte?!.
Von den "Standard" Einstellungen des IPFire liegen doch gar keine Regeln (zumindest sichtbar in der GUI) an, zumindest sind bei mir alle Einträge leer und trotzdem Funktioniert der Internetverkehr von Rot nach Gruen es werden doch aber eigentlich keine UDP Pakete an Port 53 von Rot durchgewunken.
--
war is peace, freedom is slavery, ignorance is strength
--
IDS (on RED); Guardian; Pi-hole; OVPN (RW+N2N); QoS; 400/50Mbit (DOCSIS)

DJ-Melo
Posts: 670
Joined: July 8th, 2014, 7:12 am

Re: DNS Recursive resolver

Post by DJ-Melo » June 20th, 2019, 2:04 pm

kommt auf das Standardverhalten der Firewall an siehe dazu auch

https://www.youtube.com/watch?v=HFlH3TO3rxQ

Fire_Wischi
Posts: 106
Joined: July 11th, 2011, 12:56 pm

Re: DNS Recursive resolver

Post by Fire_Wischi » August 28th, 2019, 8:33 am

Arne.F wrote:
June 17th, 2019, 7:49 pm
Du hast in deinen neuen Regeln den Source port auf 53 gesetzt, es muss aber der destination port sein.

Regel 1:
Source: Network "green"
Destination "Firewall (green)"
Protocol UDP
Destnation port 53

Regel 2: Genauso blos Protocol TCP

Wenn auch blue verwendet wird das gleiche für blue...

Regel 3:
Source Firewall (Red)
Destination: Any
Protocoll udp
Destination Port 53

Regel 4: das gleiche für TCP

Regel 1 und 2 erlauben deinem Netz den unbound auf dem IPFire zu verwenden und 3 und 4 braucht der unbound um selbst dns aufzulösen.
Das funktioniert in meinem Fall nicht

Bekomm über openresolver.com immernoch die Meldung
Open recursive resolver detected on

Mein eigentliches Problem über das ich hier reingestolpert bin

viewtopic.php?p=127057#p127057
Attachments
FirewallDNS.JPG
Image

ET.zuhause
Posts: 12
Joined: January 8th, 2019, 12:11 pm
Location: Arzgebarsch

Re: DNS Recursive resolver

Post by ET.zuhause » August 28th, 2019, 11:50 am

Hallo an alle,

hab den Beitrag von coffeemachine gelesen und verstehe die Problematik auch nicht ganz. ???

Mir stellt sich die Frage, warum überhaupt DNS-Regeln notwendig sind (?).
Ausgangslage: Standard-Verhalten der FW (Forward) auf blockiert, "grüne IP" der FW ist im
DHCP als Primärer DNS-Server eingetragen.

So läuft das doch - ohne zusätzliche FW-Regeln... Oder sehe ich das falsch?

Grüße,
Thomas
Image

ET.zuhause
Posts: 12
Joined: January 8th, 2019, 12:11 pm
Location: Arzgebarsch

Re: DNS Recursive resolver

Post by ET.zuhause » August 28th, 2019, 11:52 am

Vergessen: HTTP- und HTTPS ist natürlich per Regel erlaubt.. ;D
Image

Fire_Wischi
Posts: 106
Joined: July 11th, 2011, 12:56 pm

Re: DNS Recursive resolver

Post by Fire_Wischi » September 1st, 2019, 2:05 pm

Gibts dafür den jetzt ne Lösung? Oder muss ich damit leben?
Image

ET.zuhause
Posts: 12
Joined: January 8th, 2019, 12:11 pm
Location: Arzgebarsch

Re: DNS Recursive resolver

Post by ET.zuhause » September 2nd, 2019, 10:05 am

Moin,

eigentlich hatte ich gehofft, dass jemand meinen Betrag kommentiert. ::)

Egal - hast du mal probiert, wass ich geschrieben habe?

Alle DNS-Regeln (Port 53) raus. Als primärer DNS-Server (Netzwerk, DHCP-Server) steht
die interne Adresse (grünes IF) der Firewall.
Die Clients stellen also Ihre DNS-Anfragen an die ipfire und der unbound macht den Rest...

Wenn ich den Test mache ( http://openresolver.com), erhalte ich

Recursive resolver is not detected on xx.xxx.xxx.xx
IP address xx.xxx.xxx.xx is not vulnerable to DNS Amplification attacks.


Grüße,
Thomas
Image

Post Reply