DNS Recursive resolver

Post Reply
volterr
Posts: 5
Joined: May 14th, 2017, 1:54 am

DNS Recursive resolver

Post by volterr » June 14th, 2019, 10:35 am

Hallo zusammen,

habe von meinem Provider die Info bekommen das an meinem Anschluss ein Open recursive DNS resolver entdeckt wurde.

Habe daraufhin auf http://openresolver.com meine ip gecheckt und dort wurde dann auch bestätigt das die Adresse für DNS amplification attacks offen ist!

Im meinem ipfire Regelwerk habe ich Port 53 DNS normal freigegeben, siehe Screenshot dns.jpg

Standardverhalten der Firewall für Outgoing/Forward ist Block.

Habe alle anderen Regeln geprüft ob es überschneidungen gibt, konnte nicht derartiges finden!

Wenn ich als Quelle für die Regel DNS anstatt ALLE die Quelle auf GRÜN setze, funktioniert das DNS nicht aber der Test auf openresolver.com zeigt nun keinen Open DNS Resolver mehr an! Meinem Verständnis nach sollte aber das DNS aus dem grünen Netz so funktionieren!

Was mache ich falsch?
Attachments
dns.png
dns.png (4.24 KiB) Viewed 353 times

User avatar
Arne.F
Core Developer
Core Developer
Posts: 8369
Joined: May 7th, 2006, 8:57 am
Location: BS <-> NDH
Contact:

Re: DNS Recursive resolver

Post by Arne.F » June 14th, 2019, 10:47 am

ALLE bei Quelle ist sehr gefährlich für "ALLOW" Regeln!

Du brauchst für DNS zwei Regeln die der Firewall selbst Zugriff auf RED:Port53 erlaubt und zwar TCP und UDP.

Und welche die Jeweils von Grün/Blau auf die Firewall port 53 erlauben (wieder TCP und UDP)
Arne

Support the project on the donation!

Image

Image

Image
PS: I will not answer support questions via email and ignore IPFire related messages on my non IPFire.org mail addresses.

volterr
Posts: 5
Joined: May 14th, 2017, 1:54 am

Re: DNS Recursive resolver

Post by volterr » June 14th, 2019, 11:38 am

Hallo vielen dank für die Info!

Habe jetzt fürs DNS zwei Regeln, siehe Screenshot

Leider funktionierts damit nicht! Erst wenn ich von Grün auf Alle umstelle läuft das DNS. Ich kann mir beim besten Willen nicht erkären warum!

Oder muss ich noch zwei weitere Regeln dafür erstellen? Mir ist nicht ganz klar welche das wären! Hast du vll einne screenshot von einem funktionierendem DNS Regelwerk?
Attachments
dns2.png
dns2.png (10.26 KiB) Viewed 340 times

DJ-Melo
Posts: 604
Joined: July 8th, 2014, 7:12 am

Re: DNS Recursive resolver

Post by DJ-Melo » June 14th, 2019, 1:52 pm

fehlt da nicht noch die regel für die Fire selbst so wie ich Arne verstanden hab.

volterr
Posts: 5
Joined: May 14th, 2017, 1:54 am

Re: DNS Recursive resolver

Post by volterr » June 14th, 2019, 2:23 pm

Danke für die Antwort! Mir ist leider nicht klar wie diese zweite Regel dafür aussehen müsste. Habe mehrfach versucht so eine Regel zu erstellen, jedoch erscheint dann immer die Meldung das Quelle und Ziel identisch seien! Könnt ihr mir noch einen Hinweis dazu geben?

volterr
Posts: 5
Joined: May 14th, 2017, 1:54 am

Re: DNS Recursive resolver

Post by volterr » June 14th, 2019, 3:25 pm

Habe jetzt noch zu den beiden bestehenden Regeln von grün auf Rot Port 53 TCP/UDP folgende im Screenshot hinzugefügt, jedoch läuft das DNS immer noch nicht! Freue mich über jeden Hinweis :)
Attachments
dns3.png
dns3.png (8.67 KiB) Viewed 314 times

volterr
Posts: 5
Joined: May 14th, 2017, 1:54 am

Re: DNS Recursive resolver

Post by volterr » June 17th, 2019, 3:25 pm

Habe jetzt das Wochenenende mit Versuchen verbracht fürs DNS die beiden Regeln zu konfigurieren, jedoch ohne Erfolg!

Ich würde mich wahnsinning freuen wenn ihr die beiden Regeln nennen könntet oder einen Tipp wie die Freigabe für die Fire aussehen muss.

User avatar
Arne.F
Core Developer
Core Developer
Posts: 8369
Joined: May 7th, 2006, 8:57 am
Location: BS <-> NDH
Contact:

Re: DNS Recursive resolver

Post by Arne.F » June 17th, 2019, 7:49 pm

Du hast in deinen neuen Regeln den Source port auf 53 gesetzt, es muss aber der destination port sein.

Regel 1:
Source: Network "green"
Destination "Firewall (green)"
Protocol UDP
Destnation port 53

Regel 2: Genauso blos Protocol TCP

Wenn auch blue verwendet wird das gleiche für blue...

Regel 3:
Source Firewall (Red)
Destination: Any
Protocoll udp
Destination Port 53

Regel 4: das gleiche für TCP

Regel 1 und 2 erlauben deinem Netz den unbound auf dem IPFire zu verwenden und 3 und 4 braucht der unbound um selbst dns aufzulösen.
Arne

Support the project on the donation!

Image

Image

Image
PS: I will not answer support questions via email and ignore IPFire related messages on my non IPFire.org mail addresses.

User avatar
coffeemachine
Posts: 87
Joined: December 20th, 2017, 7:40 am

Re: DNS Recursive resolver

Post by coffeemachine » June 20th, 2019, 1:41 pm

Auch wenn ich jetzt nicht selbst davon betroffen bin, versuche ich aber gerade einmal nachzuvollziehen wie es dazu gekommen sein konnte?!.
Von den "Standard" Einstellungen des IPFire liegen doch gar keine Regeln (zumindest sichtbar in der GUI) an, zumindest sind bei mir alle Einträge leer und trotzdem Funktioniert der Internetverkehr von Rot nach Gruen es werden doch aber eigentlich keine UDP Pakete an Port 53 von Rot durchgewunken.
--
war is peace, freedom is slavery, ignorance is strength
--
IDS (on RED); Guardian; Pi-hole; OVPN (RW+N2N); QoS; 400/50Mbit (DOCSIS)

DJ-Melo
Posts: 604
Joined: July 8th, 2014, 7:12 am

Re: DNS Recursive resolver

Post by DJ-Melo » June 20th, 2019, 2:04 pm

kommt auf das Standardverhalten der Firewall an siehe dazu auch

https://www.youtube.com/watch?v=HFlH3TO3rxQ

Post Reply