Thema: ZTE MU 5001 5G Portweiterleitung
Einzelnen Beitrag anzeigen
Ungelesen 16.03.24, 15:24   #20
Rassalam
Ist öfter hier
 
Registriert seit: Dec 2023
Beiträge: 216
Bedankt: 158
Rassalam leckt gerne myGully Deckel in der Kanalisation! | 1046189 Respekt PunkteRassalam leckt gerne myGully Deckel in der Kanalisation! | 1046189 Respekt PunkteRassalam leckt gerne myGully Deckel in der Kanalisation! | 1046189 Respekt PunkteRassalam leckt gerne myGully Deckel in der Kanalisation! | 1046189 Respekt PunkteRassalam leckt gerne myGully Deckel in der Kanalisation! | 1046189 Respekt PunkteRassalam leckt gerne myGully Deckel in der Kanalisation! | 1046189 Respekt PunkteRassalam leckt gerne myGully Deckel in der Kanalisation! | 1046189 Respekt PunkteRassalam leckt gerne myGully Deckel in der Kanalisation! | 1046189 Respekt PunkteRassalam leckt gerne myGully Deckel in der Kanalisation! | 1046189 Respekt PunkteRassalam leckt gerne myGully Deckel in der Kanalisation! | 1046189 Respekt PunkteRassalam leckt gerne myGully Deckel in der Kanalisation! | 1046189 Respekt Punkte
Standard
Zitat:
Zitat von Draalz Beitrag anzeigen
Interessant.
Den internen DNS der Fritzbox kannst du nur über Umwege sperren. Die Port 53 TCP blockierung würde auch am internen Verkehr soweit ich weiß nichts ändern. Da du ja die Antworten vom DNS Server über UDP Port 53 bekommst.

Mir ist das halt bei dir auch nur aufgefallen das der Port 53 auf TCP bei dir ist. Der Sipgate Telefoniespaß und die Konfigurationsschnittstelle für den Provider ist ja nix besonderes. Aber Port 53 TCP ist mir sofort ins Auge gesprungen.

Du kannst natürlich alles blocken über die Listen in Verbindung mit den Zugangsprofilen. Im Unternehmen würdest du halt einfach ne FirewallRegel anlegen die sämtliche Pakete größer 512 bytes die auf Port 53 kommen sperrt.

Aber prinzipiell legst du dir in der Fritzbox über den Filter die Listen an gehst denn zu den Zugangsprofilen, bearbeitest die, scrollst runter, öffnest Erweiterte Einstellungen. Da erscheint denn gesperrte Netzwerkanwendungen und wählst du denn deine vorher erstellte Liste aus mit den angelegten Ports. Die dann für dieses Zugangsprofil gesperrt sind. Das kannst du denn je nachdem für das StandardProfil setzen denn gilt es für alle oder du legst dir selber ein Profil an wo du die Endgeräte reinballerst, die das betreffen soll. Im Prinzip blockierst du damit auch nicht den Fritzbox eigenen DNS, sondern jeden anderen DNS.

Die Gefahr ist halt, das du auf Port 53 TCP größere Pakete schicken kannst als an 53 UDP. Was Tür und Tor öffnet für DDos Angriffe ala 10000 DNS Abfragen die Sekunde.

Du könntest auch über eine Firewall jeglichen Verkehr auf Port 53 der größer 512 Bytes ist sperren. Das würde das ganze Protgedöns erübrigen. Aber leider kann die Fritzbox in Ihrem normalen Zustand sowas nicht.

Du hast übrigens bei der Fritzbox schon die Rebind Schutz integriert soweit ich weiß, also Antworten auf Port 53 die an eine IP Adresse im Netzwerk gehen, werden von der Fritzbox rausgefiltert. Aber auch da kann man Ausnahmen einrichten.

Was natürlich mal jemand mit viel langeweile testen kann. Was passiert wenn direkt eine Liste für die Fritzbox also 192.168.178.1 erstellst und denn direkt Port 53 komplett blockst, ob er dann noch was auflösen kann weiß ich nicht. Möchte ich aber grad auch nicht probieren . Oder nur den eingehenden Verkehr auf Port 53 blocken sollte ja schon reichen, denn kommt ja keine Antwort mehr .


Achja und zum Thread: Bei welchem Anbieter bist du denn z.b? Die Telekom weiß ich bietet für solche Geräte verschiedene Zugangspunkte an auf denen du denn auch eine wirkliche IPv4 Adresse bekommst.
Geändert von Rassalam (16.03.24 um 15:38 Uhr)
Rassalam ist offline   Mit Zitat antworten
Folgendes Mitglied bedankte sich bei Rassalam:
Draalz (16.03.24)