[Rassalam]

Sollte Port 53 für die Nameserver Konfiguration nicht auf dem UDP Protokoll laufen? Prinzipiell sollte der Nameserver nur auf Port 53 TCP Antworten, wenn die Antwort 512bytes übersteigt. Wenn es nicht nötig ist sollte man Port 53 TCP vlt. doch blocken, wird nämlich gern für DDos Angriffe genommen.

Eigentlich sollte Port 53 UDP die Anfrage stellen und eigentlich auch eine Antwort da kommen, TCP wird eigentlich nur verwendet, wenn ein UDP Paket nicht ausreicht.

Da frag ich mich echt, was für DomainNamen ihr nutzt und vor allem wie lang die sind, wenn ihr jedes mal die 512 Bytes reißt.

[Draalz]

Zitat:

Zitat von Rassalam

Wenn es nicht nötig ist sollte man Port 53 TCP vlt. doch blocken, wird nämlich gern für DDos Angriffe genommen..

Interessant. Jetzt musst Du mir nur noch erklären, wie man, z.B. auf einer FritzBox, einen Port, der für das interne Netzwerk geöffent ist, blocken kann.

[Rassalam]

Zitat:

Zitat von Draalz

Interessant.

Den internen DNS der Fritzbox kannst du nur über Umwege sperren. Die Port 53 TCP blockierung würde auch am internen Verkehr soweit ich weiß nichts ändern. Da du ja die Antworten vom DNS Server über UDP Port 53 bekommst.

Mir ist das halt bei dir auch nur aufgefallen das der Port 53 auf TCP bei dir ist. Der Sipgate Telefoniespaß und die Konfigurationsschnittstelle für den Provider ist ja nix besonderes. Aber Port 53 TCP ist mir sofort ins Auge gesprungen.

Du kannst natürlich alles blocken über die Listen in Verbindung mit den Zugangsprofilen. Im Unternehmen würdest du halt einfach ne FirewallRegel anlegen die sämtliche Pakete größer 512 bytes die auf Port 53 kommen sperrt.

Aber prinzipiell legst du dir in der Fritzbox über den Filter die Listen an gehst denn zu den Zugangsprofilen, bearbeitest die, scrollst runter, öffnest Erweiterte Einstellungen. Da erscheint denn gesperrte Netzwerkanwendungen und wählst du denn deine vorher erstellte Liste aus mit den angelegten Ports. Die dann für dieses Zugangsprofil gesperrt sind. Das kannst du denn je nachdem für das StandardProfil setzen denn gilt es für alle oder du legst dir selber ein Profil an wo du die Endgeräte reinballerst, die das betreffen soll. Im Prinzip blockierst du damit auch nicht den Fritzbox eigenen DNS, sondern jeden anderen DNS.

Die Gefahr ist halt, das du auf Port 53 TCP größere Pakete schicken kannst als an 53 UDP. Was Tür und Tor öffnet für DDos Angriffe ala 10000 DNS Abfragen die Sekunde.

Du könntest auch über eine Firewall jeglichen Verkehr auf Port 53 der größer 512 Bytes ist sperren. Das würde das ganze Protgedöns erübrigen. Aber leider kann die Fritzbox in Ihrem normalen Zustand sowas nicht.

Du hast übrigens bei der Fritzbox schon die Rebind Schutz integriert soweit ich weiß, also Antworten auf Port 53 die an eine IP Adresse im Netzwerk gehen, werden von der Fritzbox rausgefiltert. Aber auch da kann man Ausnahmen einrichten.

Was natürlich mal jemand mit viel langeweile testen kann. Was passiert wenn direkt eine Liste für die Fritzbox also 192.168.178.1 erstellst und denn direkt Port 53 komplett blockst, ob er dann noch was auflösen kann weiß ich nicht. Möchte ich aber grad auch nicht probieren . Oder nur den eingehenden Verkehr auf Port 53 blocken sollte ja schon reichen, denn kommt ja keine Antwort mehr .


Achja und zum Thread: Bei welchem Anbieter bist du denn z.b? Die Telekom weiß ich bietet für solche Geräte verschiedene Zugangspunkte an auf denen du denn auch eine wirkliche IPv4 Adresse bekommst.

[Draalz]

Hmm, beim TO ist scheinbar auch Port 22 von 'innen' geöffnet.
Warum das so ist, erschließt sich mir nicht.
In meinem Netzwerk steht ein NAS. Auf dem läuft ein Downloadmanager, den ich weltweit ansprechen kann. Wenn dieser dann Downloads startet, macht er das über eine ssh Tunnel, der mit meinem VPN Anbieter verbunden ist. Ich denke, dass die FritzBox diese Konstellation gar nicht nachvollziehen kann, weil der Tunnel vom NAS aufgebaut wird.
DNS Auflösungen werden zumeist von meinen Anwendungen von CloudFlaire angefordert. Der Router ist eigentlich nur aus Kompatibilitätsgründen auch auf CloudFlaire DNS eingestellt.
VPN wird eigentlich nur von den Maschinen im Heimnetz aufgebaut und geht durch die FritzBox hindurch.

Bei den Portscanns anderer Beiträge von 'innen' in diesem Thread, steht Port 53 auf TCP.

Zitat:

Zitat von Rassalam

Achja und zum Thread: Bei welchem Anbieter bist du denn z.b? Die Telekom weiß ich bietet für solche Geräte verschiedene Zugangspunkte an auf denen du denn auch eine wirkliche IPv4 Adresse bekommst.

Auch an anderer Stelle habe ich schon gelesen, dass T Online mittlerweile private IP's an Router verteilt (10.x.x.x), weil ihnen wohl die IP's ausgehen.
Ich bin bei Telefonica und bekomme immer noch eine richtige öffentliche IP.