Netgate Discussion Forum
    • Categories
    • Recent
    • Tags
    • Popular
    • Users
    • Search
    • Register
    • Login

    DNS Server vom ISP ständig in den Firewall Logs

    Scheduled Pinned Locked Moved
    Deutsch
    3
    5
    1.8k
    Loading More Posts
    • Oldest to Newest
    • Newest to Oldest
    • Most Votes
    Reply
    • Reply as topic
    Log in to reply
    This topic has been deleted. Only users with topic management privileges can see it.
    • M
      mrsunfire
      last edited by

      Hallo!

      Seit einiger Zeit beobachte ich immerwieder, Anfragen verschiedener DNS Server meines ISP, via UDP auf verschiedenste Ports meiner pfSense 2.0.3. Source ist dabei immer der Port 53 (klar). Destination absolut unterschiedlich.

      Was ist da faul?

      Netgate 6100 MAX

      1 Reply Last reply Reply Quote 0
      • JeGrJ
        JeGr LAYER 8 Moderator
        last edited by

        Grüße Freund sunfire!

        Laut den DNS Spezifikationen läuft der clientseitige DNS wie folgt ab:

        1. Client fragt den Server auf Port UDP/53 an, kommend von einem random-High-Port. Sprich: $i (>1023) -> 53
        2. Server antwortet mit Server-Port (53) an den Port, von dem die Anfrage kam: 53/udp -> $i (>1023)

        Das Log sieht so aus, als würde deine pfSense Anfragen stellen, aber die Antwort dazu blocken. Sollte das wirklich der DNS Server deines Providers sein und du diesen als Forwarder in der pfSense eingetragen haben, dann ist etwas mit der automatischen Regel des DNS Forwarders im argen (oder selbiger abgeschaltet).

        Wie sieht es denn mit der Konfiguration aus? Sind diese DNSe bei dir eingetragen und ist der DNS Forwarder an? Wird er lokal auch genutzt?

        Grüßend
        Jens

        Don't forget to upvote 👍 those who kindly offered their time and brainpower to help you!

        If you're interested, I'm available to discuss details of German-speaking paid support (for companies) if needed.

        1 Reply Last reply Reply Quote 0
        • M
          mrsunfire
          last edited by

          Hallo und danke für Deine Antwort!

          Ja, das sind DNS Server vom ISP. Einen davon habe ich u.A. als DNS eingetragen und der Forwarder ist aktiv. Außerdem werden die DNS via DHCP an die Clients verteilt.
          Wie könnte ich denn herausfinden, ob das wirklich Antworten auf meine Anfragen sind? Sollte ich dann im WAN Port 53 freigeben, zumindest für dieses Netz des ISP? Wunderlich ist auch, dass dies immer nur einer der beiden ISP Server ist.

          UPDATE:

          Laut tcpdump erhalte ich folgendes Bild:

          18:09:41.594335 IP 46.223.xxx.xxx.43559 > 78.42.43.62.53: UDP, length 43
          18:09:41.594347 IP 46.223.xxx.xxx.43559 > 82.212.62.62.53: UDP, length 43
          18:09:41.594364 IP 46.223.xxx.xxx.23815 > 82.212.62.62.53: UDP, length 32
          18:09:41.594373 IP 46.223.xxx.xxx.15640 > 78.42.43.62.53: UDP, length 31
          18:09:41.594383 IP 46.223.xxx.xxx.15640 > 82.212.62.62.53: UDP, length 31
          18:09:41.607130 IP 82.212.62.62.53 > 46.223.xxx.xxx.43559: UDP, length 75
          18:09:41.608251 IP 82.212.62.38.53 > 46.223.xxx.xxx.43559: UDP, length 75
          18:09:41.612071 IP 82.212.62.62.53 > 46.223.xxx.xxx.22316: UDP, length 82

          Warum kommt der Request einmal über eine andere IP zurück? Genau diese IP sehe ich in meiner Firewall, da an diese ja nichts gesendet wurde.

          Netgate 6100 MAX

          1 Reply Last reply Reply Quote 0
          • N
            Nachtfalke
            last edited by

            Hallo,

            ich kenne mich mit DNS jetzt nicht wirklich gut aus, aber folgendes meine ich sicher zu wissen:

            Wenn du in der pfsense unter General Setup deine DNS Server eingetragen hast, den DNS Forwarder aktiviert hast, dann ist die Konfiguration korrrekt. Es müssen KEINE Ports am WAN geöffnet werden - das ist quatsch und unsicher. Die pfsense stellt eine Anfrage, die Firewall hält diese Verbindung offen bis zum timeout und leitet entsprechende Antworten aus dem WAN weiter zum LAN.

            Weiterhin sei die Frage gestellt, ob die Source IPs mit Source Port 53 wirklich die DNS server deines ISPs sind oder einfach nur "irgendwelche" IPs aus dem Netz deines ISPs. Ich bekomme oft genug Verbindungsversuche an meiner Firewall, die typische Ports als Source Port nehmen, sei es SSH, telnet, etc. pp. Sowas kann man ja auch faken.

            Wenn du mehrere WANs hast, dann stelle bitte für jedes WAN einen DNS server ein - aber verschiedene.
            Statt den DNS Servern deines ISPs nutze doch mal andere, die von google 8.8.8.8 oder 8.8.4.4 oder OpenDNS. Nur mal zum Testen.
            Wenn du eine WAN Verbindung hast, die sehr hohe Latenzen hat, könntest du die Firewall-Timeouts unter "Advanced" mal etwas anpassen, zum Beispiel "conservative". Vielleicht schließt deine Firewall die Verbindungen zu früh und bekommt deswegen keine legitimen Antworten.

            1 Reply Last reply Reply Quote 0
            • M
              mrsunfire
              last edited by

              Ich werde bei meinem ISP nachfragen, ob dies die DNS Server sind. Ansonsten öffne ich sicherlich keine Ports auf der WAN Seite. Und nein, ich habe nur 1 WAN Interface.

              Netgate 6100 MAX

              1 Reply Last reply Reply Quote 0
              • First post
                Last post
              Copyright 2025 Rubicon Communications LLC (Netgate). All rights reserved.