Bloquear dns recursivo aberto  [RESOLVIDO]

Fórum destinado a discussões gerais e ajuda aos usuários do BrazilFW 2.x, para os idiomas (Inglês, Espanhol, Português e outros)
BrazilFW 2.x - Ayuda en general (todos los idiomas)
Foro de discusión general y ayudar a los usuarios BrazilFW 2.x para idiomas (Inglés, español, portugués y otros)
BrazilFW 2.x - Help in General (All Languages)
Forum for general discussions and help for users of BrazilFW 2.x, for languages (English, Spanish, Portuguese and others)

Bloquear dns recursivo aberto

Mensagempor fabio » Sex Mai 31, 2013 2:10 pm

Olá pessoal !

Como faço para bloquear as consultas dns vindas (originadas) de fora da minha rede interna no BrazilFW - Versão 2.31.10 SP1+ ?

Seguem algumas informações adicionais desse servidor

Utilizo ip estático ( Na Rede Internet )
Tenho Squid+Sarg

Obrigado.
fabio
 

Re: Bloquear dns recursivo aberto

Mensagempor Paulo2 » Sáb Jun 01, 2013 2:54 pm

Olá fabio , bem-vindo ao fórum. Leia as regras do fórum para se inteirar do funcionamento.
Poderia postar o log, ou os sintomas das consultas externas?

Bloquear o acesso à porta 53 tcp e udp na página "Configuração Avançada do Firewall" do webadmin
deve bloquear as consultas.
Código: Selecionar todos
admin Y deny tcp int-if lan 53 all
admin Y deny udp int-if lan 53 all


Acho que um BFW com configuração padrão não responde a consultas externas de DNS,
fiz o teste desses endereços e o resultado foi sem acesso ao BFW.
http://www.cert.br/docs/whitepapers/dns-recursivo-aberto/
https://www.dnsstuff.com/
Pesquise o fórum.
As chances de sua dúvida já ter sido respondida são de 93,57%

Cooperação com os moderadores é indispensável,
eles trabalham para manter o bom funcionamento do fórum.
Por favor, leia as regras do Forum.
Resolveu, então encerre corretamente seu tópico.
Avatar do usuário
Paulo2
BFW Team
BFW Beneméritos
 
Mensagens: 721
Registrado em: Qui Set 21, 2006 1:57 am
BrazilFW Box: Máquina: Física
CPU: Pentium 233
Memória: 128MiB / 1 Link
BFW 2.32.2
Serviços Ativos: bandwidthd, thttpd, crond
pure-ftpd, logread, squid, bwmon, upnpd
Addons: bandwidthd, edited-root, iptraf
libcrypto, libgd, libiconv, libmagic, libpng
lynx, msmtp, nmap-lib, nmap, pure-ftpd
squid, tcpdump, upnp

Re: Bloquear dns recursivo aberto

Mensagempor fabio » Dom Jun 02, 2013 1:42 pm

Olá paulo,

Adicionei as regras que você postou, fiz o backup, recarreguei o firewall e conferi pelo terminal, segue abaixo como ficaram as regras, mas continuou aceitando consultas externas ao dns, depois reiniciei o servidor mas ainda está respondendo a consultas externas ao dns ( de fora da minha rede interna ).


REJECT tcp -- 0.0.0.0/0 192.168.x.x tcp dpt:53 reject-with icmp-port-unreachable
REJECT udp -- 0.0.0.0/0 192.168.x.x udp dpt:53 reject-with icmp-port-unreachable


Utilizo o proxy transparente nesse servidor também


Obrigado!
fabio
 

Re: Bloquear dns recursivo aberto

Mensagempor Paulo2 » Dom Jun 02, 2013 3:47 pm

Paulo2 escreveu:Poderia postar o log, ou os sintomas das consultas externas?

Um teste que vc pode fazer é desabilitar o servidor DNS do BFW no webadmin.
Se o log ou sintomas continuarem, o problema é outro, já que o BFW não tem mais
servidor DNS.



Já que as regras adicionadas pelo webadmin não deram resultado, apague essas regras
e recarregue o firewall. Depois adicione essas outras regras direto no terminal.
Código: Selecionar todos
iptables -I INPUT -p tcp -i $IF_INET -s 0/0 -d $LOCAL_IPADDR --dport 53 -j REJECT
iptables -I INPUT -p udp -i $IF_INET -s 0/0 -d $LOCAL_IPADDR --dport 53 -j REJECT

veja as regras incluídas no firewall
Código: Selecionar todos
iptables -L -v -n|more




Tentei abrir a porta 53 no meu BFW pra ver o acesso ao DNS.
Fiz esse teste mas ela não aparece aberta
http://www.guiadocftv.com.br/modules/ferramentas/pag_nettools.php
talvez porque meu provedor (Virtua) bloqueie a porta 53.
vc não consegue fechar e eu não consigo abrir :mrgreen:



Como vc mencionou o Squid, esses acessos são DNS (porta 53) ou Squid (porta 443)
tipo um ultra-surf?
Pesquise o fórum.
As chances de sua dúvida já ter sido respondida são de 93,57%

Cooperação com os moderadores é indispensável,
eles trabalham para manter o bom funcionamento do fórum.
Por favor, leia as regras do Forum.
Resolveu, então encerre corretamente seu tópico.
Avatar do usuário
Paulo2
BFW Team
BFW Beneméritos
 
Mensagens: 721
Registrado em: Qui Set 21, 2006 1:57 am
BrazilFW Box: Máquina: Física
CPU: Pentium 233
Memória: 128MiB / 1 Link
BFW 2.32.2
Serviços Ativos: bandwidthd, thttpd, crond
pure-ftpd, logread, squid, bwmon, upnpd
Addons: bandwidthd, edited-root, iptraf
libcrypto, libgd, libiconv, libmagic, libpng
lynx, msmtp, nmap-lib, nmap, pure-ftpd
squid, tcpdump, upnp

Re: Bloquear dns recursivo aberto

Mensagempor fabio » Seg Jun 03, 2013 12:30 pm

Desabilitei o servidor dns em Configuração do dhcp e dns > Habilitar o Cache DNS do BrazilFW? > não , e não consegui navegar na internet pela rede interna isso é normal? mas já habilitei de novo para conseguir.

Utilizo o squid como proxy transparente para a rede interna tudo do jeito padrão do BrazilFW, veja a versão Squid Version 2.7.STABLE6-20090224 2.31.10, mas quanto ao problema, ele está na porta dns 53 mesmo.

As regras que você me pediu para adicionar direto no terminal também não bloquearam o acesso externo ao dns.

O log que você se refere é qual? como eu localizo esse log?

Obrigado.
fabio
 

Re: Bloquear dns recursivo aberto

Mensagempor Paulo2 » Seg Jun 03, 2013 3:01 pm

fabio escreveu:Desabilitei o servidor dns em Configuração do dhcp e dns > Habilitar o Cache DNS do BrazilFW? > não , e não consegui navegar na internet pela rede interna isso é normal? mas já habilitei de novo para conseguir.

Deveria navegar. A menos que a versão 2.31.10 sp1 tenha comportamento diferente da 2.32.2 nesse caso.
Navego sem problemas com o cache DNS desabilitado, tanto indicando servidores DNS na página
"Configuração da Internet" (estou usando o OpenDNS) ou deixando em branco, nesse caso vale o DNS do provedor.


fabio escreveu:Utilizo o squid como proxy transparente para a rede interna tudo do jeito padrão do BrazilFW, veja a versão Squid Version 2.7.STABLE6-20090224 2.31.10, mas quanto ao problema, ele está na porta dns 53 mesmo.

Ok. O que eu gostaria de ver é o log ou mensagem no terminal dos acessos.
Não achei relatos desse problema no fórum.


fabio escreveu:As regras que você me pediu para adicionar direto no terminal também não bloquearam o acesso externo ao dns.

Minhas idéias acabaram :mrgreen: >| vamos esperar que algum colega com mais conhecimentos sobre o assunto dê outras idéias.


fabio escreveu:O log que você se refere é qual? como eu localizo esse log?

Poste dentro da tag Code.
No webadmin, "Ferramentas de Diagnóstico" - "1. Ler o Log do Sistema"
Poste também o arquivo-mestre do BFW "Arquivos de Configuração" - "1. BrazilFW - Arquivo Mestre de Configuração"


fabio escreveu:Obrigado.

Estamos aqui pra isso, na medida do possível :o!
Pesquise o fórum.
As chances de sua dúvida já ter sido respondida são de 93,57%

Cooperação com os moderadores é indispensável,
eles trabalham para manter o bom funcionamento do fórum.
Por favor, leia as regras do Forum.
Resolveu, então encerre corretamente seu tópico.
Avatar do usuário
Paulo2
BFW Team
BFW Beneméritos
 
Mensagens: 721
Registrado em: Qui Set 21, 2006 1:57 am
BrazilFW Box: Máquina: Física
CPU: Pentium 233
Memória: 128MiB / 1 Link
BFW 2.32.2
Serviços Ativos: bandwidthd, thttpd, crond
pure-ftpd, logread, squid, bwmon, upnpd
Addons: bandwidthd, edited-root, iptraf
libcrypto, libgd, libiconv, libmagic, libpng
lynx, msmtp, nmap-lib, nmap, pure-ftpd
squid, tcpdump, upnp

Re: Bloquear dns recursivo aberto

Mensagempor fabio » Ter Jun 04, 2013 4:57 pm

Depois vou testar novamente desabilitando o cache do dns para ver o que está acontecendo, mas obrigado pelas informações sobre o comportamento da versão 2.32.2

Outra informação é que tenho instalado o add-on dnscache.tgz ( dns cache )

Com as regras abaixo ( Configuração Avançada do Firewall > Editar Regras Personalizadas )consegui bloquear o acesso total ao dns interno e externo, porém se eu substituir o iptables -I pelo iptables -A já não bloqueia, já tentei barrar apenas o acesso que vem de fora com o iptables mas não consegui.


Código: Selecionar todos
iptables -I INPUT -p udp --dport 53 -j DROP
iptables -I INPUT -p tcp --dport 53 -j DROP


Talvez não fiz correto, se alguém tiver uma regra pronta e quiser compartilhar agradeço.

Meu cenário é assim, tenho três ips externos configurados em uma única placa de rede, e um ip interno configurado em outra placa de rede apenas duas placas.

Segue o arquivo mestre de configuração do BrazilFW - Versão 2.31.10 SP1+

O " X " está substituindo algumas informações.

Utilizo três ips externos e três endereços de dns sendo um do google.

Código: Selecionar todos

INETTYPE='ETHERNET_STATIC'
DNS1='8.8.8.8'
DNS2='XX.XX.XXX.XXX'
DNS3='XXX.XX.XX.XX'
HOSTNAME='host'
LOCAL_IPADDR='192.168.X.X'
LOCAL_NETMASK='255.255.255.0'
IPADDR='XXX.XXX.XX.X'
IPADDR2='XXX.XXX.XX.X'
IPADDR3='XXX.XXX.XX.X'
NETMASK='XXX.XXX.XXX.XXX’
NETMASK2='XXX.XXX.XXX.XXX’
NETMASK3='XXX.XXX.XXX.XXX’
GATEWAY='XXX.XXX.XXX.XXX’
DHCPSERVER='NO'
DHCPD_START_IP='192.168.0.65'
DHCPD_END_IP='192.168.0.254'
ADMIN_AUTH='XXXXXXXX'
IF_LOCAL='eth0'
IF_INET='eth1'
TZ='EST3'
TIMESERVER='time-b.nist.gov'
USE_DNS_CACHE='YES'
ENABLE_CRON='YES'
ENABLE_EXTERNAL_PING='YES'
ENABLE_EXTERNAL_SSH='YES'
ENABLE_WEBADMIN='YES'
WEBADMIN_PORT='XXXX'
SSH_PORT='22'
QOS_TYPE='COYOTE_MANUAL'
QOS_UPSTREAM='512'
QOS_DOWNSTREAM='512'
QOS_FUP_BURST='8'
QOS_NUP_BURST='4'
QOS_SUP_BURST='2'
QOS_FDOWN_BURST='16'
QOS_NDOWN_BURST='8'
QOS_SDOWN_BURST='4'
QOS_DOWNSTREAM_JUNK='5'
QOS_UPSTREAM_JUNK='5'
QOS_UPFW_STREAM='70'
QOS_HIGH_PRI_PER='80'
QOS_NORM_PRI_PER='15'
QOS_SLOW_PRI_PER='5'
DEFAULT_USERS_FILTER='ALLOW_ALL'
DEFAULT_SERVICES_FILTER='BLOCK_ALL'
LOG_ATTEMPTS='YES'
LOG_INCOMING_ACCESS='YES'
LANGUAGE_WEBADMIN='BRZ'
SARG_ENABLE='1'
SARG_WEB_PORT='XXXX'
SQSTAT_ENABLEDNS='1'
SQUID_ENABLE='1'
SQUID_PORT='8080'
SQUID_PROXY_TYPE='1'
SQUID_POLICY='ALL'
SQUID_DISK_CACHE_ENABLE='1'
SQUID_DISK_CACHE_SIZE='3000'
SQUID_MEM_CACHE_SIZE='300'
SQUID_MAX_OBJ_SIZE='15500'
SQUID_MIN_OBJ_SIZE='5'
MAXCONN='0'
SQUID_LOG_ACCESS='1'
ERROR_LINGUAGE='Portuguese'
SQUID_URLB_ENABLE='0'
SQUID_WRDB_ENABLE='1'
SQUID_EWRD_ENABLE='1'
SQUID_EXTB_ENABLE='0'
SQUID_CACHE_ENABLE='0'
SQUID_PRIV_USER='0'
SQUID_NO_CONF='1'
SQUIDNOW_LINES='100'



Ferramentas de Diagnóstico - 1. Ler o Log do Sistema

IPEXT = ip externo

Código: Selecionar todos

Jun  4 14:22:36 host user.warn kernel: PORT FORWARDING:IN=eth1 OUT=eth0 SRC=IPEXT.IPEXT.IPEXT.IPEXT DST=192.168.#.##  LEN=48 TOS=0x00 PREC=0x00 TTL=51 ID=8628 DF PROTO=TCP SPT=50342 DPT=80 WINDOW=8192 RES=0x00 SYN URGP=0
Jun  4 14:22:55 host user.warn kernel: PORT FORWARDING:IN=eth1 OUT=eth0 SRC=IPEXT.IPEXT.IPEXT.IPEXT  DST=192.168.X.XX LEN=50 TOS=0x00 PREC=0x00 TTL=117 ID=6096 DF PROTO=TCP SPT=2944 DPT=5901 WINDOW=64079 RES=0x00 ACK PSH URGP=0
Jun  4 14:24:48 host user.warn kernel: PORT FORWARDING:IN=eth1 OUT=eth0 SRC=IPEXT.IPEXT.IPEXT.IPEXT DST=192.168.?.??  LEN=48 TOS=0x00 PREC=0x00 TTL=246 ID=1 PROTO=TCP SPT=64269 DPT=21 WINDOW=63480 RES=0x00 SYN URGP=0
Jun  4 14:31:42 host user.warn kernel: PORT FORWARDING:IN=eth1 OUT=eth0 SRC=IPEXT.IPEXT.IPEXT.IPEXT DST=192.168.#.##  LEN=44 TOS=0x00 PREC=0x00 TTL=46 ID=57550 DF PROTO=TCP SPT=46533 DPT=80 WINDOW=5840 RES=0x00 SYN URGP=0
Jun  4 14:32:33 host user.notice root: rc.dnscache: Flushing DNS Cache
Jun  4 14:32:33 host user.notice root: rc.dnscache: DNS cache flushed!
Jun  4 14:32:33 host user.notice root: rc.dnscache: DNS cache empty.
Jun  4 14:38:19 host user.warn kernel: PORT FORWARDING:IN=eth1 OUT=eth0 SRC=IPEXT.IPEXT.IPEXT.IPEXT  DST=192.168.#.##  LEN=52 TOS=0x00 PREC=0x00 TTL=119 ID=13777 DF PROTO=TCP SPT=56697 DPT=80 WINDOW=8192 RES=0x00 SYN URGP=0
Jun  4 14:38:19 host user.warn kernel: PORT FORWARDING:IN=eth1 OUT=eth0 SRC=IPEXT.IPEXT.IPEXT.IPEXT  DST=192.168.#.##  LEN=52 TOS=0x00 PREC=0x00 TTL=119 ID=13778 DF PROTO=TCP SPT=49153 DPT=80 WINDOW=8192 RES=0x00 SYN URGP=0
Jun  4 14:38:36 host user.warn kernel: PORT FORWARDING:IN=eth1 OUT=eth0 SRC=IPEXT.IPEXT.IPEXT.IPEXT  DST=192.168.#.##  LEN=60 TOS=0x00 PREC=0x00 TTL=52 ID=28099 DF PROTO=TCP SPT=59238 DPT=80 WINDOW=5840 RES=0x00 SYN URGP=0
Jun  4 14:38:36 host user.warn kernel: PORT FORWARDING:IN=eth1 OUT=eth0 SRC=IPEXT.IPEXT.IPEXT.IPEXT  DST=192.168.#.##  LEN=60 TOS=0x00 PREC=0x00 TTL=52 ID=20421 DF PROTO=TCP SPT=59239 DPT=80 WINDOW=5840 RES=0x00 SYN URGP=0
Jun  4 14:39:16 host user.warn kernel: PORT FORWARDING:IN=eth1 OUT=eth0 SRC=IPEXT.IPEXT.IPEXT.IPEXT  DST=192.168.X.XX LEN=48 TOS=0x00 PREC=0x00 TTL=117 ID=4821 DF PROTO=TCP SPT=1111 DPT=5901 WINDOW=65535 RES=0x00 SYN URGP=0
Jun  4 14:42:25 host user.warn kernel: PORT FORWARDING:IN=eth1 OUT=eth0 SRC=IPEXT.IPEXT.IPEXT.IPEXT  DST=192.168.#.##  LEN=52 TOS=0x00 PREC=0x00 TTL=118 ID=19748 DF PROTO=TCP SPT=53668 DPT=80 WINDOW=8192 RES=0x00 SYN URGP=0
Jun  4 14:42:25 host user.warn kernel: PORT FORWARDING:IN=eth1 OUT=eth0 SRC=IPEXT.IPEXT.IPEXT.IPEXT  DST=192.168.#.##  LEN=52 TOS=0x00 PREC=0x00 TTL=118 ID=19749 DF PROTO=TCP SPT=53669 DPT=80 WINDOW=8192 RES=0x00 SYN URGP=0
Jun  4 14:42:52 host user.warn kernel: PORT FORWARDING:IN=eth1 OUT=eth0 SRC=IPEXT.IPEXT.IPEXT.IPEXT  DST=192.168.#.##  LEN=52 TOS=0x00 PREC=0x00 TTL=119 ID=3004 DF PROTO=TCP SPT=63976 DPT=80 WINDOW=8192 RES=0x00 SYN URGP=0
Jun  4 14:43:09 host user.warn kernel: PORT FORWARDING:IN=eth1 OUT=eth0 SRC=IPEXT.IPEXT.IPEXT.IPEXT  DST=192.168.#.##  LEN=52 TOS=0x00 PREC=0x00 TTL=119 ID=3021 DF PROTO=TCP SPT=20482 DPT=80 WINDOW=8192 RES=0x00 SYN URGP=0
Jun  4 14:43:16 host user.warn kernel: PORT FORWARDING:IN=eth1 OUT=eth0 SRC=IPEXT.IPEXT.IPEXT.IPEXT  DST=192.168.#.##  LEN=52 TOS=0x00 PREC=0x00 TTL=119 ID=13906 DF PROTO=TCP SPT=33411 DPT=80 WINDOW=8192 RES=0x00 SYN URGP=0
Jun  4 14:43:16 host user.warn kernel: PORT FORWARDING:IN=eth1 OUT=eth0 SRC=IPEXT.IPEXT.IPEXT.IPEXT  DST=192.168.#.##  LEN=52 TOS=0x00 PREC=0x00 TTL=119 ID=13907 DF PROTO=TCP SPT=57850 DPT=80 WINDOW=8192 RES=0x00 SYN URGP=0
Jun  4 14:44:31 host user.warn kernel: PORT FORWARDING:IN=eth1 OUT=eth0 SRC=IPEXT.IPEXT.IPEXT.IPEXT  DST=192.168.#.##  LEN=52 TOS=0x00 PREC=0x00 TTL=119 ID=14140 DF PROTO=TCP SPT=38078 DPT=80 WINDOW=8192 RES=0x00 SYN URGP=0
Jun  4 14:45:58 host user.warn kernel: PORT FORWARDING:IN=eth1 OUT=eth0 SRC=IPEXT.IPEXT.IPEXT.IPEXT  DST=192.168.#.##  LEN=52 TOS=0x00 PREC=0x00 TTL=119 ID=27193 DF PROTO=TCP SPT=65459 DPT=80 WINDOW=8192 RES=0x00 SYN URGP=0
Jun  4 14:46:14 host user.warn kernel: PORT FORWARDING:IN=eth1 OUT=eth0 SRC=IPEXT.IPEXT.IPEXT.IPEXT  DST=192.168.#.##  LEN=48 TOS=0x00 PREC=0x00 TTL=119 ID=45922 DF PROTO=TCP SPT=19201 DPT=80 WINDOW=65535 RES=0x00 SYN URGP=0
Jun  4 14:46:37 host user.warn kernel: PORT FORWARDING:IN=eth1 OUT=eth0 SRC=IPEXT.IPEXT.IPEXT.IPEXT  DST=192.168.#.##  LEN=52 TOS=0x00 PREC=0x00 TTL=52 ID=9534 DF PROTO=TCP SPT=60343 DPT=80 WINDOW=8192 RES=0x00 SYN URGP=0
Jun  4 14:47:01 host user.warn kernel: PORT FORWARDING:IN=eth1 OUT=eth0 SRC=IPEXT.IPEXT.IPEXT.IPEXT  DST=192.168.#.##  LEN=60 TOS=0x00 PREC=0x00 TTL=50 ID=14172 DF PROTO=TCP SPT=52205 DPT=80 WINDOW=5840 RES=0x00 SYN URGP=0
Jun  4 14:47:03 host user.warn kernel: PORT FORWARDING:IN=eth1 OUT=eth0 SRC=IPEXT.IPEXT.IPEXT.IPEXT  DST=192.168.#.##  LEN=52 TOS=0x00 PREC=0x00 TTL=119 ID=27869 DF PROTO=TCP SPT=33980 DPT=80 WINDOW=8192 RES=0x00 SYN URGP=0
Jun  4 14:47:03 host user.warn kernel: PORT FORWARDING:IN=eth1 OUT=eth0 SRC=IPEXT.IPEXT.IPEXT.IPEXT  DST=192.168.#.##  LEN=52 TOS=0x00 PREC=0x00 TTL=119 ID=27872 DF PROTO=TCP SPT=3942 DPT=80 WINDOW=8192 RES=0x00 SYN URGP=0
Jun  4 14:48:30 host user.warn kernel: PORT FORWARDING:IN=eth1 OUT=eth0 SRC=IPEXT.IPEXT.IPEXT.IPEXT  DST=192.168.#.##  LEN=48 TOS=0x00 PREC=0x00 TTL=119 ID=46174 DF PROTO=TCP SPT=25621 DPT=80 WINDOW=65535 RES=0x00 SYN URGP=0
Jun  4 14:49:03 host user.warn kernel: PORT FORWARDING:IN=eth1 OUT=eth0 SRC=IPEXT.IPEXT.IPEXT.IPEXT  DST=192.168.#.##  LEN=40 TOS=0x00 PREC=0x00 TTL=119 ID=28484 DF PROTO=TCP SPT=3942 DPT=80 WINDOW=0 RES=0x00 ACK RST URGP=0
Jun  4 14:49:03 host user.warn kernel: PORT FORWARDING:IN=eth1 OUT=eth0 SRC=IPEXT.IPEXT.IPEXT.IPEXT  DST=192.168.#.##  LEN=40 TOS=0x00 PREC=0x00 TTL=119 ID=28485 DF PROTO=TCP SPT=33980 DPT=80 WINDOW=0 RES=0x00 ACK RST URGP=0
Jun  4 14:50:43 host user.warn kernel: PORT FORWARDING:IN=eth1 OUT=eth0 SRC=IPEXT.IPEXT.IPEXT.IPEXT DST=192.168.?.??  LEN=40 TOS=0x00 PREC=0x00 TTL=246 ID=43 PROTO=TCP SPT=64269 DPT=21 WINDOW=63223 RES=0x00 ACK FIN URGP=0
Jun  4 14:50:43 host user.warn kernel: PORT FORWARDING:IN=eth1 OUT=eth0 SRC=IPEXT.IPEXT.IPEXT.IPEXT DST=192.168.?.??  LEN=40 TOS=0x00 PREC=0x00 TTL=246 ID=44 PROTO=TCP SPT=64269 DPT=21 WINDOW=63223 RES=0x00 ACK FIN URGP=0
Jun  4 14:54:53 host user.warn kernel: PORT FORWARDING:IN=eth1 OUT=eth0 SRC=IPEXT.IPEXT.IPEXT.IPEXT  DST=192.168.#.##  LEN=64 TOS=0x00 PREC=0x00 TTL=55 ID=6671 DF PROTO=TCP SPT=50566 DPT=80 WINDOW=65535 RES=0x00 SYN URGP=0
Jun  4 14:54:57 host user.warn kernel: PORT FORWARDING:IN=eth1 OUT=eth0 SRC=IPEXT.IPEXT.IPEXT.IPEXT  DST=192.168.#.##  LEN=60 TOS=0x00 PREC=0x00 TTL=52 ID=31083 PROTO=TCP SPT=52119 DPT=80 WINDOW=5840 RES=0x00 SYN URGP=0
Jun  4 14:55:31 host user.warn kernel: PORT FORWARDING:IN=eth1 OUT=eth0 SRC=IPEXT.IPEXT.IPEXT.IPEXT  DST=192.168.#.##  LEN=64 TOS=0x00 PREC=0x00 TTL=55 ID=56022 DF PROTO=TCP SPT=50579 DPT=80 WINDOW=65535 RES=0x00 SYN URGP=0
Jun  4 14:57:03 host user.warn kernel: PORT FORWARDING:IN=eth1 OUT=eth0 SRC=IPEXT.IPEXT.IPEXT.IPEXT  DST=192.168.#.##  LEN=52 TOS=0x00 PREC=0x00 TTL=119 ID=24753 DF PROTO=TCP SPT=63603 DPT=80 WINDOW=8192 RES=0x00 SYN URGP=0
Jun  4 14:57:37 host user.warn kernel: PORT FORWARDING:IN=eth1 OUT=eth0 SRC=IPEXT.IPEXT.IPEXT.IPEXT  DST=192.168.#.##  LEN=52 TOS=0x00 PREC=0x00 TTL=52 ID=875 DF PROTO=TCP SPT=65532 DPT=80 WINDOW=8192 RES=0x00 SYN URGP=0
Jun  4 15:00:38 host user.warn kernel: PORT FORWARDING:IN=eth1 OUT=eth0 SRC=IPEXT.IPEXT.IPEXT.IPEXT  DST=192.168.#.##  LEN=52 TOS=0x00 PREC=0x00 TTL=51 ID=25285 DF PROTO=TCP SPT=56503 DPT=80 WINDOW=8192 RES=0x00 SYN URGP=0
Jun  4 15:01:01 host user.warn kernel: PORT FORWARDING:IN=eth1 OUT=eth0 SRC=IPEXT.IPEXT.IPEXT.IPEXT  DST=192.168.#.##  LEN=60 TOS=0x00 PREC=0x00 TTL=52 ID=33002 DF PROTO=TCP SPT=48372 DPT=80 WINDOW=14600 RES=0x00 SYN URGP=0
Jun  4 15:01:10 host user.warn kernel: PORT FORWARDING:IN=eth1 OUT=eth0 SRC=IPEXT.IPEXT.IPEXT.IPEXT  DST=192.168.#.##  LEN=52 TOS=0x00 PREC=0x00 TTL=119 ID=26545 DF PROTO=TCP SPT=50449 DPT=80 WINDOW=8192 RES=0x00 SYN URGP=0
Jun  4 15:01:23 host user.warn kernel: PORT FORWARDING:IN=eth1 OUT=eth0 SRC=IPEXT.IPEXT.IPEXT.IPEXT  DST=192.168.#.##  LEN=60 TOS=0x00 PREC=0x00 TTL=55 ID=32567 DF PROTO=TCP SPT=45959 DPT=80 WINDOW=14600 RES=0x00 SYN URGP=0
Jun  4 15:02:10 host user.warn kernel: PORT FORWARDING:IN=eth1 OUT=eth0 SRC=IPEXT.IPEXT.IPEXT.IPEXT  DST=192.168.#.##  LEN=64 TOS=0x00 PREC=0x00 TTL=55 ID=57311 DF PROTO=TCP SPT=50602 DPT=80 WINDOW=65535 RES=0x00 SYN URGP=0
Jun  4 15:04:34 host user.warn kernel: PORT FORWARDING:IN=eth1 OUT=eth0 SRC=IPEXT.IPEXT.IPEXT.IPEXT  DST=192.168.#.##  LEN=56 TOS=0x00 PREC=0x00 TTL=59 ID=8981 DF PROTO=TCP SPT=23065 DPT=80 WINDOW=14600 RES=0x00 SYN URGP=0
Jun  4 15:06:00 host user.warn kernel: PORT FORWARDING:IN=eth1 OUT=eth0 SRC=IPEXT.IPEXT.IPEXT.IPEXT  DST=192.168.#.##  LEN=48 TOS=0x00 PREC=0x00 TTL=119 ID=51439 DF PROTO=TCP SPT=62337 DPT=80 WINDOW=65535 RES=0x00 SYN URGP=0
Jun  4 15:07:47 host user.warn kernel: PORT FORWARDING:IN=eth1 OUT=eth0 SRC=IPEXT.IPEXT.IPEXT.IPEXT  DST=192.168.#.##  LEN=52 TOS=0x00 PREC=0x00 TTL=51 ID=27928 DF PROTO=TCP SPT=51884 DPT=80 WINDOW=8192 RES=0x00 SYN URGP=0
Jun  4 15:08:43 host user.warn kernel: PORT FORWARDING:IN=eth1 OUT=eth0 SRC=IPEXT.IPEXT.IPEXT.IPEXT  DST=192.168.#.##  LEN=60 TOS=0x00 PREC=0x00 TTL=59 ID=8942 DF PROTO=TCP SPT=43867 DPT=80 WINDOW=5840 RES=0x00 SYN URGP=0
Jun  4 15:09:30 host user.warn kernel: PORT FORWARDING:IN=eth1 OUT=eth0 SRC=IPEXT.IPEXT.IPEXT.IPEXT  DST=192.168.#.##  LEN=52 TOS=0x00 PREC=0x00 TTL=117 ID=5508 DF PROTO=TCP SPT=49302 DPT=80 WINDOW=8192 RES=0x00 SYN URGP=0
Jun  4 15:11:52 host user.warn kernel: PORT FORWARDING:IN=eth1 OUT=eth0 SRC=IPEXT.IPEXT.IPEXT.IPEXT  DST=192.168.#.##  LEN=48 TOS=0x00 PREC=0x00 TTL=119 ID=51717 DF PROTO=TCP SPT=42834 DPT=80 WINDOW=65535 RES=0x00 SYN URGP=0
Jun  4 15:14:40 host user.warn kernel: PORT FORWARDING:IN=eth1 OUT=eth0 SRC=IPEXT.IPEXT.IPEXT.IPEXT  DST=192.168.#.##  LEN=48 TOS=0x00 PREC=0x00 TTL=117 ID=42507 DF PROTO=TCP SPT=22748 DPT=80 WINDOW=65535 RES=0x00 SYN URGP=0
Jun  4 15:14:40 host user.warn kernel: PORT FORWARDING:IN=eth1 OUT=eth0 SRC=IPEXT.IPEXT.IPEXT.IPEXT  DST=192.168.#.##  LEN=48 TOS=0x00 PREC=0x00 TTL=117 ID=42508 DF PROTO=TCP SPT=22749 DPT=80 WINDOW=65535 RES=0x00 SYN URGP=0
Jun  4 15:17:10 host user.warn kernel: PORT FORWARDING:IN=eth1 OUT=eth0 SRC=IPEXT.IPEXT.IPEXT.IPEXT  DST=192.168.#.##  LEN=52 TOS=0x00 PREC=0x00 TTL=114 ID=27913 DF PROTO=TCP SPT=64999 DPT=80 WINDOW=8192 RES=0x00 SYN URGP=0
Jun  4 15:17:10 host user.warn kernel: PORT FORWARDING:IN=eth1 OUT=eth0 SRC=IPEXT.IPEXT.IPEXT.IPEXT  DST=192.168.#.##  LEN=52 TOS=0x00 PREC=0x00 TTL=114 ID=27916 DF PROTO=TCP SPT=65000 DPT=80 WINDOW=8192 RES=0x00 SYN URGP=0
Jun  4 15:21:09 host daemon.info thttpd[26664]: up 3605 seconds, stats for 3605 seconds:
Jun  4 15:21:09 host daemon.info thttpd[26664]:   thttpd - 0 connections (0/sec), 0 max simultaneous, 0 bytes (0/sec), 0 httpd_conns allocated
Jun  4 15:21:09 host daemon.info thttpd[26664]:   map cache - 0 allocated, 0 active (0 bytes), 0 free; hash size: 0; expire age: 1800
Jun  4 15:21:09 host daemon.info thttpd[26664]:   fdwatch - 730 polls (0.202497/sec)
Jun  4 15:21:09 host daemon.info thttpd[26664]:   timers - 3 allocated, 3 active, 0 free
Jun  4 15:21:21 host daemon.info thttpd[27451]: up 3605 seconds, stats for 3605 seconds:
Jun  4 15:21:21 host daemon.info thttpd[27451]:   thttpd - 0 connections (0/sec), 0 max simultaneous, 0 bytes (0/sec), 0 httpd_conns allocated
Jun  4 15:21:21 host daemon.info thttpd[27451]:   map cache - 0 allocated, 0 active (0 bytes), 0 free; hash size: 0; expire age: 1800
Jun  4 15:21:21 host daemon.info thttpd[27451]:   fdwatch - 730 polls (0.202497/sec)
Jun  4 15:21:21 host daemon.info thttpd[27451]:   timers - 3 allocated, 3 active, 0 free
Jun  4 15:24:22 host user.warn kernel: PORT FORWARDING:IN=eth1 OUT=eth0 SRC=IPEXT.IPEXT.IPEXT.IPEXT  DST=192.168.#.##  LEN=48 TOS=0x00 PREC=0x00 TTL=119 ID=52576 DF PROTO=TCP SPT=48949 DPT=80 WINDOW=65535 RES=0x00 SYN URGP=0
Jun  4 15:31:25 host user.warn kernel: PORT FORWARDING:IN=eth1 OUT=eth0 SRC=IPEXT.IPEXT.IPEXT.IPEXT  DST=192.168.#.##  LEN=60 TOS=0x00 PREC=0x00 TTL=51 ID=5376 DF PROTO=TCP SPT=43556 DPT=80 WINDOW=5840 RES=0x00 SYN URGP=0
Jun  4 15:32:43 host user.warn kernel: PORT FORWARDING:IN=eth1 OUT=eth0 SRC=IPEXT.IPEXT.IPEXT.IPEXT  DST=192.168.#.##  LEN=48 TOS=0x02 PREC=0x00 TTL=112 ID=23963 DF PROTO=TCP SPT=50253 DPT=80 WINDOW=8192 RES=0x00 CWR ECE SYN URGP=0
Jun  4 15:33:38 host user.warn kernel: PORT FORWARDING:IN=eth1 OUT=eth0 SRC=IPEXT.IPEXT.IPEXT.IPEXT  DST=192.168.#.##  LEN=48 TOS=0x02 PREC=0x00 TTL=112 ID=24081 DF PROTO=TCP SPT=32933 DPT=80 WINDOW=8192 RES=0x00 CWR ECE SYN URGP=0
Jun  4 15:42:25 host user.warn kernel: PORT FORWARDING:IN=eth1 OUT=eth0 SRC=IPEXT.IPEXT.IPEXT.IPEXT  DST=192.168.#.##  LEN=52 TOS=0x00 PREC=0x00 TTL=112 ID=8375 DF PROTO=TCP SPT=60663 DPT=80 WINDOW=32768 RES=0x00 SYN URGP=0
Jun  4 15:42:25 host user.warn kernel: PORT FORWARDING:IN=eth1 OUT=eth0 SRC=IPEXT.IPEXT.IPEXT.IPEXT  DST=192.168.#.##  LEN=52 TOS=0x00 PREC=0x00 TTL=112 ID=8399 DF PROTO=TCP SPT=60666 DPT=80 WINDOW=32768 RES=0x00 SYN URGP=0
Jun  4 15:42:28 host authpriv.info dropbear[8985]: Child connection from IPEXT.IPEXT.IPEXT.IPEXT :1501
Jun  4 15:42:34 host authpriv.notice dropbear[8985]: password auth succeeded for 'root' from IPEXT.IPEXT.IPEXT.IPEXT :1501
Jun  4 15:43:24 host user.warn kernel: PORT FORWARDING:IN=eth1 OUT=eth0 SRC=IPEXT.IPEXT.IPEXT.IPEXT  DST=192.168.#.##  LEN=48 TOS=0x00 PREC=0x00 TTL=117 ID=4550 DF PROTO=TCP SPT=1126 DPT=80 WINDOW=16384 RES=0x00 SYN URGP=0
Jun  4 15:45:37 host user.warn kernel: PORT FORWARDING:IN=eth1 OUT=eth0 SRC=IPEXT.IPEXT.IPEXT.IPEXT  DST=192.168.#.##  LEN=48 TOS=0x00 PREC=0x00 TTL=119 ID=57355 DF PROTO=TCP SPT=32371 DPT=80 WINDOW=65535 RES=0x00 SYN URGP=0
Jun  4 15:46:48 host user.warn kernel: PORT FORWARDING:IN=eth1 OUT=eth0 SRC=IPEXT.IPEXT.IPEXT.IPEXT  DST=192.168.#.##  LEN=52 TOS=0x00 PREC=0x00 TTL=53 ID=12376 DF PROTO=TCP SPT=56617 DPT=80 WINDOW=8192 RES=0x00 SYN URGP=0
Jun  4 15:47:39 host user.warn kernel: PORT FORWARDING:IN=eth1 OUT=eth0 SRC=IPEXT.IPEXT.IPEXT.IPEXT  DST=192.168.#.##  LEN=52 TOS=0x00 PREC=0x00 TTL=119 ID=28226 DF PROTO=TCP SPT=20613 DPT=80 WINDOW=8192 RES=0x00 SYN URGP=0
Jun  4 15:47:39 host user.warn kernel: PORT FORWARDING:IN=eth1 OUT=eth0 SRC=IPEXT.IPEXT.IPEXT.IPEXT  DST=192.168.#.##  LEN=52 TOS=0x00 PREC=0x00 TTL=119 ID=28227 DF PROTO=TCP SPT=30183 DPT=80 WINDOW=8192 RES=0x00 SYN URGP=0
Jun  4 15:48:09 host user.warn kernel: PORT FORWARDING:IN=eth1 OUT=eth0 SRC=IPEXT.IPEXT.IPEXT.IPEXT  DST=192.168.#.##  LEN=52 TOS=0x00 PREC=0x00 TTL=112 ID=12327 DF PROTO=TCP SPT=61252 DPT=80 WINDOW=32768 RES=0x00 SYN URGP=0
Jun  4 15:48:09 host user.warn kernel: PORT FORWARDING:IN=eth1 OUT=eth0 SRC=IPEXT.IPEXT.IPEXT.IPEXT  DST=192.168.#.##  LEN=52 TOS=0x00 PREC=0x00 TTL=112 ID=12347 DF PROTO=TCP SPT=61253 DPT=80 WINDOW=32768 RES=0x00 SYN URGP=0
Jun  4 15:48:23 host user.warn kernel: PORT FORWARDING:IN=eth1 OUT=eth0 SRC=IPEXT.IPEXT.IPEXT.IPEXT  DST=192.168.#.##  LEN=52 TOS=0x00 PREC=0x00 TTL=119 ID=28276 DF PROTO=TCP SPT=13052 DPT=80 WINDOW=8192 RES=0x00 SYN URGP=0
Jun  4 15:48:23 host user.warn kernel: PORT FORWARDING:IN=eth1 OUT=eth0 SRC=IPEXT.IPEXT.IPEXT.IPEXT  DST=192.168.#.##  LEN=52 TOS=0x00 PREC=0x00 TTL=119 ID=28279 DF PROTO=TCP SPT=45513 DPT=80 WINDOW=8192 RES=0x00 SYN URGP=0
Jun  4 15:49:19 host user.warn kernel: PORT FORWARDING:IN=eth1 OUT=eth0 SRC=IPEXT.IPEXT.IPEXT.IPEXT  DST=192.168.#.##  LEN=52 TOS=0x00 PREC=0x00 TTL=53 ID=12953 DF PROTO=TCP SPT=59799 DPT=80 WINDOW=8192 RES=0x00 SYN URGP=0
Jun  4 15:49:24 host user.warn kernel: PORT FORWARDING:IN=eth1 OUT=eth0 SRC=IPEXT.IPEXT.IPEXT.IPEXT  DST=192.168.#.##  LEN=48 TOS=0x00 PREC=0x00 TTL=117 ID=9925 DF PROTO=TCP SPT=1170 DPT=80 WINDOW=16384 RES=0x00 SYN URGP=0



Obrigado.
fabio
 

Re: Bloquear dns recursivo aberto

Mensagempor Paulo2 » Ter Jun 04, 2013 10:00 pm

fabio escreveu:Outra informação é que tenho instalado o add-on dnscache.tgz ( dns cache )

Fez a otimização "até a tampa" do coidiloco? http://www.brazilfw.com.br/forum/viewtopic.php?f=90&t=70231
Parece uma otimização interessante pra quem usa o DNSCache.
Pesquise sobre o addon no fórum, não tenho conhecimento dele pois não uso.


No log não tem acesso na porta 53, só na 80 (server http na rede interna? ou no BFW?) 21 e 5901.
Veja nas mensagens "BLOCKED CONNECTION" se tem alguma com destino na porta 53.
Esse log, se não foi vc, é preocupante :shock: log remoto como root.
Código: Selecionar todos
Jun  4 15:42:28 host authpriv.info dropbear[8985]: Child connection from IPEXT.IPEXT.IPEXT.IPEXT :1501
Jun  4 15:42:34 host authpriv.notice dropbear[8985]: password auth succeeded for 'root' from IPEXT.IPEXT.IPEXT.IPEXT :1501
Pesquise o fórum.
As chances de sua dúvida já ter sido respondida são de 93,57%

Cooperação com os moderadores é indispensável,
eles trabalham para manter o bom funcionamento do fórum.
Por favor, leia as regras do Forum.
Resolveu, então encerre corretamente seu tópico.
Avatar do usuário
Paulo2
BFW Team
BFW Beneméritos
 
Mensagens: 721
Registrado em: Qui Set 21, 2006 1:57 am
BrazilFW Box: Máquina: Física
CPU: Pentium 233
Memória: 128MiB / 1 Link
BFW 2.32.2
Serviços Ativos: bandwidthd, thttpd, crond
pure-ftpd, logread, squid, bwmon, upnpd
Addons: bandwidthd, edited-root, iptraf
libcrypto, libgd, libiconv, libmagic, libpng
lynx, msmtp, nmap-lib, nmap, pure-ftpd
squid, tcpdump, upnp

Re: Bloquear dns recursivo aberto

Mensagempor fabio » Sex Jun 07, 2013 8:30 am

Quanto ao dns cache, tranquilo funciona ok.

Sobre os acessos as portas 80, 21 e 5901 são acessos aos serviços da rede, está ok.

Os acessos como "root" também sou eu, tudo ok.

Fiz um teste e analisei o log de Ferramentas de Diagnóstico > 1. Ler o Log do Sistema e percebi que ele não registra os acessos a porta 53 udp/tcp, por isso não aparece no log pelo que pude analisar.

Ainda estou com esse problema, estou conseguindo acessar a porta 53 udp/tcp(dns) de fora da rede interna, qualquer ajuda é bem-vinda.

Obrigado!
fabio
 

Re: Bloquear dns recursivo aberto  [RESOLVIDO]

Mensagempor fabio » Sáb Jul 06, 2013 6:07 pm

Depois de estudar um pouco o problema consegui resolver adicionando as regras abaixo em Configuração Avançada do Firewall > Editar Regras Personalizadas

IPEXT = IP Externo ( Seu IP Externo )

Código: Selecionar todos
iptables -t filter -I INPUT -p udp --dport 53 -s 0/0 -d IPEXT.IPEXT.IPEXT.IPEXT -j DROP
iptables -t filter -I INPUT -p tcp --dport 53 -s 0/0 -d IPEXT.IPEXT.IPEXT.IPEXT -j DROP
iptables -t filter -A INPUT -p udp --dport 53 -s 192.168.X.X/24 -j ACCEPT
iptables -t filter -A INPUT -p udp --dport 53 -s IPEXT.IPEXT.IPEXT.IPEXT -j ACCEPT


Obrigado a todos!
fabio
 


Voltar para BrazilFW 2.x - Ajuda em Geral (Todas as Línguas)

Quem está online

Usuários navegando neste fórum: Google [Bot] e 5 visitantes