[erledigt] Frage zu einer Firewallmeldung Port 53

[Hobbyfahrer]

Hallo,

komme mit nachfolgender Meldung nicht ganz klar. Habe schon gesucht aber keine passende bzw. erklärbare Anwort gefunden.

Die FW ist als DENY_ALL eingerichtet
DNS Regel ist erstellt

DENY_ALL Meldung:

Quelle: 192.168.100.101 (ist der 1721 Router)
Ziel: 192.168.100.10 (ist der Windows 2003 Server/DNS Server)
Protokoll: 17 (UDP)
Quell-Port: 57541
Ziel-Port 53


Was bedeutet das?



Danke

[Jirka]

Hallo Hobbyfahrer,

> Was bedeutet das?

Dass der 1721 eine DNS-Anfrage an den DNS-Server schickt?

Vielleicht will er die IP eines NTP-Servers wissen oder des Mailservers oder ähnliches...

Viele Grüße,
Jirka

[Hobbyfahrer]

Hallo Jirka,

danke für die Antwort.

Ich traue mich ja schon nicht mehr Nachzufrage ohne gleich wieder einen Nachricht von den Admins hier zu bekommen, dass ich zu viel Frage ohne die Suche zu benutzen (und ich habe gesucht).

Für mich stellt sich die Frage warum der 1721 eine solche Anfrage an den internen DNS Server stellt. Der 1721 kennt diesen doch garnicht!

Für die Clients ist der interne DNS Server eingetragen und im DNS Server ist der 1721 als DNS Server hinterlegt. Kommt daher diese DNS Anfrage?

Die FW greift doch nicht im selben IP Netz, wie mir hier erklärt wurde. Warum nun aber? Habe ich da etwas grundsätzliches falsch verstanden?

Was sollte ich tun, um diese Meldung (die im Minutentakt erscheint) zu beseitigen oder sollte ich sie vernachlässigen?

Habe eine Regel erstellt für diesen Fall aber die Meldungen kommen immer noch.

[ittk]

Hallo Hobbyfahrer,

also dien ADS-Srv ist DNS-Server, der alle Anfragen, die er selber nicht kennt an dem LANCOM forwardet. (Z.B. Keine Rekursion fuer diese Domaene verwenden aktivieren)

Somit erhält der LANCOM nun alle Anfragen die nicht in deinen angelegten Zonen beinhaltet sind. Ferner nutzt der ADS-DNS auch die Root-Zonen DNS-Server zur direkten DNS-Abfrage, wenn dies konfiguriert ist. Versuche das mal zu konfigurieren.

Wer darf denn aus dem lokalen Netz den DNS Dienst durch die LANCOM-Firewall nutzen? Ggf sind rekursive Anfragen im DNS bei dir konfiguriert.

[Jirka]

Hallo Hobbyfahrer,

> Für die Clients ist der interne DNS Server eingetragen und im DNS Server ist der 1721 als DNS Server hinterlegt. Kommt daher diese DNS Anfrage?

Ist die IP des internen DNS-Servers denn im LANCOM irgendwo eingetragen, damit sie den Clients per DHCP zugeordnet wird?

Viele Grüße,
Jirka

[Hobbyfahrer]

Hallo Jirka,

alle Clients haben feste IP Einträge. Es gibt zusätzlich einen kleinen DHCP Bereich und dort ist auch der Windows Server als DNS Server eingetragen. Das gilt auch für den VPN Einwahlbereich.

Leider verstehe ich die Antwort von Ittk nicht mal im Ansatz aber ich bin auch nur ein Hobbyanwender der es gerne verstehen würde.

Was Ittk schrieb ist schon richtig. Wenn der interne DNS Server nicht auflösen kann soll dieses der Lancom machen.

Was ich nicht verstehe ist aber, warum der Lancom in 5 Minutenabständen immer diese FW Meldung bringt. Was veranlasst den Lancom dazu immer nach 5 Minuten den internen DNS Server anzusprechen?

Desweiteren verstehe ich einfach nicht, warum die DENY Regel greift. Warum wird im selben IP Netz diese Verbindung überhaupt aktiv?

[backslash]

Hi Hobbyfahrer

Es gibt zusätzlich einen kleinen DHCP Bereich und dort ist auch der Windows Server als DNS Server eingetragen. Das gilt auch für den VPN Einwahlbereich.

also kennt der 1721 deinen Windows-DNS-Server... Er ist sogar als Default-Server eingetragen, an den der 1721 alle Anfragen weiterleitet, die er nicht selbst beantworten kann...

Wenn du in der Firewall eine Deny-All Strategie fährst, dann mußt du DNS explizit zulassen.

Gruß
Backslash

[Hobbyfahrer]

Hallo Backslash,

wie ich in meinem ersten Posting schrieb ist eine DNS Regel für das LAN laut Lancom Empfehlung (Script) vorhanden.

Unter TCP/IP ist unter Adressen als erster DNS Server der Windows-DNS Server eingtragen.



Date: 4/24/2007 16:48:05

The packet below

Src: 192.168.100.101:57541 {Lancom-1721-VPN} Dst: 192.168.100.10:53 {pdc-mmh} (UDP)


45 00 00 2d e6 26 00 00 40 11 4a d9 c0 a8 64 65 | E..-.&.. @.J...de
c0 a8 64 0a e0 c5 00 35 00 19 d1 fe 00 01 01 00 | ..d....5 ........
00 01 00 00 00 00 00 00 00 00 01 00 01 | ........ .....

matched this filter rule: DENY_ALL
and exceeded this limit: more than 0 kilobits transmitted or received on a connection during last second

because of this the actions below were performed:
reject
send SNMP trap
send email to administrator



Date: 4/24/2007 17:02:56

The packet below

Src: 192.168.100.101:57541 {Lancom-1721-VPN} Dst: 192.168.100.10:53 {pdc-mmh} (UDP)


45 00 00 2d e6 5e 00 00 40 11 4a a1 c0 a8 64 65 | E..-.^.. @.J...de
c0 a8 64 0a e0 c5 00 35 00 19 d1 fe 00 01 01 00 | ..d....5 ........
00 01 00 00 00 00 00 00 00 00 01 00 01 | ........ .....

matched this filter rule: DENY_ALL
and exceeded this limit: more than 0 kilobits transmitted or received on a connection during last second

because of this the actions below were performed:
reject
send SNMP trap
send email to administrator


..... so geht das die ganze Zeit



P.S. Habe auch den Lancom Support nun um Hilfen gebeten

[backslash]

Hi Hobbyfahrer

was sagen denn ein DNS und Firewall-Trace? Der Quellport 57541 sagt mir, daß es kein Request des LANCOMs ist, sondern ein weitergeleiteter Request.

Bist du sicher, daß du in der DNS-Regel alle möglichen Quellen (Intranet, DMZ, RAS-User, VPN-Strecken etc.) berücksichtigt hast?

Gruß
Backslash

[Hobbyfahrer]

Die DNS Regel hat als Quelle -Alle lokalen Stationen- eingetragen

VPN Standleitungen, DMZ und RAS gibt es nicht.

[Hobbyfahrer]

Um 18:32 war wieder so eine Meldung.

Hier der Trace:

[DNS] 2007/04/24 18:32:02,520
DNS Rx (LAN): Src-IP 192.168.100.6
Name Query: STD A for post.strato.de
Not found in local DNS database => forward to next server
NameQuery: Forward to locally configured DNS server


[Firewall] 2007/04/24 18:32:02,520
Packet matched rule ALLOW_DNS
DstIP: 192.168.100.101, SrcIP: 192.168.100.6, Len: 45, DSCP/TOS: 0x00
Prot.: UDP (17), DstPort: 53, SrcPort: 1131

test next filter (no matching condition)

[Firewall] 2007/04/24 18:32:02,520
Packet matched rule DENY_ALL
DstIP: 192.168.100.101, SrcIP: 192.168.100.6, Len: 45, DSCP/TOS: 0x00
Prot.: UDP (17), DstPort: 53, SrcPort: 1131

test next filter (no matching condition)

[Firewall] 2007/04/24 18:32:02,520
Packet matched rule DEFAULT (ACCEPT-ALL)
DstIP: 192.168.100.101, SrcIP: 192.168.100.6, Len: 45, DSCP/TOS: 0x00
Prot.: UDP (17), DstPort: 53, SrcPort: 1131

packet accepted

[DNS] 2007/04/24 18:32:02,530
DNS Rx (intern): Src-IP 192.168.100.101
Name Query: STD A for post.strato.de
Not found in local DNS database => forward to next server
NameQuery: Forward to locally configured DNS server


[DNS] 2007/04/24 18:32:02,670
DNS Rx (LAN): Src-IP 192.168.100.10
Name Response:
STD A for post.strato.de resolved to 192.67.198.62
STD A for post.strato.de resolved to 192.67.198.79
STD A for post.strato.de resolved to 192.67.198.2


[DNS] 2007/04/24 18:32:03,010
DNS Rx (intern): Src-IP 192.168.100.101
Name Query: STD A for post.strato.de
Not found in local DNS database => forward to next server
NameQuery: Forward to locally configured DNS server


[DNS] 2007/04/24 18:32:03,010
DNS Rx (LAN): Src-IP 192.168.100.10
Name Response:
STD A for post.strato.de resolved to 192.67.198.79
STD A for post.strato.de resolved to 192.67.198.2
STD A for post.strato.de resolved to 192.67.198.62


[DNS] 2007/04/24 18:32:05,490
DNS Rx (LAN): Src-IP 192.168.100.6
Name Query: STD A for post.strato.de
Not found in local DNS database => forward to next server
NameQuery: Forward to locally configured DNS server


[Firewall] 2007/04/24 18:32:05,490
Packet matched rule ALLOW_DNS
DstIP: 192.168.100.101, SrcIP: 192.168.100.6, Len: 45, DSCP/TOS: 0x00
Prot.: UDP (17), DstPort: 53, SrcPort: 1131

test next filter (no matching condition)

[Firewall] 2007/04/24 18:32:05,490
Packet matched rule DENY_ALL
DstIP: 192.168.100.101, SrcIP: 192.168.100.6, Len: 45, DSCP/TOS: 0x00
Prot.: UDP (17), DstPort: 53, SrcPort: 1131

test next filter (no matching condition)

[Firewall] 2007/04/24 18:32:05,490
Packet matched rule DEFAULT (ACCEPT-ALL)
DstIP: 192.168.100.101, SrcIP: 192.168.100.6, Len: 45, DSCP/TOS: 0x00
Prot.: UDP (17), DstPort: 53, SrcPort: 1131

packet accepted

[eddia]

Hallo Hobbyfahrer,

.... so geht das die ganze Zeit

passiert das auch, wenn kein VPN-Client verbunden ist? DNS-Anfragen von diesen gehen natürlich über den IP-Router (und damit auch durch die Firewall), auch wenn diese Clients scheinbar eine IP aus dem lokalen Netz besitzen. Der Lancom macht hier Proxy-ARP.

Könnte also sein, dass die Einstellung 'lokales Netz' in der Allow-Regel bewirkt, dass nur DNS-Anfragen vom LAN-Interface durchgelassen werden. Ändere die DNS-Regel doch mal auf das IP-Netz 192.168.100.0.

Gruß

Mario

[backslash]

Hi Hobbyfahrer

a) in deinem Trace werden doch alle DNS-Anfragen akzeptiert. Wichtig ist der Trace im Fehlerfall

b) "no matching condition" deutet auf bedingte Aktionen (wie "nur über Defaultroute") hin. Ohne die genauen Filter wird da wenig zu machen sein

Gruß
Backslash

[Hobbyfahrer]

VPN Verbindungen sind derzeit nicht aktiv und waren auch nicht aktiv.

Interessant ist allerdings, dass diese FW Meldung entweder alle 5 Minuten oder alle 15 Minuten kommt.

LanConfig hat um 18:32 wieder diese Meldunge gebracht und ich habe dann alles um 18:32 aus dem Trace kopiert. Der Trace ist der "Fehlerfall"

Die Umstellung der normalen DNS ALLOW Regel auf die Netzwerkadresse hat keine Änderung gebracht.

[Jirka]

Hallo Hobbyfahrer,

Backslash hat Recht, bei Deinem Trace fehlt noch was, höchstwahrscheinlich unmittelbar vor dem, was Du gepostet hast.
Und der Rechner mit der IP 192.168.100.6 hat den 192.168.100.10 als DNS-Server fest eingetragen?
Passiert das ganze auch, wenn der Rechner mit der IP 192.168.100.6 aus ist?

Viele Grüße,
Jirka