1 Temat przez Bung

  • Bung
  • Użytkownik
  • Nieaktywny
  • Zarejestrowany: 2010-10-24
  • Posty: 47

Temat: Czy "Wymuszaj używanie routera jako serwera DNS" otwiera 53 na świat?

Dla jaj przeleciałem nmapem mój publiczny IP i wyszło, że wystawiam na świat DNS:

# nmap -sS -n -P0 -g 88 -A <moj.publiczny.ip>

Starting Nmap 6.47 ( http://nmap.org ) at 2015-01-11 18:30 CET
Nmap scan report for <moj.publiczny.ip>
Host is up (0.0029s latency).
Not shown: 999 filtered ports
PORT   STATE SERVICE VERSION
53/tcp open  domain  dnsmasq 2.66
| dns-nsid: 
|_  bind.version: dnsmasq-2.66
Warning: OSScan results may be unreliable because we could not find at least 1 open and 1 closed port
Device type: general purpose|broadband router
Running: Linux 2.6.X|3.X
OS CPE: cpe:/o:linux:linux_kernel:2.6 cpe:/o:linux:linux_kernel:3
OS details: Linux 2.6.32 - 3.10, OpenWrt Attitude Adjustment 12.09 - Barrier Breaker (Linux 3.8)
Network Distance: 1 hop

TRACEROUTE (using port 53/tcp)
HOP RTT     ADDRESS
1   4.32 ms <moj.publiczny.ip>

OS and Service detection performed. Please report any incorrect results at http://nmap.org/submit/ .
Nmap done: 1 IP address (1 host up) scanned in 23.68 seconds

Czy to aby normalne i czy port widzę otwarty tylko dlatego, że skan puściłem z sieci, której bramą jest ten sam ruter, który skanuję?

Ma to w każdym razie związek z włączoną opcją "Wymuszaj używanie routera jako serwera DNS". Po jej wyłączeniu ten sam skan zwraca wszystkie porty filtrowane:

# nmap -sS -n -P0 -g 88 -A <moj.publiczny.ip>

Starting Nmap 6.47 ( http://nmap.org ) at 2015-01-11 19:06 CET
Nmap scan report for <moj.publiczny.ip>
Host is up.
All 1000 scanned ports on <moj.publiczny.ip> are filtered
Too many fingerprints match this host to give specific OS details

TRACEROUTE (using proto 1/icmp)
HOP RTT     ADDRESS
1   1.97 ms 192.168.1.1
2   4.04 ms 192.168.0.1
3   ... 30

OS and Service detection performed. Please report any incorrect results at http://nmap.org/submit/ .
Nmap done: 1 IP address (1 host up) scanned in 220.49 seconds

Opcję "Wymuszaj używanie routera jako serwera DNS" miałem zaznaczoną, żeby klienty w mojej sieci używały ruter do rozwiązywania nazw. Po jej odznaczeniu nadal mam jedynie "nameserver 192.168.1.1" w /etc/resolv.conf klientów tak jak chciałem (używając NetworkManager "method=auto"). Co w takim razie dokladnie robi/ma robić ta opcja? Czy DNS otwarty na świat po jej włączeniu w OpenWrt nie jest bugiem?

2 Odpowiedź przez Cezary

  • Skąd: Warszawa
  • Zarejestrowany: 2006-02-25
  • Posty: 115,947

Odp: Czy "Wymuszaj używanie routera jako serwera DNS" otwiera 53 na świat?

Nie skanuj będąc w sieci lokalnej bo cię firewall przewala. Użyj innej sieci wan i dopiero.

Ta opcja przy pomocy regułki iptables przekierowuje wszystkie zapytania dns do routera, nie otwiera nic na firewallu.

Masz niepotrzebny router, uszkodzony czy nie - chętnie przygarnę go.

Cezary's Strona