53端口被运营商警告了,请专家解惑
今天收到电信公司的警告函件通知,内容如下:特此通知:
1、省管局核查到贵单位53端口有违规递归解析,需要贵单位立即关闭递归(就是看用户53端口上跑什么业务,是否在做递归解析,有递归业务需要停止解析功能,53UDP=权威+递归,关要关递归!如果用户不处理我们关闭的是局端,两个都关掉了);
2、通管局同时下发了企业互联网接入服务市场诚信体系建设计分标准,不主动关闭会直接扣分;
3、如果贵单位不知道如何关闭,我们可以协助在局端关闭53端口,尽量请用户自行关闭;
4、如果贵单位不关闭,后期通管局扫描到,还会强制关闭。
请问这个是什么意思?我不知道我们专线上有什么业务用到53端口,就一条专线连接互联网用来上网用,内网也没有什么违规的业务在跑啊,请问专家,如何自己检查或者处理? 一般默认53跑dns解析的,你们没请相关管理人员处理网络上的问题?建议弄一下咯,网络安全问题 直接在输入端把53端口丢弃掉
add action=drop chain=input dst-port=53 in-interface=pppoe-ADSL protocol=tcp
add action=drop chain=input dst-port=53 in-interface=pppoe-ADSL protocol=udp
53是DNS,域名解析,正常肯定不允许私人或企业做这个。 本帖最后由 CaoQiang 于 2024-11-5 19:18 编辑
huangegg33 发表于 2024-11-5 19:04
一般默认53跑dns解析的,你们没请相关管理人员处理网络上的问题?建议弄一下咯,网络安全问题 ...
你好,想请教下,这个dns解析和网络安全问题具体指什么?关键我们一直就是这条专线,内网也没有网站服务器,纯粹就是上网使用,今天就收到运营商的警告了,很奇怪 lsy174915864 发表于 2024-11-5 19:07
53是DNS,域名解析,正常肯定不允许私人或企业做这个。
我们没有做类似的操作啊,很清白的就使用一条专线上外网而已 本帖最后由 CaoQiang 于 2024-11-5 19:17 编辑
rx_78gp02a 发表于 2024-11-5 19:05
直接在输入端把53端口丢弃掉
add action=drop chain=input dst-port=53 in-interface=pppoe-ADSL protocol= ...
你好,你这个操作在哪里弄?我们专线的猫出来接的就是一台H3C的MER8300路由器,路由器下面是AC和POE交换机接的AP,头大,不知道该怎么处理 CaoQiang 发表于 2024-11-5 19:07
你好,想请教下,这个dns解析和网络安全问题具体指什么?关键我们一直就是这条专线,内网也没有网站服务 ...
去防火墙上把53端口的映射去掉 masterluke 发表于 2024-11-5 19:11
去防火墙上把53端口的映射去掉
我进路由器看了,这个被警告的专线IP就接了台路由器,路由器里面没有设置任何端口映射,更没有什么53端口映射 CaoQiang 发表于 2024-11-5 19:11
你好,你这个操作在哪里弄?我们专线的猫出来接的就是一台H3C的MER8300路由器,路由器下面是AC和POE交换 ...
可能是路由应答了来自WAN的53请求,需要在防火墙(如果有的话)或者路由上面做丢弃处理。
虽然这个概率很低,但是还是有少量的数据。
CaoQiang 发表于 2024-11-5 19:07
你好,想请教下,这个dns解析和网络安全问题具体指什么?关键我们一直就是这条专线,内网也没有网站服务 ...
哥,建议您请相关人士帮你设定好相关要求,被扫53了,肯定还有别的端口都会被扫的,按理要有防火墙去阻挡相关问题,还是安全第一啦 rx_78gp02a 发表于 2024-11-5 19:17
可能是路由应答了来自WAN的53请求,需要在防火墙(如果有的话)或者路由上面做丢弃处理。
虽然这个概率很 ...
这......
这就触及到..
我的知识盲区了[傻笑] 那你就把53的服务转走啊[震惊] 如果你没映射任何内网53端口或者DMZ内网机器的话,那就是路由器本身开了53端口,telnet 测试一下即可。我司这边之前是TP的老路由器,路由本身开了DNS代理服务,被电信扫描到并通知我司整改,我这边回复是路由器的DNS服务也没有进行递归解析,也马上即将更换新路由器。后来换成H3C ER5200 G3,没有发现DNS这些选项,遂完结。这个行动是部里面的通知,各运营商在严格执行,我也算是行内人 需要解析自有域名的只开权威解析就行了,不要开递归解析功能。
需要递归解析的,去通管局申请资质,然后和信通院对接,还要上一套几万的管理系统…… 直接联系对方,让他们把53关掉就行了.一般也用不到.
现在专线默认都是443,80都关了,要开得去申请. CaoQiang 发表于 2024-11-5 19:17
我进路由器看了,这个被警告的专线IP就接了台路由器,路由器里面没有设置任何端口映射,更没有什么53端口 ...
你这截图里面 NAT ALG - 启用 DNS 看起来就是原因。 CaoQiang 发表于 2024-11-5 19:17
我进路由器看了,这个被警告的专线IP就接了台路由器,路由器里面没有设置任何端口映射,更没有什么53端口 ...
不是启用DNS勾选了吗? 让运营商给你53关了吧,反正也是要资质的,一般单位用不上 你对wan口开放53端口了 我估计你做了一对一nat,关了就好 就是防火墙配置有问题,应该是检查防火墙DNS相关的设置,内网的DNS报文通过53端口出去了,导致被扫描到了
最简单就是让运营商禁止完事 TWSzzz 发表于 2024-11-5 21:24
就是防火墙配置有问题,应该是检查防火墙DNS相关的设置,内网的DNS报文通过53端口出去了,导致被扫描到了
...
看楼主9楼截图,是路由器开启了DNS服务所致,可能还是默认开启的 CaoQiang 发表于 2024-11-5 19:17
我进路由器看了,这个被警告的专线IP就接了台路由器,路由器里面没有设置任何端口映射,更没有什么53端口 ...
你这图上不是启用了dns吗 nn1122 发表于 2024-11-5 21:27
看楼主9楼截图,是路由器开启了DNS服务所致,可能还是默认开启的
我进路由器先把这个DNS给关了,看看会不会再找我[偷笑] MER8300是企业级产品,可以找新华三的企业客服咨询。路由器登录页面上有400号。 CaoQiang 发表于 2024-11-5 19:17
我进路由器看了,这个被警告的专线IP就接了台路由器,路由器里面没有设置任何端口映射,更没有什么53端口 ...
你这里 NAT ALG 里面开启了DNS,所以路由器对外响应了53端口,也就是DNS的端口 楼上几层提到的NAT ALG 里的DNS 貌似不是对外开放DNS服务的意思吧...
看下来是帮助更好的处理内网客户端对外部DNS服务的请求与连接 Mufasa 发表于 2024-11-5 23:49
你这里 NAT ALG 里面开启了DNS,所以路由器对外响应了53端口,也就是DNS的端口 ...
今天又收到几个外地的分公司反映的,都收到运营商的通知了,发现一个规律,就是这些被通知的公司,出口设备都是H3C的MER系列企业路由器,我今天把几家的路由器都远程关闭了NAT ALG里面的启用DNS,再观察下,其他用H3C GR和ER系列路由器的都没有这个问题 3、如果贵单位不知道如何关闭,我们可以协助在局端关闭53端口,尽量请用户自行关闭
那就让他们关掉不就行了,自己没有需求的情况下,费这个劲了解了干什么
页:
[1]
2