53端口被运营商警告了，请专家解惑

CaoQiang

今天收到电信公司的警告函件通知，内容如下：

特此通知：
1、省管局核查到贵单位53端口有违规递归解析，需要贵单位立即关闭递归（就是看用户53端口上跑什么业务，是否在做递归解析，有递归业务需要停止解析功能，53UDP=权威+递归，关要关递归！如果用户不处理我们关闭的是局端，两个都关掉了）；
2、通管局同时下发了企业互联网接入服务市场诚信体系建设计分标准，不主动关闭会直接扣分;
3、如果贵单位不知道如何关闭，我们可以协助在局端关闭53端口，尽量请用户自行关闭；
4、如果贵单位不关闭，后期通管局扫描到，还会强制关闭。

请问这个是什么意思？我不知道我们专线上有什么业务用到53端口，就一条专线连接互联网用来上网用，内网也没有什么违规的业务在跑啊，请问专家，如何自己检查或者处理？

huangegg33

一般默认53跑dns解析的，你们没请相关管理人员处理网络上的问题？建议弄一下咯，网络安全问题

rx_78gp02a

直接在输入端把53端口丢弃掉
add action=drop chain=input dst-port=53 in-interface=pppoe-ADSL protocol=tcp
add action=drop chain=input dst-port=53 in-interface=pppoe-ADSL protocol=udp

lsy174915864

53是DNS，域名解析，正常肯定不允许私人或企业做这个。

CaoQiang

huangegg33 发表于 2024-11-5 19:04
一般默认53跑dns解析的，你们没请相关管理人员处理网络上的问题？建议弄一下咯，网络安全问题 ...

你好，想请教下，这个dns解析和网络安全问题具体指什么？关键我们一直就是这条专线，内网也没有网站服务器，纯粹就是上网使用，今天就收到运营商的警告了，很奇怪

CaoQiang

lsy174915864 发表于 2024-11-5 19:07
53是DNS，域名解析，正常肯定不允许私人或企业做这个。

我们没有做类似的操作啊，很清白的就使用一条专线上外网而已

CaoQiang

rx_78gp02a 发表于 2024-11-5 19:05
直接在输入端把53端口丢弃掉
add action=drop chain=input dst-port=53 in-interface=pppoe-ADSL protocol= ...

你好，你这个操作在哪里弄？我们专线的猫出来接的就是一台H3C的MER8300路由器，路由器下面是AC和POE交换机接的AP，头大，不知道该怎么处理

masterluke

CaoQiang 发表于 2024-11-5 19:07
你好，想请教下，这个dns解析和网络安全问题具体指什么？关键我们一直就是这条专线，内网也没有网站服务 ...

去防火墙上把53端口的映射去掉

CaoQiang

masterluke 发表于 2024-11-5 19:11
去防火墙上把53端口的映射去掉

我进路由器看了，这个被警告的专线IP就接了台路由器，路由器里面没有设置任何端口映射，更没有什么53端口映射

rx_78gp02a

CaoQiang 发表于 2024-11-5 19:11
你好，你这个操作在哪里弄？我们专线的猫出来接的就是一台H3C的MER8300路由器，路由器下面是AC和POE交换 ...

可能是路由应答了来自WAN的53请求，需要在防火墙（如果有的话）或者路由上面做丢弃处理。
虽然这个概率很低，但是还是有少量的数据。

huangegg33

CaoQiang 发表于 2024-11-5 19:07
你好，想请教下，这个dns解析和网络安全问题具体指什么？关键我们一直就是这条专线，内网也没有网站服务 ...

哥，建议您请相关人士帮你设定好相关要求，被扫53了，肯定还有别的端口都会被扫的，按理要有防火墙去阻挡相关问题，还是安全第一啦

CaoQiang

rx_78gp02a 发表于 2024-11-5 19:17
可能是路由应答了来自WAN的53请求，需要在防火墙（如果有的话）或者路由上面做丢弃处理。
虽然这个概率很 ...

这......
这就触及到..
我的知识盲区了

r147909

那你就把53的服务转走啊

nn1122

如果你没映射任何内网53端口或者DMZ内网机器的话，那就是路由器本身开了53端口，telnet 测试一下即可。我司这边之前是TP的老路由器，路由本身开了DNS代理服务，被电信扫描到并通知我司整改，我这边回复是路由器的DNS服务也没有进行递归解析，也马上即将更换新路由器。后来换成H3C ER5200 G3，没有发现DNS这些选项，遂完结。这个行动是部里面的通知，各运营商在严格执行，我也算是行内人

pdvc

需要解析自有域名的只开权威解析就行了，不要开递归解析功能。

需要递归解析的，去通管局申请资质，然后和信通院对接，还要上一套几万的管理系统……

zgpnhhy

直接联系对方,让他们把53关掉就行了.一般也用不到.
现在专线默认都是443,80都关了,要开得去申请.

cigiti

CaoQiang 发表于 2024-11-5 19:17
我进路由器看了，这个被警告的专线IP就接了台路由器，路由器里面没有设置任何端口映射，更没有什么53端口 ...

你这截图里面 NAT ALG - 启用 DNS 看起来就是原因。

komeloo

CaoQiang 发表于 2024-11-5 19:17
我进路由器看了，这个被警告的专线IP就接了台路由器，路由器里面没有设置任何端口映射，更没有什么53端口 ...

不是启用DNS勾选了吗？

xsdianeht

让运营商给你53关了吧，反正也是要资质的，一般单位用不上

腿毛飘飘

你对wan口开放53端口了

vim

我估计你做了一对一nat，关了就好

TWSzzz

就是防火墙配置有问题，应该是检查防火墙DNS相关的设置，内网的DNS报文通过53端口出去了，导致被扫描到了
最简单就是让运营商禁止完事

nn1122

TWSzzz 发表于 2024-11-5 21:24
就是防火墙配置有问题，应该是检查防火墙DNS相关的设置，内网的DNS报文通过53端口出去了，导致被扫描到了
...

看楼主9楼截图，是路由器开启了DNS服务所致，可能还是默认开启的

ksong

CaoQiang 发表于 2024-11-5 19:17
我进路由器看了，这个被警告的专线IP就接了台路由器，路由器里面没有设置任何端口映射，更没有什么53端口 ...

你这图上不是启用了dns吗

CaoQiang

nn1122 发表于 2024-11-5 21:27
看楼主9楼截图，是路由器开启了DNS服务所致，可能还是默认开启的

我进路由器先把这个DNS给关了，看看会不会再找我

adoal

MER8300是企业级产品，可以找新华三的企业客服咨询。路由器登录页面上有400号。

Mufasa

CaoQiang 发表于 2024-11-5 19:17
我进路由器看了，这个被警告的专线IP就接了台路由器，路由器里面没有设置任何端口映射，更没有什么53端口 ...

你这里 NAT ALG 里面开启了DNS，所以路由器对外响应了53端口，也就是DNS的端口

zsr123

楼上几层提到的NAT ALG 里的DNS 貌似不是对外开放DNS服务的意思吧...
看下来是帮助更好的处理内网客户端对外部DNS服务的请求与连接

CaoQiang

Mufasa 发表于 2024-11-5 23:49
你这里 NAT ALG 里面开启了DNS，所以路由器对外响应了53端口，也就是DNS的端口 ...

今天又收到几个外地的分公司反映的，都收到运营商的通知了，发现一个规律，就是这些被通知的公司，出口设备都是H3C的MER系列企业路由器，我今天把几家的路由器都远程关闭了NAT ALG里面的启用DNS，再观察下，其他用H3C GR和ER系列路由器的都没有这个问题

firebase

3、如果贵单位不知道如何关闭，我们可以协助在局端关闭53端口，尽量请用户自行关闭
那就让他们关掉不就行了，自己没有需求的情况下，费这个劲了解了干什么