4
DNS leitet an nicht eingetragene IPs weiter
DNS Server funktioniert, aber erzeugt komischen Log in der Firewall.
Hallo zusammen,
wir betreiben hier in einem unserer Subnetze einen DNS Server (DC, win2k3 std.), der Anfragen an einen weiteren internen DNS (Router zwischen verschiedenen Subnetzen) stellt, der dann an den DNS-Proxy (Firewall) weiterleiten soll. Das funktioniert auch alles ganz ordentlich.
Das Problem was ich jetzt habe: Vom gleichen server kommen aber auch immer wieder direkte DNS Anfragen (Port 53) an 4 externe DNS Server (192.25.0.52, 194.25.0.60, 192.25.0.68, 217.6.54.112) die dann von der Firewall geblockt werden, weil ich das nicht zugelassen habe.
Funktionieren tut trotzdem alles, er löst sauber auf intern, sowie extern, aber ich möchte gerne den Firewall Log so sauber wie möglich halten.
Ich finde einfach keine Stelle, an der diese externen IPs eingetragen sind. Ich weiß, dass wir früher diese IPs als Weiterleitung genutzt haben. Diese sind aber längst aus der Konfiguration entfernt.
In den DNS Einstellungen steht unter Weiterleitung nur die eine IP des routers (auch dns server, der dann an den proxy weiterleitet). Bei den Stammhinweisen taucht die IP (bzw. die 4 IPs), die er anfragt nicht auf. In den DNS Einstellungen des LAN Interfaces steht seine eigene IP.
Gibt's sonst noch Stellen wo er sich die herholen könnte?
Hallo zusammen,
wir betreiben hier in einem unserer Subnetze einen DNS Server (DC, win2k3 std.), der Anfragen an einen weiteren internen DNS (Router zwischen verschiedenen Subnetzen) stellt, der dann an den DNS-Proxy (Firewall) weiterleiten soll. Das funktioniert auch alles ganz ordentlich.
Das Problem was ich jetzt habe: Vom gleichen server kommen aber auch immer wieder direkte DNS Anfragen (Port 53) an 4 externe DNS Server (192.25.0.52, 194.25.0.60, 192.25.0.68, 217.6.54.112) die dann von der Firewall geblockt werden, weil ich das nicht zugelassen habe.
Funktionieren tut trotzdem alles, er löst sauber auf intern, sowie extern, aber ich möchte gerne den Firewall Log so sauber wie möglich halten.
Ich finde einfach keine Stelle, an der diese externen IPs eingetragen sind. Ich weiß, dass wir früher diese IPs als Weiterleitung genutzt haben. Diese sind aber längst aus der Konfiguration entfernt.
In den DNS Einstellungen steht unter Weiterleitung nur die eine IP des routers (auch dns server, der dann an den proxy weiterleitet). Bei den Stammhinweisen taucht die IP (bzw. die 4 IPs), die er anfragt nicht auf. In den DNS Einstellungen des LAN Interfaces steht seine eigene IP.
Gibt's sonst noch Stellen wo er sich die herholen könnte?
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 86752
Url: https://administrator.de/contentid/86752
Ausgedruckt am: 25.11.2024 um 11:11 Uhr
4 Kommentare
Neuester Kommentar
Hallo,
Ohne es wirklich zu wissen, würde ich einfach mal auf die unter Stammhinweiße eingetragenen Server tippen. Vllt. die mal löschen:
http://support.microsoft.com/kb/818020/de
Mit freundlichen Grüßen,
Alexander Schuhmann
Ohne es wirklich zu wissen, würde ich einfach mal auf die unter Stammhinweiße eingetragenen Server tippen. Vllt. die mal löschen:
http://support.microsoft.com/kb/818020/de
Mit freundlichen Grüßen,
Alexander Schuhmann
Wie ich oben schon geschrieben habe:
"Bei den Stammhinweisen taucht die IP (bzw. die 4 IPs) nicht auf"
Ich werd mal versuchen ob ich die nicht dauerhaft da weg kriege aber ich glaube nicht dass das das Problem löst, denn wie gesagt: die IPs gibt's da nicht, denn es sind ganz normale öffentliche DNS Server von T-Online, keine Stammserver, die in den Logs auftauchen.
"Bei den Stammhinweisen taucht die IP (bzw. die 4 IPs) nicht auf"
Ich werd mal versuchen ob ich die nicht dauerhaft da weg kriege aber ich glaube nicht dass das das Problem löst, denn wie gesagt: die IPs gibt's da nicht, denn es sind ganz normale öffentliche DNS Server von T-Online, keine Stammserver, die in den Logs auftauchen.
Hallo,
soweit ich weiß rufen Stammserver aber verfügbare DNS Server ab. Was heißen würde, das wenn man diese Stammserver löschen würde, er keine weiteren DNS Server herausfinden würde, einmal angenommen er benutz nicht die Brute Force Methode.
Mit freundlichen GRüßen,
Alexander Schuhmann
soweit ich weiß rufen Stammserver aber verfügbare DNS Server ab. Was heißen würde, das wenn man diese Stammserver löschen würde, er keine weiteren DNS Server herausfinden würde, einmal angenommen er benutz nicht die Brute Force Methode.
Mit freundlichen GRüßen,
Alexander Schuhmann
Ok, habe ich getestet.
Alle Root Server entfernt und nur einen "fake" rootserver dringelassen, der dann unseren zentralen dns im haus enthält.
Keine Änderung. Ich kriege immer noch Anfragen an externe DNS Server die nirgends angegeben sind.
Ich kanns mir einfach nicht erklären...
Was mich so verwundert: Diese DNS Server sind wie gesagt genau die Adressen, die wir früher als Forwarder eingesetzt haben. Er scheint sich die wohl irgendwie gemerkt zu haben. Aber wo? *seufz*
Alle Root Server entfernt und nur einen "fake" rootserver dringelassen, der dann unseren zentralen dns im haus enthält.
Keine Änderung. Ich kriege immer noch Anfragen an externe DNS Server die nirgends angegeben sind.
Ich kanns mir einfach nicht erklären...
Was mich so verwundert: Diese DNS Server sind wie gesagt genau die Adressen, die wir früher als Forwarder eingesetzt haben. Er scheint sich die wohl irgendwie gemerkt zu haben. Aber wo? *seufz*
