Chiphell - 分享与交流用户体验

标题: 53端口被运营商警告了，请专家解惑 [打印本页]

作者: CaoQiang 时间: 2024-11-5 19:02
标题: 53端口被运营商警告了，请专家解惑
今天收到电信公司的警告函件通知，内容如下：

特此通知：
1、省管局核查到贵单位53端口有违规递归解析，需要贵单位立即关闭递归（就是看用户53端口上跑什么业务，是否在做递归解析，有递归业务需要停止解析功能，53UDP=权威+递归，关要关递归！如果用户不处理我们关闭的是局端，两个都关掉了）；
2、通管局同时下发了企业互联网接入服务市场诚信体系建设计分标准，不主动关闭会直接扣分;
3、如果贵单位不知道如何关闭，我们可以协助在局端关闭53端口，尽量请用户自行关闭；
4、如果贵单位不关闭，后期通管局扫描到，还会强制关闭。

请问这个是什么意思？我不知道我们专线上有什么业务用到53端口，就一条专线连接互联网用来上网用，内网也没有什么违规的业务在跑啊，请问专家，如何自己检查或者处理？

作者: huangegg33 时间: 2024-11-5 19:04
一般默认53跑dns解析的，你们没请相关管理人员处理网络上的问题？建议弄一下咯，网络安全问题

作者: rx_78gp02a 时间: 2024-11-5 19:05
直接在输入端把53端口丢弃掉
add action=drop chain=input dst-port=53 in-interface=pppoe-ADSL protocol=tcp
add action=drop chain=input dst-port=53 in-interface=pppoe-ADSL protocol=udp

作者: lsy174915864 时间: 2024-11-5 19:07
53是DNS，域名解析，正常肯定不允许私人或企业做这个。

作者: CaoQiang 时间: 2024-11-5 19:07
本帖最后由 CaoQiang 于 2024-11-5 19:18 编辑

huangegg33 发表于 2024-11-5 19:04
一般默认53跑dns解析的，你们没请相关管理人员处理网络上的问题？建议弄一下咯，网络安全问题 ...

你好，想请教下，这个dns解析和网络安全问题具体指什么？关键我们一直就是这条专线，内网也没有网站服务器，纯粹就是上网使用，今天就收到运营商的警告了，很奇怪

作者: CaoQiang 时间: 2024-11-5 19:09

lsy174915864 发表于 2024-11-5 19:07
53是DNS，域名解析，正常肯定不允许私人或企业做这个。

我们没有做类似的操作啊，很清白的就使用一条专线上外网而已

作者: CaoQiang 时间: 2024-11-5 19:11
本帖最后由 CaoQiang 于 2024-11-5 19:17 编辑

rx_78gp02a 发表于 2024-11-5 19:05
直接在输入端把53端口丢弃掉
add action=drop chain=input dst-port=53 in-interface=pppoe-ADSL protocol= ...

你好，你这个操作在哪里弄？我们专线的猫出来接的就是一台H3C的MER8300路由器，路由器下面是AC和POE交换机接的AP，头大，不知道该怎么处理

作者: masterluke 时间: 2024-11-5 19:11

CaoQiang 发表于 2024-11-5 19:07
你好，想请教下，这个dns解析和网络安全问题具体指什么？关键我们一直就是这条专线，内网也没有网站服务 ...

去防火墙上把53端口的映射去掉

作者: CaoQiang 时间: 2024-11-5 19:17

masterluke 发表于 2024-11-5 19:11
去防火墙上把53端口的映射去掉

我进路由器看了，这个被警告的专线IP就接了台路由器，路由器里面没有设置任何端口映射，更没有什么53端口映射

作者: rx_78gp02a 时间: 2024-11-5 19:17

CaoQiang 发表于 2024-11-5 19:11
你好，你这个操作在哪里弄？我们专线的猫出来接的就是一台H3C的MER8300路由器，路由器下面是AC和POE交换 ...

可能是路由应答了来自WAN的53请求，需要在防火墙（如果有的话）或者路由上面做丢弃处理。
虽然这个概率很低，但是还是有少量的数据。

(, 下载次数: 72)

作者: huangegg33 时间: 2024-11-5 19:18

CaoQiang 发表于 2024-11-5 19:07
你好，想请教下，这个dns解析和网络安全问题具体指什么？关键我们一直就是这条专线，内网也没有网站服务 ...

哥，建议您请相关人士帮你设定好相关要求，被扫53了，肯定还有别的端口都会被扫的，按理要有防火墙去阻挡相关问题，还是安全第一啦

作者: CaoQiang 时间: 2024-11-5 19:19

rx_78gp02a 发表于 2024-11-5 19:17
可能是路由应答了来自WAN的53请求，需要在防火墙（如果有的话）或者路由上面做丢弃处理。
虽然这个概率很 ...

这......
这就触及到..
我的知识盲区了

作者: r147909 时间: 2024-11-5 19:29
那你就把53的服务转走啊

作者: nn1122 时间: 2024-11-5 19:45
如果你没映射任何内网53端口或者DMZ内网机器的话，那就是路由器本身开了53端口，telnet 测试一下即可。我司这边之前是TP的老路由器，路由本身开了DNS代理服务，被电信扫描到并通知我司整改，我这边回复是路由器的DNS服务也没有进行递归解析，也马上即将更换新路由器。后来换成H3C ER5200 G3，没有发现DNS这些选项，遂完结。这个行动是部里面的通知，各运营商在严格执行，我也算是行内人

作者: pdvc 时间: 2024-11-5 19:54
需要解析自有域名的只开权威解析就行了，不要开递归解析功能。

需要递归解析的，去通管局申请资质，然后和信通院对接，还要上一套几万的管理系统……

作者: zgpnhhy 时间: 2024-11-5 20:07
直接联系对方,让他们把53关掉就行了.一般也用不到.
现在专线默认都是443,80都关了,要开得去申请.

作者: cigiti 时间: 2024-11-5 20:09

CaoQiang 发表于 2024-11-5 19:17
我进路由器看了，这个被警告的专线IP就接了台路由器，路由器里面没有设置任何端口映射，更没有什么53端口 ...

你这截图里面 NAT ALG - 启用 DNS 看起来就是原因。

作者: komeloo 时间: 2024-11-5 20:14

CaoQiang 发表于 2024-11-5 19:17
我进路由器看了，这个被警告的专线IP就接了台路由器，路由器里面没有设置任何端口映射，更没有什么53端口 ...

不是启用DNS勾选了吗？

作者: xsdianeht 时间: 2024-11-5 20:17
让运营商给你53关了吧，反正也是要资质的，一般单位用不上

作者: 腿毛飘飘 时间: 2024-11-5 20:46
你对wan口开放53端口了

作者: vim 时间: 2024-11-5 21:03
我估计你做了一对一nat，关了就好

作者: TWSzzz 时间: 2024-11-5 21:24
就是防火墙配置有问题，应该是检查防火墙DNS相关的设置，内网的DNS报文通过53端口出去了，导致被扫描到了
最简单就是让运营商禁止完事

作者: nn1122 时间: 2024-11-5 21:27

TWSzzz 发表于 2024-11-5 21:24
就是防火墙配置有问题，应该是检查防火墙DNS相关的设置，内网的DNS报文通过53端口出去了，导致被扫描到了
...

看楼主9楼截图，是路由器开启了DNS服务所致，可能还是默认开启的

作者: ksong 时间: 2024-11-5 21:30

CaoQiang 发表于 2024-11-5 19:17
我进路由器看了，这个被警告的专线IP就接了台路由器，路由器里面没有设置任何端口映射，更没有什么53端口 ...

你这图上不是启用了dns吗

作者: CaoQiang 时间: 2024-11-5 22:07

nn1122 发表于 2024-11-5 21:27
看楼主9楼截图，是路由器开启了DNS服务所致，可能还是默认开启的

我进路由器先把这个DNS给关了，看看会不会再找我

作者: adoal 时间: 2024-11-5 23:21
MER8300是企业级产品，可以找新华三的企业客服咨询。路由器登录页面上有400号。

作者: Mufasa 时间: 2024-11-5 23:49

CaoQiang 发表于 2024-11-5 19:17
我进路由器看了，这个被警告的专线IP就接了台路由器，路由器里面没有设置任何端口映射，更没有什么53端口 ...

你这里 NAT ALG 里面开启了DNS，所以路由器对外响应了53端口，也就是DNS的端口

作者: zsr123 时间: 2024-11-6 13:06
楼上几层提到的NAT ALG 里的DNS 貌似不是对外开放DNS服务的意思吧...
看下来是帮助更好的处理内网客户端对外部DNS服务的请求与连接

作者: CaoQiang 时间: 2024-11-6 14:46

Mufasa 发表于 2024-11-5 23:49
你这里 NAT ALG 里面开启了DNS，所以路由器对外响应了53端口，也就是DNS的端口 ...

今天又收到几个外地的分公司反映的，都收到运营商的通知了，发现一个规律，就是这些被通知的公司，出口设备都是H3C的MER系列企业路由器，我今天把几家的路由器都远程关闭了NAT ALG里面的启用DNS，再观察下，其他用H3C GR和ER系列路由器的都没有这个问题

作者: firebase 时间: 2024-11-6 14:53
3、如果贵单位不知道如何关闭，我们可以协助在局端关闭53端口，尽量请用户自行关闭
那就让他们关掉不就行了，自己没有需求的情况下，费这个劲了解了干什么

作者: jsntit 时间: 2024-11-6 15:03
应该是开的智能dns这一类业务，深信服防火墙也是这样的

作者: nn1122 时间: 2024-11-6 15:03

firebase 发表于 2024-11-6 14:53
3、如果贵单位不知道如何关闭，我们可以协助在局端关闭53端口，尽量请用户自行关闭
那就让他们关掉不就行了 ...

主动关闭与被动封掉，很多时候意义不一样，特别是这种顶级通知单位是省管局的情况

作者: zsr123 时间: 2024-11-6 15:05
DNS ALG

https://support.huawei.com/enter ... configuring-nat-alg

https://www.juniper.net/document ... urity-dns-algs.html

不是常见的DNS服务器，至少我工作中还没见过这种实际应用

欢迎光临 Chiphell - 分享与交流用户体验 (https://www.chiphell.com/)