DNS ALG

https://support.huawei.com/enter ... configuring-nat-alg

https://www.juniper.net/document ... urity-dns-algs.html

不是常见的DNS服务器，至少我工作中还没见过这种实际应用

firebase 发表于 2024-11-6 14:53
3、如果贵单位不知道如何关闭，我们可以协助在局端关闭53端口，尽量请用户自行关闭
那就让他们关掉不就行了 ...

主动关闭与被动封掉，很多时候意义不一样，特别是这种顶级通知单位是省管局的情况

应该是开的智能dns这一类业务，深信服防火墙也是这样的

3、如果贵单位不知道如何关闭，我们可以协助在局端关闭53端口，尽量请用户自行关闭
那就让他们关掉不就行了，自己没有需求的情况下，费这个劲了解了干什么

Mufasa 发表于 2024-11-5 23:49
你这里 NAT ALG 里面开启了DNS，所以路由器对外响应了53端口，也就是DNS的端口 ...

今天又收到几个外地的分公司反映的，都收到运营商的通知了，发现一个规律，就是这些被通知的公司，出口设备都是H3C的MER系列企业路由器，我今天把几家的路由器都远程关闭了NAT ALG里面的启用DNS，再观察下，其他用H3C GR和ER系列路由器的都没有这个问题

楼上几层提到的NAT ALG 里的DNS 貌似不是对外开放DNS服务的意思吧...
看下来是帮助更好的处理内网客户端对外部DNS服务的请求与连接

CaoQiang 发表于 2024-11-5 19:17
我进路由器看了，这个被警告的专线IP就接了台路由器，路由器里面没有设置任何端口映射，更没有什么53端口 ...

你这里 NAT ALG 里面开启了DNS，所以路由器对外响应了53端口，也就是DNS的端口

MER8300是企业级产品，可以找新华三的企业客服咨询。路由器登录页面上有400号。

nn1122 发表于 2024-11-5 21:27
看楼主9楼截图，是路由器开启了DNS服务所致，可能还是默认开启的

我进路由器先把这个DNS给关了，看看会不会再找我

CaoQiang 发表于 2024-11-5 19:17
我进路由器看了，这个被警告的专线IP就接了台路由器，路由器里面没有设置任何端口映射，更没有什么53端口 ...

你这图上不是启用了dns吗

TWSzzz 发表于 2024-11-5 21:24
就是防火墙配置有问题，应该是检查防火墙DNS相关的设置，内网的DNS报文通过53端口出去了，导致被扫描到了
...

看楼主9楼截图，是路由器开启了DNS服务所致，可能还是默认开启的

就是防火墙配置有问题，应该是检查防火墙DNS相关的设置，内网的DNS报文通过53端口出去了，导致被扫描到了
最简单就是让运营商禁止完事

我估计你做了一对一nat，关了就好

你对wan口开放53端口了

让运营商给你53关了吧，反正也是要资质的，一般单位用不上

CaoQiang 发表于 2024-11-5 19:17
我进路由器看了，这个被警告的专线IP就接了台路由器，路由器里面没有设置任何端口映射，更没有什么53端口 ...

不是启用DNS勾选了吗？

CaoQiang 发表于 2024-11-5 19:17
我进路由器看了，这个被警告的专线IP就接了台路由器，路由器里面没有设置任何端口映射，更没有什么53端口 ...

你这截图里面 NAT ALG - 启用 DNS 看起来就是原因。

直接联系对方,让他们把53关掉就行了.一般也用不到.
现在专线默认都是443,80都关了,要开得去申请.

需要解析自有域名的只开权威解析就行了，不要开递归解析功能。

需要递归解析的，去通管局申请资质，然后和信通院对接，还要上一套几万的管理系统……

如果你没映射任何内网53端口或者DMZ内网机器的话，那就是路由器本身开了53端口，telnet 测试一下即可。我司这边之前是TP的老路由器，路由本身开了DNS代理服务，被电信扫描到并通知我司整改，我这边回复是路由器的DNS服务也没有进行递归解析，也马上即将更换新路由器。后来换成H3C ER5200 G3，没有发现DNS这些选项，遂完结。这个行动是部里面的通知，各运营商在严格执行，我也算是行内人

那你就把53的服务转走啊

rx_78gp02a 发表于 2024-11-5 19:17
可能是路由应答了来自WAN的53请求，需要在防火墙（如果有的话）或者路由上面做丢弃处理。
虽然这个概率很 ...

这......
这就触及到..
我的知识盲区了

CaoQiang 发表于 2024-11-5 19:07
你好，想请教下，这个dns解析和网络安全问题具体指什么？关键我们一直就是这条专线，内网也没有网站服务 ...

哥，建议您请相关人士帮你设定好相关要求，被扫53了，肯定还有别的端口都会被扫的，按理要有防火墙去阻挡相关问题，还是安全第一啦

CaoQiang 发表于 2024-11-5 19:11
你好，你这个操作在哪里弄？我们专线的猫出来接的就是一台H3C的MER8300路由器，路由器下面是AC和POE交换 ...

可能是路由应答了来自WAN的53请求，需要在防火墙（如果有的话）或者路由上面做丢弃处理。
虽然这个概率很低，但是还是有少量的数据。

CaoQiang 发表于 2024-11-5 19:07
你好，想请教下，这个dns解析和网络安全问题具体指什么？关键我们一直就是这条专线，内网也没有网站服务 ...

去防火墙上把53端口的映射去掉

rx_78gp02a 发表于 2024-11-5 19:05
直接在输入端把53端口丢弃掉
add action=drop chain=input dst-port=53 in-interface=pppoe-ADSL protocol= ...

你好，你这个操作在哪里弄？我们专线的猫出来接的就是一台H3C的MER8300路由器，路由器下面是AC和POE交换机接的AP，头大，不知道该怎么处理

lsy174915864 发表于 2024-11-5 19:07
53是DNS，域名解析，正常肯定不允许私人或企业做这个。

我们没有做类似的操作啊，很清白的就使用一条专线上外网而已

huangegg33 发表于 2024-11-5 19:04
一般默认53跑dns解析的，你们没请相关管理人员处理网络上的问题？建议弄一下咯，网络安全问题 ...

你好，想请教下，这个dns解析和网络安全问题具体指什么？关键我们一直就是这条专线，内网也没有网站服务器，纯粹就是上网使用，今天就收到运营商的警告了，很奇怪