DNS server su router cisco: filtrare query da esterno
Inviato: ven 14 ago , 2015 1:50 pm
Salve a tutti,
ho un cisco 887VA su linea adsl che fa da router e firewall alla mia lan;
per comodità gli faccio fare anche da server dns.
Casualmente pero' ho scoperto che la configurazione che ho fatto per il firewall non fa il suo dovere:
mi spiego meglio, se da un pc esterno alla lan faccio una query al dns del router questo mi risponde!
dando anche informazioni sugli host che ho configurato internamente!
(87.8.X.X è l'ip pubblico del router; "pc-esterno" è un pc in internet esterno alla lan)
sulle porte tcp invece il firewall fa il suo dovere: ssh e http sul router dall'interno sono
raggiungibili mentre dall'esterno no:
questa è la configurazione relativa al firewall e dns che ho fatto:
il firmware è c880data-universalk9-mz.153-3.M5.bin
in pratica il firewall fa il suo dovere per le tcp ma non per le udp,
qualcuno ha idea su come posso risolvere?
ho un cisco 887VA su linea adsl che fa da router e firewall alla mia lan;
per comodità gli faccio fare anche da server dns.
Casualmente pero' ho scoperto che la configurazione che ho fatto per il firewall non fa il suo dovere:
mi spiego meglio, se da un pc esterno alla lan faccio una query al dns del router questo mi risponde!
dando anche informazioni sugli host che ho configurato internamente!
(87.8.X.X è l'ip pubblico del router; "pc-esterno" è un pc in internet esterno alla lan)
Codice: Seleziona tutto
fulvio@pc-esterno:~$ dig +short -t A mail.tin.it @87.8.X.X
62.211.72.20
fulvio@pc-esterno:~$ dig +short -x 192.168.1.12 @87.8.X.X
pc012.lan.
fulvio@pc-esterno:~$ dig +short -t A pc012.lan @87.8.X.X
192.168.1.12
raggiungibili mentre dall'esterno no:
Codice: Seleziona tutto
fulvio@pc-esterno:~$ nmap 87.8.X.X -p 22,53,80
PORT STATE SERVICE
22/tcp filtered ssh
53/tcp filtered domain
80/tcp filtered http
Codice: Seleziona tutto
interface Dialer0
zone-member security net
....
zone security net
...
zone-pair security self-net source self destination net
service-policy type inspect self-net-policy
...
policy-map type inspect self-net-policy
class type inspect self-net-class
inspect
class class-default
drop
...
policy-map type inspect self-net-policy
class type inspect self-net-class
inspect
class class-default
drop
...
class-map type inspect match-any self-net-class
match protocol tcp
match protocol udp
match protocol icmp
...
ip dns server
...
in pratica il firewall fa il suo dovere per le tcp ma non per le udp,
qualcuno ha idea su come posso risolvere?