Hello,
j'essaie de faire un peu de ménage sur le FW où je suis arrivé récemment...
 
J'ai une règle : accepte toute adresse avec port source IPv4 UDP à destination de toute adresse avec port 53.
C'est clean ça ? C'est obligatoire pour le DNS ?
Merci !

C'est une règle de LAN->WAN ?

Non, pardon je n'ai pas précisé, c'est WAN -> LAN.
J'aurais pensé qu'il suffisait de renseigner l'adresse IP du serveur DNS en destination.

Ca peut être utile si tu heberges un serveur DNS qui doit être joignable depuis l'extérieur bien qu'a mon avis mal configuré (la règle).
 

De WAN->LAN, sûr ?
 
Pas pour un tunnel VPN ?

Regarde si tu as une règle de Nat associée à ce port.

Règle pour moi tout à fait normal.
 
En interne, y'a t'il un serveur DNS pour redistribuer sur le LAN ou bien les postes interrogent directement l'extérieur ?

 
Il faut s'intéresser au sens du trafic avant de répondre que c'est normal, non ?

 
Tout à fait normal d'avoir une règle qui autorise le DNS du WAN -> LAN ?
J'ai du mal à comprendre la normalité.

impossible de répondre avec aussi peu de contexte.

Merci pour vos réponses.
Le contexte va vous faire halluciner : il n'y a que des adresses "externes" (routables) sur un /24 ... Je vous laisse deviner où je bosse.
 
Et donc, il n'y a pas de LAN. Mais j'aimerais mettre ça en place assez rapidement.
 
Il y a bien un serveur DNS "local" qui "se réplique" avec un DNS "externe".
Pour en revenir à cette "règle DNS", et dans les conditions expliquées, faut-il que je modifie la règle actuelle ?
 
Merci !

On ne peut pas te répondre avec certitude.
Tout dépend si ça couvre un besoin ou non.
Et ça c'est propre à ton SI.
 
Ce qui est sûr c'est que ce n'est pas habituel, voir carrément mauvais niveau sécurité.
 
Il n'est pas habituel de permettre l'accès un service DNS depuis Internet.
Et si on le fait alors on place ce service DNS en DMZ, pas sur le LAN.

ça n'a aucune justification valable, ni besoin, etc. c'est juste du grand n'importe quoi et "historique" (l'achat de la plage en /24 routable ne leur a rien coûté)
Tout a été fait à l'arrach', les mots de passe étaient bidons etc. etc.
Pour l'instant je veux améliorer le plus urgent niveau sécurité.
J'envisagerai une DMZ dans un second temps.

Bon donc si c'est une règle pour le DNS de WAN->LAN, oui tu peux la virer.

Avant de virer quoi que ce soit, il faudrait mieux faire une sauvegarde de la conf.
Et commencer seulement par désactiver certaines règles et regarder ce qu'il se passe.
Il y a probablement dû y avoir un bricolage de fait pour qu'elle existe.

Bah le plus urgent côté sécurité, ce serait passer sur du LAN je dirais...tu peux restreindre les accès, si toutes tes bécanes sont accessibles depuis l'extérieur ce sera peanuts.

Oui j'ai sauvegardé la conf et désactivé pas mal de règles déjà.

Quand tu dis "la virer", tu veux dire la remplacer par une règle qui permette uniquement au serveur DNS de recevoir sur le port 53 ?
 

Non mais quel serveur DNS !?
Tu as besoin d'avoir un serveur DNS en LAN qui réponde sur le WAN ?

Les règles de firewall, ça nécessite de savoir ce qui tourne sur son LAN et qui doit communiquer avec Internet ou qui doit être accessible depuis Internet.

Sans compter qu'on n'ouvre pas son LAN comme ça. C'est dangereux.

J'ai lu ta réponse hein mais je suis "sans voix".

Pour resituer le contexte, je viens de débarquer dans une boîte où le réseau a été fait n'importe comment et j'essaie de faire ce que je peux pour améliorer ça. Pas trop envie de me faire reprocher ce qui a été fait par mes prédécesseurs...

Salut,
Il faudrait déjà comprendre quelles sont les sources depuis le WAN qui ont besoin d'intérroger ton DNS sur ton LAN/DMZ.
D'une manière générale, ta règle doit filtrer les sources IP depuis les WAN vers les IP de ton LAN.
genre :
 
Source 1 ---> local_DNS1
Source 2 ---> local_DNS1
Source 3 ---> local_DNS2
Source 4 ---> local_DNS2
et non pas  
Any -----> any : 53

cette règle plus haut est valable pour la plupart des services.. hormis si tu as des serveurs web qui doivent servir l'internet :
 
any -----> web1 :80/443.
D'une manière générale, si tu as besoin d'un traffic depuis le WAN vers ton site local, il faut qu'il passe via un tunnel/point-à-point/mpls VPN,etc.. afin de sécuriser ces échanges

 
Mais comment veux-tu définir des règles de firewall sans savoir ce qui tourne sur le LAN et doit être accessible par qui et d'où ?
 
Tu parles d'un serveur DNS. Lequel ? Où ? Qui doit être accéder par qui ?

Bonjour, j'ai fait beaucoup de ménage dans les règles de filtrage et j'y vois beaucoup plus clair.
 
Pour ce qui est du serveur DNS dont je parlais plus haut, il ne s'agit pas d'un DNS interne mais bien d'un DNS accessible depuis l'extérieur.
 
Il se réplique avec deux autres DNS (externes, je veux dire : sur internet).  
J'ai remplacé les anciennes règles par :
 
(dans le sens WAN -> LAN)
ACCEPTE TCP/UDP source : @DNSext1:anyport - destination : @monserveurDNS:53
ACCEPTE TCP/UDP source : @DNSext2:anyport - destination : @monserveurDNS:53
Le problème est qu'avec cette règle, mon serveur DNS n'a plus l'air atteignable : il ne répond plus sur des sites comme https://www.ultratools.com/tools/dnsLookupResult  
 
Si je remplace temporairement l'adresse IP @DNSext par *
alors évidemment sur ultratools me serveur répond à nouveau.
 
Je vous remercie pour vos conseils.

Logique.
 
Avec tes règles tu autorise seulement les DNSext1 et DNSext2 à se connecter sur ton DNS, de facto un DNS tiers ne pourra pas s'y connecter. Il faut bien mettre any en source si tu veux que n'importe  de l'extérieur puissent browser ton server DNS.

surtout renseigne toi sur ce que tu dois faire et pourquoi avant de faire ça, car par exemple un résolveur DNS récursif ouvert sur internet ça fait partie des outils très utilisés pour générer des attaques par réflexion.

Merci pour vos réponses. Je n'ai besoin de répliquer mon DNS qu'avec ces deux serveurs. Mais des outils comme ultratools sont inopérants avec des règles de filtrage. ça ne dérange pas plus que ça ?