Die Tcom hat mich informiert über ständige Attacken über meine feste ip-Adresse über UDP auf Port 53 (DNS) auf 192.168.2.2
der Lancom Router 883+ ist als exposed host mit der internen Adresse 192.168.2.1, die Sophos Firewall UTM9 dahinter hat IP-Adresse 192.168.2.2
Leider habe ich es nicht geschafft eine Firewall-IP4-Regel zu erstellen, um dies zu blocken! Wie kann das Extranet zu definieren!
Wer kann mir helfen?
Wer hat sonst noch Tipps für so eine Konstellation?
Stehe zum Erfahrungsaustausch bereit!
Vielen Dank für eure Hilfe/Unterstüzung
Claude Greiner
DNS-Abfragen von extern blocken auf 883+
Moderator: Lancom-Systems Moderatoren
Re: DNS-Abfragen von extern blocken auf 883+
Moin.
Muss es denn unbedingt ein Exposed Host sein?
Ich mache normalerweise immer so früh wie möglich dicht und lasse nur das durch, was unbedingt nötig ist. Das ist zwar doppelte Arbeit, aber wenn man es einmal im Workflow drin hat ist das trotzdem überschaubar.
Gibt es irgendeinen Grund, warum DNS von außen erreichbar sein muss?
Ansonsten sollte doch eine DENY Gegenstelle-Internet auf die Sophos ausreichen.
Was macht denn die Sophos mit den DNS-Anfragen? Eigentlich sollten die doch spätestens hier geblockt werden.
Viele Grüße, Jörg
Muss es denn unbedingt ein Exposed Host sein?
Ich mache normalerweise immer so früh wie möglich dicht und lasse nur das durch, was unbedingt nötig ist. Das ist zwar doppelte Arbeit, aber wenn man es einmal im Workflow drin hat ist das trotzdem überschaubar.
Gibt es irgendeinen Grund, warum DNS von außen erreichbar sein muss?
Ansonsten sollte doch eine DENY Gegenstelle-Internet auf die Sophos ausreichen.
Was macht denn die Sophos mit den DNS-Anfragen? Eigentlich sollten die doch spätestens hier geblockt werden.
Viele Grüße, Jörg
Re: DNS-Abfragen von extern blocken auf 883+
Muss es denn unbedingt ein Exposed Host sein?
die Sophos UTM9 kann nicht direkt eine Verbindung zum Sip-Trunk erstellen, von daher habe ich einen enstprechenden Router gebraucht, habe mich für den Lancom 883+ entschieden. Dahinter befindet sich noch den Lancom NP510 und eine Elmeg Telefon-Anlage
Firewall-Script von Lancom wurde eingespielt
Was gibt es als Alternative?
Ich mache normalerweise immer so früh wie möglich dicht und lasse nur das durch, was unbedingt nötig ist.
das mache ich und will es auch schon bei dem Lancom Router blocken
Gibt es irgendeinen Grund, warum DNS von außen erreichbar sein muss?
Nein, aber die Netze werden gescannt und angegriffen, spätestens blocked die Sophos Firewall
Was macht denn die Sophos mit den DNS-Anfragen?
hier wird geblockt
die Sophos UTM9 kann nicht direkt eine Verbindung zum Sip-Trunk erstellen, von daher habe ich einen enstprechenden Router gebraucht, habe mich für den Lancom 883+ entschieden. Dahinter befindet sich noch den Lancom NP510 und eine Elmeg Telefon-Anlage
Firewall-Script von Lancom wurde eingespielt
Was gibt es als Alternative?
Ich mache normalerweise immer so früh wie möglich dicht und lasse nur das durch, was unbedingt nötig ist.
das mache ich und will es auch schon bei dem Lancom Router blocken
Gibt es irgendeinen Grund, warum DNS von außen erreichbar sein muss?
Nein, aber die Netze werden gescannt und angegriffen, spätestens blocked die Sophos Firewall
Was macht denn die Sophos mit den DNS-Anfragen?
hier wird geblockt
Re: DNS-Abfragen von extern blocken auf 883+
Den Lancom dediziert mit der Sophos verbinden (Transfernetz 'Internet exposed' mit eigenem VLAN) und das Internet als INTERNET einrichten. Dann macht der Lancom entsprechend per Vorsteinstellung auch dicht.