Чем чревато закрытие снаружи (from WAN to ШЛЮЗ) портов UDP/TCP 53?
Есть домен "васян.ру". Компы в домене.
Есть 2 локальный DNS сервера которые выполняют обслуживание зоны "васян.ру" + кэшируют запросы.
То есть на самом шлюзе DNS стоит 192.168.1.1. Который резолвит на два DNS сервера 192.168.1.10 и 192.168.1.11.
Если имя находится в зоне "васян.ру" то он вернёт ответ. А если это какой-нибудь пронхаб, тытруба и прочее то DNS резолвит на 6 форвардеров (1.1.1.1 8.8.8.8 8.8.4.4 1.0.0.1 77.88.8.8. 77.88.8.1)
То есть тут вроде всё ок и понятно.
Есть у нас ещё и EXCHANGE!
дак вот я только щас заинтересовался а какого Х у нас открыт порт извне на шлюз? То есть любой Васёк или Китайся введёт наш белый ип адрес и будет резолвить через наш шлюз?
Не порядок...
Я его закрыл. А вообще для чего его нужно открывать? Если у меня куча ДНС в разных местах за NATом и несколько доменов которые надо объединить через первичный?
И правильно ли я сделал что закрыл порт извне? Всё работает прекрасно кста
П. С. ну и само собой чем чревато чё я мог поломать....
Если вы не пробрасыаали 53 порт на внутренние хосты, то отвечать внешним китайсам мог бы ваш шлюз лично. Плюс, если ваш шлюз умеет пользоваться днс самостоятельно (сам отправлять запросы, например на сервер обновлений) то это вы и сломали. Там есть еще нюансы в каком типе соединений вы это поблочили (input, forward, output) но без input, тот же микротик не сможет узнать о новой прошивке.
На микротик не надо блочить input. Там прсгто настраиваешь нормально закрытый и все и так будет работать и прилетать и будет заблочен udp 53 снаружи во внутрь.
Да и я явно указал что я закрыл (from WAN to шлюз). Это Zywall zyxel.
Точнее не закрыл, а убрал разрешённый 53 порт такак нормальные пацаны настарвиают всегда нормально закрытый)))
Если переводить на микротиковский, то это цепочка input.
На счёт обновлений вы не правы повторюсь.
Значит я сделал все супер правильно убрав гумно за прошлым админом
Средний
