Guest User!

You are not Sophos Staff.

Thread Info
  • State Not Answered
  • Replies 2 replies
  • Subscribers 0 subscribers
  • Views 502 views
  • Users 0 members are here
Options
Suggested

There seems to be smart dns redirect

takoateli
I've been testing to make sure someone can't get past my specified dns forwarder (opendns). I see that if I create a rule to block internet net, dns, any then all dns activity is blocked and the network dies. FYI I also have the rule automatically created by the installation wizard (internal net, dns, any) disabled. So I guess having that disabled is enough to make sure nobody is getting out on port 53 without an explicit drop rule.

Here's what's interesting. If I manually configure my connection to use some other dns server (other than opendns) I still get routed to opendns. So obviously the internal dns forwarder is grabbing any request on port 53 and redirecting it to where I want it to go. Do I understand that correctly? It's a cool feature.

Greg
Parents
  • 0
    Normally,
    Internal Clients will use Astaro as their DNS server (usually via DHCP).
    The settings in Astaro for DNS control where Astaro's DNS server "forwards" to.

    I'm not sure where you're "configuring your connection to use some other DNS server".

    Barry
  • 0 in reply to BarryG
    Barry,

      Yes, exactly. I have the OpenDNS servers in my ASG's list of forwarders. What I specifically was testing to see if someone could manually configure their client and specify some other dns service as a way of bypassing opendns.

      So I was curious to know if to prevent that one needs to explicitly block dns traffic at the packet filter.

      It appears that as long as one is not explicitly allowing dns traffic (internal net to any) at the packet filter then users will be forced to use the ASG's dns forwarder. It also appears that if a user does manually configure his/her client in an attempt to reach another dns server that the ASG grabs that traffic and routes it to it's own dns forwarder.

      So it appears that users are not able to bypass the dns service specified in the ASG.

    Greg
Reply
  • 0 in reply to BarryG
    Barry,

      Yes, exactly. I have the OpenDNS servers in my ASG's list of forwarders. What I specifically was testing to see if someone could manually configure their client and specify some other dns service as a way of bypassing opendns.

      So I was curious to know if to prevent that one needs to explicitly block dns traffic at the packet filter.

      It appears that as long as one is not explicitly allowing dns traffic (internal net to any) at the packet filter then users will be forced to use the ASG's dns forwarder. It also appears that if a user does manually configure his/her client in an attempt to reach another dns server that the ASG grabs that traffic and routes it to it's own dns forwarder.

      So it appears that users are not able to bypass the dns service specified in the ASG.

    Greg
Children
No Data