Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 4 replies
  • Subscribers 1 subscriber
  • Views 1320 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

unzählige DNS Anfragen auf alle externe IP's der FW

greenhornXXL
Hallo zusammen


Mein System ist eine ASG 320 mit der akt. Firmware 9.105

Ich bekomme seit einigen Wochen jede Menge UDP 53 (DNS) Anfragen auf alle externen IP Adressen der Firewall.
Da ich keinen DNS betreibe und auch nicht per DNAT durchreiche würde ich 
dies gerne eindämmen. Mein Firewall Log wird am Tag ca. 260MB groß.

Wie kann ich hier eine Veränderung schaffen ?

Vielen Dank für eure Bemühungen im voraus

greenhornXXL


This thread was automatically locked due to age.
  • 0

    Da ich keinen DNS betreibe und auch nicht per DNAT durchreiche würde ich 
    dies gerne eindämmen. Mein Firewall Log wird am Tag ca. 260MB groß.


    Tun kann man dagegen eher wenig. Die öffentliche IP wechseln würde bestimmt helfen. 
    Evtl könnte man durch mitschneiden des Traffic und anschließender Auswertung herausfinden, ob ggf. jemand einfach die DNS Server seiner offiziellen Domain falsch angegeben hat. Das müsste aber schon eine gut besuchte Domain sein, bei dem Traffic.
    Die Log-Datei kann man entlasten, indem man an den Anfang des Regelwerkes eine Drop-Regel für DNS stellt, die nicht loggt.

    Grüße,
    Matthias
  • 0
    Hallo Matthias

    Vielen Dank für die Antwort.
    Ich habe eine Drop regelt erstellt wie du gesagt hast und nun schaue ich die nächsten Tage ob sich das Log-File verkleinert.
    Da es sich um mehrere externe IP Adressen handelt kommt ein wechsel von meiner Seite nicht in Frage.


    Gruß
    greenhornXXL
  • 0
    Schau dir auch mal die source ip der dns pakete an, ist das immer die selbe ip?
    Kannst ja dann mal recherchieren, wem diese ip gehört bzw. Das land zu dem die ip gehört.

    Je nach internationaler ausrichtung deines unternehmens kann auch ein country blocking von eingehenden paketen, sagen wir zum beispiel für asien helfen, die logs übersichtlich zu halten. Kleiner werden sie dadurch zwar nicht, aber die suche wird vereinfacht.

    Ansonsten kann ich matthias nur zustimmen.

    Lg, chris
  • 0 in reply to system-partner
    Hallo zusammen

    Dank euer Tips konnte ich das ganze nun einschränken.

    Zum einen habe ich ein Country Blocking für Belize eingerichtet und der besagte Drop Regel für DNS eingerichtet.
    Das Log-Fiole ist nun um ca. 50% geschrumpft.

    Besten Dank für die Hinweise !!!

    Viele Grüße
    greenhornXXL
Cookie Information Banner