Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 12 replies
  • Subscribers 2 subscribers
  • Views 6383 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Firewall rule to force users to use OpenDNS

ScottG
I heard a good tip recently where you can setup a packet filter rule that only allows UDP port 53 to connect to OpenDNS  servers.  A smart user could go into the network TCP/IP properties on their PC and bypass the DNS settings in ASG.  The rule above would prevent their computer from connecting to any non-OpenDNS IP.  I wanted to test this on my machine, so I looked at my firewall rules and didn't find anything that allowed port 53 in the first place, so it seemed to me I don't need a new rule.  I assumed that in my configuration the ASG box is pointing to the DNS server, so a firewall rule doesn't apply here.  I expected that when I changed the DNS setting in my computer, I would not be able to get to any websites.  Well, I was able to surf the web just fine.  My question is, why is Astaro allowing this to work?  Maybe there is a default packet filter rule that was created when I installed (ver 7) that is allowing this port, but it's just not obvious by looking at the rules.  Of all the rules I added, I never added any rule that did anything with this port.

--Scott


This thread was automatically locked due to age.
  • 0 in reply to dilandau
    No, I didn't flush the DNS, so I tried it again with flushing the DNS, and I could still get to web sites.  I had the packet filter log open and I noticed it did block some requests to UDP port 53, but it didn't affect my web browsing.

    I do have a strange problem that I don't think is related.  When I did the test above, I noticed I couldn't get to Google using my IE browser, but I had no problems with Firefox getting to Google, or any other site.  I changed the DNS settings on my PC back to point to ASG and flushed the DNS again.  I still had this Google issue with IE.  In the Packet Filter log I noticed that IP below was being blocked for some reason:

    Default DROP TCP 192.168.2.100 : 3249  → 64.233.169.147 : 80  [SYN] len=48 ttl=127 tos=0x00 

    IP Lookup on 64.233.169.147 showed this as a Google server, so I created a new Packet filter rule to allow this and then I was able to get to Google using IE.  When I did get to google.com IE gave me the following warning message: 
    "Intranet settings are now turned off by default.  Intranet settings are less secure then internet settings Click for options"

    I don't really know why IE is giving me this message.

    I can get to lots of other sites with no problem; with both DNS scenarios.

    --Scott
  • 0 in reply to ScottG
    I figured out the Google + IE problem is related to my VPN.  When my VPN is connected, I have this problem, when I disconnect, it goes away.

    I retested changing the DNS on my PC to point to my ISP with the VPN disconnected.  No change, I can still get to any site.

    --Scott