openWRT Àß ¾Æ½Ã´Â ºÐ °è½Ã³ª¿ä? 53Æ÷Æ® Â÷´ÜÀÌ ¾ÈµË´Ï´Ù.

   Á¶È¸ 5371   Ãßõ 0    

openWRT에서

 외부(WAN포트)로 DNS 질의를 보내지 못하게 차단하려고 합니다.

그래서 LAN<->WAN간에 tcp udp 53포트 차단하는 정책을 추가했지만 동작하지 않습니다. =인터넷 접속이 잘 됩니다.

DoH, DoT, vpn, 내부 DNS서버, 프록시서버 모두 사용하지 않습니다.

pfsense 환경에서 테스트해보니 53차단되어 질의가 안되어 인터넷이 안되는게 제대로 확인되는데.

openWRT에서는 계속 인터넷이 되어서 어떤 설정을 더 만져주어야 하는지 질문드립니다.

제가 원하는 것은 인터넷 차단이 아닌 53포트를 통한 질의를 차단하고자 함입니다.

인터넷이 계속 되는 것으로 보아 53포트로 평문질의 보내는게 동작한다고 추정할 뿐입니다...

openWRT에서는 제가 모르는 무언가 더 있는 것 같은데 그게 무엇인지 모르겠습니다. 어떻게 하면 좋을까요?

openWRT 공장초기화 하고 테스트 해도 동일한 결과였습니다.


openWRT의 버전은 19.07 최신버전이며, LuCI에서 정책을 추가했습니다.







ÂùÀÌ 2020-10
¾îµð¼­ ¼³Á¤ÇϽŠ°ÇÁö ¾Ë ¼ö ¾ø¾î Á¤È®ÇÑ ÆÇ´ÜÀÌ ¾î·Æ½À´Ï´Ù.
ÀÏ´Ü Â÷´ÜÇÏ·Á´Â ÄÄÇ»ÅÍ¿¡¼­
(Windows¶ó¸é cmd¿¡¼­)
> nslookup google.com 8.8.8.8
> nslookup google.com (RouterÁÖ¼Ò)
Çϼż­ ù¹øÀç ÁúÀÇ°¡ µÈ´Ù¸é Forward°úÁ¤¿¡¼­ Â÷´ÜµÇÁö ¾ÊÀº °ÍÀÌ°í
µÎ¹ø° ÁúÀÇ°¡ µÈ´Ù¸é ¶ó¿ìÅÍÀÇ dnsmasq°¡ Æ÷¿öµùÇؼ­ Â÷´ÜµÇÁö ¾ÊÀº °ÍÀÔ´Ï´Ù.

ù¹ø° ÁúÀǸ¦ Â÷´ÜÇÏ·Á¸é
Traffic Rules¿¡¼­
Protocol (UDP),
Source zone (lan), Source address (ANY),
Destination zone (wan), Destination Address (any), Destination Port (53),
Action (drop)
ÇÏ½Ã¸é µÇ°í

µÎ¹ø° ÁúÀǸ¦ Â÷´ÜÇÏ·Á¸é
Traffic Rules¿¡¼­
Protocol (UDP),
Source zone (lan), Source address (ANY),
Destination zone (Device), Destination Address (any), Destination Port (53),
Action (drop)
À¸·Î ÇϽðųª dnsmasq¼³Á¤À» ÅëÇØ ¿ÜºÎ·Î forwardÇÏÁö ¾Ê°Ô ÇÏ¸é µË´Ï´Ù.
     
hana76 2020-10
Àå¹®ÀÇ ÀÚ¼¼ÇÑ ´äº¯ °¨»çÇÕ´Ï´Ù. ¸»¾¸ÇØÁֽŠ¹æ¹ýÀ¸·Î ´Ù½Ã ½Ãµµ Çغ¸°Ú½À´Ï´Ù.
°Ô½Ã±Û¿¡ Â÷´ÜÇÑ ½ºÅ©¸°¼¦À» Ãß°¡Çß½À´Ï´Ù.

+Ãß°¡
¸»¾¸ÇØÁֽŠ´ë·Î Àû¿ëÇÏ´Ï Àß µË´Ï´Ù!! °¨»çÇÕ´Ï´Ù
Á˼ÛÇÕ´Ï´Ù¸¸, °á°úÀûÀ¸·Î ¿øÇÏ´Â ¹Ù°¡ ¾î¶²°ÇÁö ±Ã±ÝÇÕ´Ï´Ù.

²À Æ÷Æ® 53¸¦ Â÷´ÜÇÏ¿©¾ß ÇÏ´Â ºÎºÐÀÎÁö ¾Æ´Ï¸é DNS°¡ °øÀ¯±â µÚ¿¡ ÀÖ´Â private IP¸¦ °¡Áø ±â±âµé¿¡¼­ ¾ÈµÇ¸é µÇ´ÂºÎºÐÀΰ¡Çؼ­¿ä.
     
hana76 2020-10
53Æ÷Æ®¸¦ Â÷´Ü ÇÏ·Á°í ÇÕ´Ï´Ù.
Ãâ¹ßÁö, ¸ñÀûÁö°¡ ¾î¶² ¹æÇâÀ¸·Îµç ÀÌ ³×Æ®¿öÅ©¿¡¼­ Æ÷Æ®53À» ÅëÇÑ ¸ðµç Åë½ÅÀº Â÷´ÜÇÏ°íÀÚ ÇÕ´Ï´Ù.
yee223 2020-10
¿ÜºÎ·Î ³ª°¡´Â°Í¸¸ ¸·À¸½Ã·Á¸é ±âÁ¸ Á¤Ã¥¿¡¼­

source port 53 À» any ·Î ¹Ù²Ù½Ã¸é...

¹Ý´ë¹æÇâµµ Â÷´ÜÀ» ¿øÇÏ½Ã¸é ·ê Çϳª ´õ ¸¸µå¼Å¼­ wan -> lan ¹æÇâÀ¸·Î Çؼ­ any -> 53 À¸·Î ÇÏ½Ã¸é µÉµí¿ä..
½ÄÀº¶¡ 2020-11
´ÊÀº ´ä¸éÀε¥
/etc/config/firewall À» vi ÆíÁý±â·Î ´ÙÀ½°ú °°ÀÌ Ãß°¡Çϼ¼¿ä.
lan¿¡¼­ wanÀ¸·Î ³ª°¡´Â 53¹ø udp, tcp¸¦ Â÷´ÜÇÕ´Ï´Ù.

config rule
        option name 'Block_wan53'
        option src 'lan'
        option proto 'tcp udp'
        option dest 'wan'
        option dest_port '53'
        option target 'REJECT'

´ÙÀ½Àº wan¿¡¼­ openwrt ¶ó¿ìÅÍ·Î µé¾î¿À´Â  53À» Â÷´ÜÇÕ´Ï´Ù
config rule
        option name 'Block_lan53'
        option src 'wan'
        option proto 'tcp udp'
        option dest_port '53'
        option target 'REJECT'

±×·±´ÙÀ½ firewall Àç½ÃÀÛ ÇÏ¸é µË´Ï´Ù.
/etc/init.d/firewall restart


Á¦¸ñPage 33/105
2019-02   5172   ¾Æ½Î¸Ç
2019-10   5180   ȸ»ó2
06-03   5185   redalert3
2021-12   5188   ParkB7
2020-03   5193   lemh
2021-06   5198   helplz
2021-02   5200   Ä«ÀÌÁ¦¸°
2018-11   5208   ENIHS
2019-09   5209   MikroTikÀÌÁø
2020-10   5219   ±èµ¿ÀÚ¸Ç
2021-08   5221   ¸ð¸Ê
2022-09   5224   È︶
2018-08   5225   À縶
2022-01   5231   ¸ð¾îÄð
2020-07   5245   Ãʺ¸Àü»ê
2020-02   5257   ´ç±Ù
2020-11   5261   AARG
2020-09   5266   JGECNET
2022-08   5270   etet99
2020-04   5299   ±¸°í±â