O2 blokuje UDP port 53 (DNS)

mc

O2 blokuje UDP port 53 (DNS)
« kdy: 28. 08. 2013, 07:24:23 »
Včera jsem zjistil, že O2 začalo blokovat (alespoň u mne) pakety na UDP port 53 směřující na DNS server, který mám v jeho síti na ADSL. Tedy zjistil jsem, že pokud jsem mimo síť O2 a položím DNS dotaz na server co mám v O2 síti na ADSL, tak dotaz nedojde.

Může uvedené někdo potvrdit?

Přitom dotazy přes TCP projdou. Funguje také normálně komunikace na UDP porty 53 z O2 sítě ven.
« Poslední změna: 28. 08. 2013, 12:44:23 od Petr Krčmář »


Re:O2 blokuje UDP port 53 (DNS) ve směru do své sítě
« Odpověď #1 kdy: 28. 08. 2013, 07:57:47 »
Může uvedené někdo potvrdit?
Jo, můžu potvrdit:

Kód: [Vybrat]
# nc -ul 53
[nic]
# nc -l 53
ahoj
# nc -ul 54
ahoj

To teda hovadismus O2 dosáhl vrcholu...

mc

Re:O2 blokuje UDP port 53 (DNS) ve směru do své sítě
« Odpověď #2 kdy: 28. 08. 2013, 08:31:38 »
Tím potvrzením jste mne nepotěšil. Tajně jsem doufal, že jsem někde něco pokazil. Máme u O2 DNS server již mnoho let (platíme si fixní IPv4). Dosud s O2 problémy kolem filtrování na takto placené pevné IP adrese nebyly. Doufám, že to brzo dají do pořádku a hezky se omluví.

McFly

  • ****
  • 373
    • Zobrazit profil
    • E-mail
Re:O2 blokuje UDP port 53 (DNS) ve směru do své sítě
« Odpověď #3 kdy: 28. 08. 2013, 08:48:36 »
že by jejich "obrana" proti DNS serverům v síti O2, které mohou být zneužity?

http://blog.nic.cz/2013/03/29/ochrana-obeti-pred-dns-amplification-utoky/

Re:O2 blokuje UDP port 53 (DNS) ve směru do své sítě
« Odpověď #4 kdy: 28. 08. 2013, 08:58:46 »
že by jejich "obrana" proti DNS serverům v síti O2, které mohou být zneužity?

http://blog.nic.cz/2013/03/29/ochrana-obeti-pred-dns-amplification-utoky/
Jako vtip dobrý :)

V tom článku je zajímavá jedna věc: " finálním cílem bude donutit (nejlépe všechny) operátory k ingress filteringu (tedy BCP38), který by zabránil možnosti masově podvrhávat zdrojové IP adresy." Když jsem tady o tom psal já, byl jsem za pitomce...


mc

Re:O2 blokuje UDP port 53 (DNS) ve směru do své sítě
« Odpověď #5 kdy: 28. 08. 2013, 10:12:10 »
Považuji za naprosto nevhodné, že v rámci jakési "obrany" ISP nastavují různé plošné filtry na všechny zákazníky a to ješťě bez okamžitého informování zákazníků. Tohle musí přestat!!!

U řady ISP nemůžete mít ani poštovní server, protože v rámci obrany blokují třeba port 25 ven. Řada ISP se na své zákazníky dívá čistě jako na konzumenty služeb typu Google, Microsoft a Facebook. Snaží se vymítit zákazníky, kteří si chtějí provozovat různé standardní služby sami a to včetně těch co se o ně po stránce bezpečnosti starají. VǓBEC SE MI TO NELÍBÍ!!!

Franta.

Re:O2 blokuje UDP port 53 (DNS) ve směru do své sítě
« Odpověď #6 kdy: 28. 08. 2013, 11:41:54 »
Našel jsem nějaké reference na O2
https://i1984.cz/paste/?fb27c364692c3752#A/Zx/cwqmsYohN/toMwjCHafS/m9NnmcOuTP/M3DYRk=
jen tak pro zajímavost :-)

Lol Phirae

Re:O2 blokuje UDP port 53 (DNS)
« Odpověď #7 kdy: 28. 08. 2013, 16:31:34 »
Už soudruhům z O2 někdo volal?

mc

Re:O2 blokuje UDP port 53 (DNS)
« Odpověď #8 kdy: 28. 08. 2013, 20:13:45 »
Včera po 21. hodině jsem poruchu hlásil na webovém formuláři a dosud se neozvali. Proto jsem tam dnes volal a bylo mi sděleno, že nic nefiltrují.

Filtraci potvrdil zde ve foru zatím Mirek Prýmek. Může to prosím někdo další prověřit jak je to na ADSL u něj?

M.

Re:O2 blokuje UDP port 53 (DNS)
« Odpověď #9 kdy: 28. 08. 2013, 21:50:37 »
Jsem mrknul na ADSLko tchýně a vypadá to tak, že komunikace na UDP/53 nedojde, na TCP/53 ano.

ADSL

Re:O2 blokuje UDP port 53 (DNS)
« Odpověď #10 kdy: 28. 08. 2013, 22:42:45 »
Mám doma ještě starou verzi ADSL od O2 - s veřejnou IPv4 adresou, bez zaplacené pevné adresy, ale přesto mám stále stejnou adresu. Potvrzuji že mi UDP pakety posílané na port 53 té veřejné IPv4 adresy nedocházejí.

lupex

Re:O2 blokuje UDP port 53 (DNS)
« Odpověď #11 kdy: 28. 08. 2013, 22:53:09 »
No evidentně se začnou prohlubovat rozdíly mezi profi konektivitou a tou domácí. Jinak bohužel platí jejich služba, jejich podmínky.

Franta <xkucf03/>

Re:O2 blokuje UDP port 53 (DNS)
« Odpověď #12 kdy: 28. 08. 2013, 23:08:56 »
Jinak bohužel platí jejich služba, jejich podmínky.
To sice ano, ale mají blokaci UDP portu 53 v podmínkách, které klient podepsal?

dsafdsaf

Re:O2 blokuje UDP port 53 (DNS)
« Odpověď #13 kdy: 28. 08. 2013, 23:26:56 »
DNS requesty cez UDP/53 blokuje napr. aj Univerzita Komenskeho v Bratislave uz niekolko rokov. Svojho casu som sa s nimi aj natahoval, ale nemalo to vyznam. Ich dovod bol, ze chceli aby ludia pouzivali vyhradne ich DNS servre, na ktore packety UDP/53 blokovane samozrejme neboli. Vraj to bola ochrana pred DNS poisoningom atd. a ze vraj sa v minulosti internatnou sietou siril nejaky malware, ktory prepisoval DNSka na Windowsovych PC na nejake ukrajinske servery, co potom redirectovali ludi na nejake malwareove stranky. Predpokladam, ze u O2 ide o nieco podobne.

Ale inak, no big deal. Pokial si dobre pamatam moj research z toho obdobia, tak pod OpenBSD vam staci pridat jeden prikaz do resolv.conf a vsetky DNS query sa prehodia na TCP. Pod Linuxami nic take neexistuje. Nepamatam ako to je s inymi BSD. Ak chcete pouzivat OpenDNS alebo Googlove (8.8.8.8) budete si musiet rozbehnut nejaky DNS forwarder u vas (myslim, ze to islo aj cez BIND ale na SF je na to priamo commandlinovy tool).

Re:O2 blokuje UDP port 53 (DNS)
« Odpověď #14 kdy: 28. 08. 2013, 23:28:01 »
Blokuje, verte tomu. Muj ISP smeruje veskery provoz na UDP 53 na svuj DNS server :-(
A zduvodneni, ze je to pro dobro zakaznika je imho blbost. Pry je to kvuli bezpecnosti a pohodlnosti nastaveni pro uzivatele.

Takze nemuzu mit doma dns pro svoji domenu a DNSSEC se taky nekona  :'(
"Kdo v zájmu bezpečí obětuje část své svobody, v konečném důsledku přijde o svobodu i svou bezpečnost."