Tip: Offenen DNS-Resolver am Antik-DSL-Router dichtmachen

Hier flatterte kürzlich ein Schreiben unseres Providers ins Haus, daß bei einem Scan der eigenen IPs bei uns ein offener DNS-Server gefunden worden sei, was ein mögliches Sicherheitsproblem darstelle. (Hintergrund.) Huch, denke ich mir, sowas betreiben wir doch gar nicht. Das könne aber auch ein DNS-Resolver auf einem alten DSL-Router sein. Und siehe da, der DNS-Check spuckte tatsächlich eine entsprechende Meldung aus. Offenbar ist der routereigene DNS-Resolver (der von "drinnen" die Namensauflösung für Server im Internet ermöglicht) auch von "draußen" zu erreichen. Örks.

Nun werkelt hier noch ein ur-uralter Teledat DSL Router, baugleich ZyXel Prestige 310, seinerzeit bekommen mit unserem ersten DSL-Anschluß ca. 2001. (When dinosaurs roamed the earth...) Da habe ich vor Ewigkeiten mal die 3.50er Firmware für das Original draufgetan, aber auch diese hat jetzt sicher schon ein gutes Jahrzehnt auf dem Buckel. Der muß sowieso mal ausgetauscht werden, denn bei 5 MBit macht er dicht, und wir haben hier 16. Aber er läuft und läuft... Anyway, eine Option zum Blockieren des DNS-Resolvers nach draußen bietet er jedenfalls nicht.

Was der Oldie aber kann, ist Port-Forwarding. Und so habe ich kurzerhand Port 53 auf eine garantiert unbelegte IP im lokalen Netz umgebogen. Resultat: DNS-Anfragen von draußen landen jetzt brav im Nirvana. Man muß sich nur zu helfen wissen...

EDIT: Hab's jetzt alternativ auch mit der "Filter Set Configuration" hinbekommen (eine der Neuerungen der 3.50er-Firmware, IIRC). Einen neuen Filtersatz angelegt, mit zwei Einträgen für IP Protocol = 0 und = 6 (UDP und TCP), Destination 0.0.0.0 (alle), Mask 255.255.255.255 (alles), Port # = 53, Port # Comp(arison) = Equal, Action Matched = Drop. Ich geb's ja zu, die Bedienung dieser Funktion ist einigermaßen obskur. Aber man sieht, auch so einen Oldie kann man sicher(er) machen!