Specifieke UDP poorten op dynIP abbo blocked?

GuntherDW · 17 aug 2019, 00:23

Sinds een week ofzo merk ik dat ik geen mail meer binnen kreeg op m'n lokaal gehoste mailserver.
Hierbij ben ik dan op zoek gegaan wat de mogelijke oorzaak zou kunnen zijn aangezien er in m'n interne netwerk de voorbije week of 2 niet veel veranderd is.

Na wat rommelen ben ik tot de vaststelling gekomen dat UDP poort 53 inkomend geblokkeerd lijkt te zijn. Althans voor een bepaalde range dan ofzo.
DNS over TCP werkt wel nog, alsook over IPv6, maar UDP 53 (inkomend) lijkt geblokkeerd te zijn.

Ik kan zien dat de packets zelfs mijn mikrotik nieteens bereiken. De packet counter op de firewall blijft gestaag op 0 staan.
Getest vanaf een paar dedicated servers onder mijn beheer.

Andere random poorten (ook UDP) lijken wel nog te werken, maar specifiek poorten als DNS lijken (althans over UDP) geblokkeerd te zijn.
Ik heb ook even m'n mikrotik gereboot, alsook geprobeerd te forwarden vanaf de fritzbox in plaats van de PPPoE sessie op de mikrotik, zelfde probleem.

Word ik seniel of blokkeren ze deze poort tegenwoordig ook en moet ik m'n DNS server "verhuizen"?
Het rare is dan wel dat DNS over TCP, alsook DNS over UDP op IPv6 (alsook TCP maargoed) wel nog toekomt. Het is enkel IPv4 dat weigert mee te werken.

Nu zitten beide devices wel in ongeveer dezelfde range. Misschien dat hier iets misloopt ofzo.
M'n mikrotik zit momenteel op 213.219.156.xxx, m'n FB op 213.219.143.xxx.

Nog mensen bij wie dit lijkt voor te vallen? Ik ga dit ook even in een ticketje richting EDPNet, maar wou gewoon even weten of ik niet gek word

.

Tim.Bracquez · 17 aug 2019, 00:35

Het zou logisch zijn moesten ze 53 udp inkomend blokkeren, veel vergeten open DNS systemen te filteren, je kan hier gewoon amplification attacks mee doen als deze open staat voor elke IP range zonder limieten.

Lijkt me normaal dat zo iets standaard toe staat om de gebruiker te beschermen

GuntherDW · 17 aug 2019, 01:13

Klopt, heb daaraan gedacht en dit ook gemeld in de ticket richting edpnet. Dat er al langer aan DNS amplification attacks gedaan wordt. Al jarenlang eigenlijk.

Maar dat dit zo opeens geblokkeerd word ik minder blij van. Zeker aangezien in een andere topic hier ook meegedeeld wordt dat (nog altijd) enkel SMTP uitgaand (TCP poort 25 dus) geblokkeerd wordt. Niets anders.

Misschien dat het van hogerop geblokkeerd werd omdat er inderdaad een hoop DNS servers als open relays draaiden en niets blokkeerden?
Maargoed, waarom over IPv6 dan wel alles werkt is ook merde. Aangezien google mail dan bv gewoon mooi toekomt, aangezien die alles over v6 doen, maar mails van bv github niet.

EDIT: Bij belgacom en andere providers staat dit trouwens niet zomaar toe. Je moet wel as usual de port zelf forwarden en alles instellen maar van de ISP uit blokkeren is me een stapje te ver IMO.
https://www.proximus.be/support/nl/id_s ... penen.html
De poorten die "standaard" dicht staan zijn daar dus zoals opgelijst 23, 80 en 443.
Van 23 kan ik het nog verstaan echter. Al kan je gerust andere dingen draaien op die poort, standaard uit is inderdaad misschien handig.
Maar ik vind het mooi dat ze dan at least de optie geven.

Sinna · 17 aug 2019, 07:24

EDPnet blokkeert al sinds midden april 2014 inkomende DNS- en NTP-requests, zie https://issues.edpnet.be/?p=448.

GuntherDW · 17 aug 2019, 15:43

Odd, het heeft altijd gewerkt, tot een ~10d terug. Daarom dat ik deze thread eigenlijk gestart was.
Nuja, we zullen zien wat de ticket als antwoord krijgt.

We zitten nu bij edpnet sindsdat Dommel moest stoppen en heb dus gewoon m'n configuratie van daar overgenomen.

Als dan de COO zegt dat niets buiten SMTP geblokkeerd wordt...

Zoals ik in de OP ook zei, over IPv6 werkt alles gewoon nog, en TCP 53 staat ook nog open, het is enkel UDP 53 (al is dit inderdaad de grote boosdoener aangezien hierbij net source address spoofing gebruikt wordt)

Als het echt moet kan ik de configs wel "verhuizen" naar m'n server bij OVH maar zou dit wat jammer vinden aangezien ik ervan uit ging dat enkel SMTP nog geblokkeerd stond.

EDIT: for now dan maar even m'n A record voor het NS record weggehaald, beter dat enkele hosts/resolvers het niet kunnen vinden dan dat ze vastlopen op IPv4 en IPv6 nieteens (meer) proberen.

GuntherDW · 23 aug 2019, 18:33

Wel, het ticket heeft na een kleine week eindelijk na een klein lichtpuntje eerst dan toch een somber einde.

De COO (Joachim, ook bekend op dit forum) claimde dat de enige poort die geblokkeerd was op DynIP abbo's SMTP uitgaan was. Dus TCP 25.

De laatste reply die ik kreeg op de ticket van een lokale L2 medewerker was deze echter

Beste meneer #,

We hebben slecht nieuws voor u: poort 53 staat inderdaad geblokkeerd voor inkomend verkeer onder abonnementen met dynamische ip adressen.

Als u een eigen publieke DNS server wenst te draaien, heeft u een abonnement met een vast ip adres nodig.

Indien u vragen heeft, aarzel dan niet om contact met ons te nemen op het nummer 03 265 67 00 of in antwoord op dit ticket.

Met vriendelijke groeten,

De claim die Joachim dan altijd maakt is of fout, want het heeft tot een ~2 weken geleden gewoon gewerkt, of het zijn oude configs die opeens terug aangezet zijn.
Het is ook enkel UDP (en op IPv4) trouwens. TCP wordt toegelaten.

@Joachim, als je dit leest en je wil de Ticketnr kan ik je deze gerust PM'en. Het is een nogal "bewogen" ticket met medewerkers die ook claimden dat (enkel) 25, 443 en 8443 geblokeerd werden...
25 ja, 443 en 8443 echter?

Njagoed, het is me de 10€ voor een Static IP abbo niet waard, dus zal dan maar m'n subdomain config oversluizen naar m'n server bij OVH... Het was handig omdat het intern gelinkt was aan de DHCP server zodat deze via DDNS dan een domain toegewezen kregen. Voor de paar services dat ik hier thuis draai in m'n homelab was dat een leuke oefening.

Long story short, tot voor ~2w terug werkte het. Of Joachim moet z'n uitleg updaten of dit is een zeer recente change terug?

Joachim · 23 aug 2019, 18:52

Het klopt poort 25 EN 53, ik vergeet die laatste steeds, mijn excuses voor de verwarring. Als het gewerkt heeft dan heb je geluk gehad vrees ik, is al jaren zo, het zou kunnen dat er een range ontbreekt in de firewall. Spijtig genoeg allemaal geimplementeerd vanwege de vele malware

GuntherDW · 23 aug 2019, 19:36

Hmm, jammer maar spijtig dan.

Bij proximus wordt het niet geblokkeerd, heb iemand net even laten testen en de packets komen bij hun gewoon binnen.

Het doet me bijna zin hebben van over te stappen spijtig genoeg, want ~70€ voor een static IP abbo is me wat teveel voor die kleine luxe,
echter zit je dan weer vast qua upload en moet je na 750GB blokken bijbestellen...

Het zet een domper op mijn ervaring, dat wel

.

Nuja, nudat de verwarring wat opgeklaard is is het in orde, ik weet nu op z'n minst waar ik sta.
Heb het ook in de ticket gezet dat het opgeklaard is nu.

GuntherDW · 27 sep 2019, 09:27

Even een nieuwe reactie aangezien ik een nieuw IP gekregen heb na een FB internet change (wou even testje doen met telefonie en moest daarvoor dus PPPoE op de FB opnieuw aanzetten dus m'n RB reconnecte ook).

Njagoed, nu heb ik een IP uit de 94.105.96.0/19 - meer specifiek diezelfde /24 eigenlijk zelfs - range, en op deze range lijkt 53 UDP wel gewoon open te staan over IPv4... Al lijkt dit een "gedeelde" range te zijn met Orange ofzo.

Ik had dus wel gelijk dat die poort openstond en gewoon "geluk" gehad van tijdenlang in de ranges te zitten waar die poort wel openstaat

.
Heck, poort 25 TCP staat ook open naar buiten toe. Deze range is dus volledig "open".

Mooi voor mij wel tot ik opnieuw een niew IP krijg

.

EDIT: mooie verhalen duren niet lang blijkbaar

, of ik had m'n mond moeten houden.
een kleine week nadat ik dit IP heb lijkt de poort weldegelijk geblokkeerd te zijn (sinds ~1 oct). Dawwww.