Página 1 de 1

Consultas DNS de puerto de origen 4444

Publicado: 11 Mar 2016, 13:53
por adminedensa
Alguna sugerencia como bloqueo las conexiones DNS que vengan con el puerto de origen 4444?.

Muchas gracias,

JCG.-

Re: Consultas DNS de puerto de origen 4444

Publicado: 11 Mar 2016, 14:12
por gabyrossi
Hola, el puerto de origen en dinamico...
cual es la idea?
son conexiones desde el exterior?

Re: Consultas DNS de puerto de origen 4444

Publicado: 11 Mar 2016, 14:47
por adminedensa
Si son consultas externas.
Doy un ejemplo:
de 100 consultas DNS el 10% de ellas provienen distintas drecciones IP pero con el puerto de origen 4444. El resto (90% restante) ninguna repite el puerto. Una sola de ese 10 % consulta envia 1000 veces mas de bytes que todo el 90% restante, es decir si la suma del 90 % envió 10KB una sola de las consultas cuyo origen es 4444 pesa 10MB. (Solo son cifras figurativas).
La idea es que estas no me consuman ancho de banda.
JCG.-

Re: Consultas DNS de puerto de origen 4444

Publicado: 11 Mar 2016, 15:23
por gabyrossi
Hola, es que el puerto de origen lo establece en este caso el fortigate.
Se me ocurre bajar el tiempo de esas sessiones de dns
y dns lo abris a internet por que motivo?

Re: Consultas DNS de puerto de origen 4444

Publicado: 11 Mar 2016, 15:49
por adminedensa
Es el dns publico del dominio registrado por la empresa. El puerto de origen no lo pone el fortinet. Lo verifique por sniffeo la interface externa y las consultas viene con ese puerto.
Donde bajo el tiempo de las sessiones de DNS? En el IPS?
JCG.-

Re: Consultas DNS de puerto de origen 4444

Publicado: 11 Mar 2016, 16:27
por gabyrossi
# config system session-ttl

(session-ttl) # set default 300 [ default 3600 ]

(session-ttl) # config port
(port) # edit 0 (*2)
(1) # set protocol 17
(1) # set timeout 10
(1) # set end-port 53
(1) # set start-port 53
# end

(session-ttl) # end