Open DNS Resolver mit Rekursion

Hallo.
Ich habe gestern einen PASCOM Server als VM mit offen erreichbarer IP-Adresse aufgesetzt.
Heute bekomme ich eine EMail unseres Providers mit folgendem Inhalt:

Wir konnten in den letzten Tagen feststellen, dass der von Ihnen verwendete Router ein Sicherheitsproblem darstellt. Auf Ihrem Router ist ein sogenannter Open-DNS Resolver aktiv.

Dabei handelt es sich um einen DNS-Server, der auf einem Ihrer Geräte betrieben wird. Dessen Funktion stellen Sie jedem Internetnutzer weltweit zur Verfügung. Das Problem wird in den meisten Fällen durch eine fehlerhafte Einstellung oder eine veraltete Firmware Ihres W-LAN Routers oder Home-NAS-Systems verursacht.

Im einem Link wird die IP-Adresse des PASCOM-Servers gezeigt.

Das Thema mit DNS-Missbrauch geht ja gerade um. Bei keinem anderen unserer Linux-Server wird dieses Problem gemeldet. Aktiviert PASCOM einen eigenen DNS-Server, der rekursive Anfragen beantwortet?
Siehe auch: https://wiki.botfrei.de/Open_DNS_Resolver

Viele Grüße
Thomas

Hallo Thomas,

ja auf dem Management-Interface läuft auch ein DNS Server. Diesen solltest du auch nicht direkt über eine WAN IP Adresse verfügbar machen, ein sekundäres Interface eignet sich hierfür besser.

Grüße,
Steve

Dazu habe ich bei dem Installations-Video nichts gesehen. Es wird also erwartet, dass 2 NIC existieren? Das ist bei diesem Server zufällig der Fall. Aber das sollte schon deutlich erwähnt werden.
Das Video weist nur darauf hin, dass man eine von außen erreichbare IP nutzen soll, damit man sein Smartphone benutzen kann.

Nicht zwangsläufig, im Video (falls wir vom gleichen reden) wird ja eine private IP vergeben. Die Dienste für externe Geräte werden dann ja über Portforwarding erreichbar gemacht:
https://www.pascom.net/doc/de/howto/mobile-access/
Das Interface ist also nicht 1zu1 aus dem Internet erreichbar. Für das Management Interface würde ich das auch nicht anraten.

Ich bin hiernach vorgegangen:

(Variante 2) Eigener, externer Domainname

In dieser Variante haben Sie einen eigenen, extern erreichbaren Domainnamen der auf die externe IP-Adresse Ihres Routers zeigt.

Bei einer Domain brauche ich kein Forwarding.

Hallo @tfriedrich,

dort steht aber auch es sollte eine Firewall verwendet werden, und somit wenigestens nur die notwendigen Ports zugänglich sein.

Ihre Firewall anpassen

Um den Zugriff auf Ihren pascom Server aus dem Internet einzurichten ist es notwendig ein Forwarding auf die IP-Adresse des pascom Server für folgende Ports einzurichten:

Gruß,
Rapha

In welchem Video wird denn das mit der internen IP und Forwarding beschrieben?
Der Server sollte aber eigentlich für sich allein arbeiten, ohne dass man auf anderen Geräten Ports weiterleiten muss.
Kann ich DNS deaktivieren oder in der Firewall blockieren?

Standardmäßig blockiert die Firewall eines Linux-Servers keine Ports. Und eine Firewall macht auch kein Portforwarding, wohin auch? Ich bin ja schon auf dem richtigen Server.
Forwarding heißt: Ich schlage auf einem extern erreichbaren Server / Router auf, dieser leitet z.B. Port 8000 auf einen nur intern erreichbaren Server um.
Allenfalls könnte ich sämtliche Ports standardmäßig blockieren und nur noch die paar nötigen offen lassen. Aber dann komme ich auch nicht mehr aufs DNS, wozu läuft es also?

Viele Grüße
Thomas

Hi,
hier die Doku mit Videolink: https://www.pascom.net/doc/de/server/virtual/

Server stehen doch meitens hinter einer Firewall in einer DMZ, das ist doch nichts ungewöhnliches? Das Management Interface solltest du wie erwähnt bitte nicht ungefiltert “ins Netz” stellen. Du kannst ein Sekundäres Interface für die externen Geräte verwenden, das kann dann auch direkt die Public IP zugewiesen haben und du brauchst das Portforwarding nicht.
Viele haben ja nur eine oder zumindest begrenzte IPv4 Adressen, daher bezieht sich die Doku meist auf das Konstrukt mit Portforwarding.

Bei welchem Video macht es den Eindruck das dem Management direkt eine Public IP zugewiesen wird, dann gebe ich das gerne als Kritikpunkt weiter?

Grüße,
Steve

Korrekt, gemeint ist im Howto sicherlich die von @Steve angesprochene (kundenseitige) Firewall, nicht die der pascom-Appliance.

Gruß,
Rapha

Der Anleitung, der ich gefolgt bin, war gar nicht so direkt zu entnehmen, dass es sich um einen Management-Zugang handelt, der gesondert behandelt werden sollte. Ich muss mal schauen, welches Video das war. Man kann das sicher eindeutiger formulieren, am besten in einer Schritt-für-Schritt Anleitung, wie ich es für meine Projekte immer tue. Dann kann man nichts mehr falsch machen.

Viele Grüße
Thomas