Cisco SB-101. Bad DNS query from [address]

@Konstantin® · Регистрация: 24.10.2013

Студворк — интернет-сервис помощи студентам

Вечер добрый, всех с НГ !!!
Имеется SB-101 (используется дома). Никогда не наблюдал подобных логов, теперь и тут их вижу.

Кликните здесь для просмотра всего текста

Dec 29 23:51:59.957: %DNSSERVER-3-BADQUERY: Bad DNS query from 151.217.31.218
Dec 29 17:51:59.957: Length=29
Dec 29 17:51:59.957: 0x81B94DE8 47 45 54 20 2F 20 48 54 54 50 2F 31 2E 31 0D 0A
Dec 29 17:51:59.957: 0x81B94E08 48 6F 73 74 3A 20 77 77 77 0D 0A 0D 0A
Dec 30 18:28:46.459: %DNSSERVER-3-BADQUERY: Bad DNS query from 31.22.7.61
Dec 30 12:28:46.459: Length=29
Dec 30 12:28:46.459: 0x81B965E8 47 45 54 20 2F 20 48 54 54 50 2F 31 2E 31 0D 0A
Dec 30 12:28:46.463: 0x81B96608 48 6F 73 74 3A 20 77 77 77 0D 0A 0D 0A

[Запрещенная ссылка] тут советовали

Закрыть ACLом его снаружи, чтобы только внутренние устройства могли к нему обращаться.

Моя циска является DNS сервером для клиентом локальной сети, но 53-й порт открыт и снаружи, посоветуйте как правильно закрыть DNS запросы снаружи.
Конфиг готов выложить при необходимости.

P.S. Просьба, сильно не грузите, я не особо силен в CLI.

@Konstantin® · 05.01.2014, 16:06 **[ТС]**

Исходя из [ссылка] совета.

Code
1
ip access-list extended rules

deny udp any host [внешний ИП вашего роутера без скобок] eq 53

Code
1
deny udp any host

[внешний ИП вашего роутера без скобок] eq 5353

У меня внешний IP, динамический, как быть ?

Jabbson · 06.01.2014, 15:59

Если днс запросов Вы снаружи не ждете вообще - использовать any вместо адреса.

Code
1
2
3
deny tcp any any eq 53
deny udp any any eq 53
permit ip any any

@Konstantin® · 06.01.2014, 16:05 **[ТС]**

Jabbson, Снаружи, я однозначно не жду DNS запросов, благодарю за совет.
Последний вопрос, это правило будет выглядеть так:

Code
1
2
3
4
5
6
7
ip access-list extended rules 
 deny tcp any any eq 53
 deny udp any any eq 53
 permit ip any any
 
interface di0
 ip access-group rules in

Jabbson · 06.01.2014, 16:09

Это не вопрос, но да, выглядит правильно

@Konstantin® · 06.01.2014, 16:10 **[ТС]**

Jabbson, Благодарю за помощь, очень признателен.

Jabbson · 06.01.2014, 16:13

Сообщение от Konstantin®

Jabbson, Благодарю за помощь, очень признателен.

всегда пожалуйста, обращайтесь)

@Konstantin® · 06.01.2014, 16:43 **[ТС]**

Не совсем у меня получается

Как только вешаю правило на int di0, в локальной сети не работает ничего кроме торрента.

Кликните здесь для просмотра всего текста

~$ nslookup google.com
;; connection timed out; no servers could be reached

Убираю правило с di0

Кликните здесь для просмотра всего текста

~$ nslookup google.com
Server: 127.0.0.1
Address: 127.0.0.1#53

Non-authoritative answer:
Name: google.com
Address: 173.194.32.136
Name: google.com
Address: 173.194.32.137
Name: google.com
Address: 173.194.32.142
Name: google.com
Address: 173.194.32.128
Name: google.com
Address: 173.194.32.129
Name: google.com
Address: 173.194.32.130
Name: google.com
Address: 173.194.32.131
Name: google.com
Address: 173.194.32.132
Name: google.com
Address: 173.194.32.133
Name: google.com
Address: 173.194.32.134
Name: google.com
Address: 173.194.32.135

Где я ошибся ?

Jabbson · 07.01.2014, 15:25

Добрый день. Можно конфиг посмотреть?

@Konstantin® · 07.01.2014, 19:31 **[ТС]**

Вечер добрый !
Конечно можно.

Кликните здесь для просмотра всего текста

cisco#sh run
Building configuration...

Current configuration : 2862 bytes
!
! Last configuration change at 18:50:21 Almaty Thu Jan 2 2014 by *******
! NVRAM config last updated at 21:56:23 Almaty Mon Dec 30 2013 by *******
!
version 12.4
no service pad
service timestamps debug datetime msec
service timestamps log datetime msec localtime
service password-encryption
!
hostname cisco
!
boot-start-marker
boot-end-marker
!
no logging console
no logging monitor
!
no aaa new-model
clock timezone Almaty 6
no ip dhcp use vrf connected
no ip dhcp conflict logging
ip dhcp excluded-address 192.168.1.1
ip dhcp excluded-address 192.168.1.1 192.168.1.5
!
ip dhcp pool LAN
import all
network 192.168.1.0 255.255.255.0
default-router 192.168.1.1
dns-server 192.168.1.1
!
!
ip cef
ip domain name ********
ip host asus 192.168.1.5
ip host dlink 192.168.1.2
ip host tplink 192.168.1.3
ip name-server 91.185.6.10
ip name-server 91.185.2.10
ip ddns update method dyndns
HTTP
add http://**************@members.dyndns.org/nic/update?system=dyndns&hostname=<h>&myip=< a>
interval maximum 1 0 0 0
!
login on-failure log
!
!
username ******* privilege 15 secret 5 $1$L5U2$xFuyIYP0r5yYptBoweZ7J/
!
!
ip ssh authentication-retries 2
ip ssh version 2
!
!
buffers big permanent 150
buffers big initial 150
!
!
interface Ethernet0
description === LAN ===
ip address 192.168.1.1 255.255.255.0
ip nat inside
no cdp enable
!
interface Ethernet1
description === ISP ===
no ip address
duplex auto
pppoe enable group global
pppoe-client dial-pool-number 1
no keepalive
no cdp enable
!
interface Dialer0
description === PPPoE ===
ip ddns update hostname *******.dyndns.org
ip ddns update dyndns
ip address negotiated
ip mtu 1492
ip nat outside
encapsulation ppp
dialer pool 1
dialer idle-timeout 0
dialer persistent
dialer-group 1
no cdp enable
ppp authentication pap callin
ppp pap sent-username ******** password 7 045908081B294E545B49554E
!
ip forward-protocol nd
ip route 0.0.0.0 0.0.0.0 Dialer0
no ip http server
ip http access-class 23
ip http authentication local
no ip http secure-server
!
ip dns server
ip nat inside source list 1 interface Dialer0 overload
ip nat inside source static tcp 192.168.1.2 80 interface Dialer0 1001
ip nat inside source static tcp 192.168.1.3 80 interface Dialer0 1000
ip nat inside source static tcp 192.168.1.5 6881 interface Dialer0 6881
ip nat inside source static tcp 192.168.1.4 6882 interface Dialer0 6882
ip nat inside source static tcp 192.168.1.5 3389 interface Dialer0 3389
!
access-list 1 permit 192.168.1.0 0.0.0.255
dialer-list 1 protocol ip permit
no cdp run
!
control-plane
!
!
line con 0
login local
no modem enable
line aux 0
line vty 0 4
access-class 23 in
exec-timeout 2 0
privilege level 15
logging synchronous
login local
transport input ssh
transport output all
!
scheduler max-task-time 5000
sntp server 194.33.191.69
sntp source-interface Dialer0
end

Jabbson · 07.01.2014, 20:00

Сообщение от Konstantin®

Как только вешаю правило на int di0, в локальной сети не работает ничего кроме торрента.

и скайпа)

Странно, вроде таким образом должны только те пакеты ловиться, что направляются снаружи внутрь и имеют в destination порт 53. Вы уверены, что не перепутали направление в котором применяли acl?

@Konstantin® · 07.01.2014, 20:32 **[ТС]**

Возможно мог ошибиться с направлением, завтра перепроверю.

@Konstantin® · 08.01.2014, 21:28 **[ТС]**

Как-то я ничего не могу понять, вроде бы должно работать, но не работает.
Часть конфига.

int di0

Code
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
interface Dialer0
 description === PPPoE ===
 ip ddns update hostname *******.dyndns.org
 ip ddns update dyndns
 ip address negotiated
 ip access-group rules in
 ip mtu 1492
 ip nat outside
 encapsulation ppp
 dialer pool 1
 dialer idle-timeout 0
 dialer persistent
 dialer-group 1
 no cdp enable
 ppp authentication pap callin
 ppp pap sent-username ****** password 7 045908081B294E545B49554E

ip access-list

Code
1
2
3
4
5
6
7
ip access-list extended rules
 deny   tcp any any eq domain
 deny   udp any any eq domain
 permit ip any any
access-list 1 permit 192.168.1.0 0.0.0.255
dialer-list 1 protocol ip permit
no cdp run

@jlevistk · 08.01.2014, 22:17

Так вы сделали совсем не то, что вам советовали. Вы закрыли ВСЁ, а нужно было только 53 порт. Сравните свою часть конфига и то, что вам посоветовали сделать.

@Konstantin® · 08.01.2014, 22:26 **[ТС]**

jlevistk, может я чего-то не понимаю, я сделал то, что советовал Jabbson

Code
1
2
3
deny tcp any any eq 53
deny udp any any eq 53
permit ip any any

@jlevistk · 08.01.2014, 22:29

Да, но обратите внимание на то, что в конфиге у вас "53" - отсутствует.

Добавлено через 1 минуту
Ой, там вместо 53 - domain написано. Я не приметил сразу...

@Konstantin® · 08.01.2014, 22:31 **[ТС]**

jlevistk, я конечно же обратил на это внимание, но это то, что я вижу по

Code
1
sh run

Хотя прописываю я это, как

Code
1
deny tcp any any eq 53

Добавлено через 1 минуту

Сообщение от jlevistk

Ой, там вместо 53 - domain написано. Я не приметил сразу...

Ничего страшного, бывает

@jlevistk · 08.01.2014, 22:36

А если выключить на роутере dns сервер и раздавать внешние dns сервера? Или он там нужен?

@Konstantin® · 08.01.2014, 22:38 **[ТС]**

Сообщение от jlevistk

раздавать внешние dns сервера

Внешние типа 8.8.8.8 ?

@jlevistk · 08.01.2014, 22:40

Да, типа 8.8.8.8(кстати хороший вариант) или те, которые вам выдал провайдер.

Новые блоги и статьи Все статьи Все блоги /
Новый ноутбук volvo 07.12.2025 Всем привет. По скидке в "черную пятницу" взял себе новый ноутбук Lenovo ThinkBook 16 G7 на Амазоне: Ryzen 5 7533HS 64 Gb DDR5 1Tb NVMe 16" Full HD Display Win11 Pro	Музыка, написанная Искусственным Интеллектом volvo 04.12.2025 Всем привет. Некоторое время назад меня заинтересовало, что уже умеет ИИ в плане написания музыки для песен, и, собственно, исполнения этих самых песен. Стихов у нас много, уже вышли 4 книги, еще 3. . .	От async/await к виртуальным потокам в Python IndentationError 23.11.2025 Армин Ронахер поставил под сомнение async/ await. Создатель Flask заявляет: цветные функции - провал, виртуальные потоки - решение. Не threading-динозавры, а новое поколение лёгких потоков. Откат?. . .	Поиск "дружественных имён" СОМ портов Argus19 22.11.2025 Поиск "дружественных имён" СОМ портов На странице: https:/ / norseev. ru/ 2018/ 01/ 04/ comportlist_windows/ нашёл схожую тему. Там приведён код на С++, который показывает только имена СОМ портов, типа,. . .	Сколько Государство потратило денег на меня, обеспечивая инсулином. Programma_Boinc 20.11.2025 Сколько Государство потратило денег на меня, обеспечивая инсулином. Вот решила сделать интересный приблизительный подсчет, сколько государство потратило на меня денег на покупку инсулинов. . . .
Ломающие изменения в C#.NStar Alpha Etyuhibosecyu 20.11.2025 Уже можно не только тестировать, но и пользоваться C#. NStar - писать оконные приложения, содержащие надписи, кнопки, текстовые поля и даже изображения, например, моя игра "Три в ряд" написана на этом. . .	Мысли в слух kumehtar 18.11.2025 Кстати, совсем недавно имел разговор на тему медитаций с людьми. И обнаружил, что они вообще не понимают что такое медитация и зачем она нужна. Самые базовые вещи. Для них это - когда просто люди. . .	Создание Single Page Application на фреймах krapotkin 16.11.2025 Статья исключительно для начинающих. Подходы оригинальностью не блещут. В век Веб все очень привыкли к дизайну Single-Page-Application . Быстренько разберем подход "на фреймах". Мы делаем одну. . .	Фото: Daniel Greenwood kumehtar 13.11.2025	Расскажи мне о Мире, бродяга kumehtar 12.11.2025 — Расскажи мне о Мире, бродяга, Ты же видел моря и метели. Как сменялись короны и стяги, Как эпохи стрелою летели. - Этот мир — это крылья и горы, Снег и пламя, любовь и тревоги, И бескрайние. . .

Jabbson 5906 / 3358 / 1036 Регистрация: 03.11.2009 Сообщений: 10,008
	06.01.2014, 16:09
	Это не вопрос, но да, выглядит правильно 0

@Konstantin® 394 / 170 / 30 Регистрация: 24.10.2013 Сообщений: 1,002
	06.01.2014, 16:10 [ТС]
	Jabbson, Благодарю за помощь, очень признателен. 0

@Konstantin® 394 / 170 / 30 Регистрация: 24.10.2013 Сообщений: 1,002
	06.01.2014, 16:43 [ТС]
	Не совсем у меня получается Как только вешаю правило на int di0, в локальной сети не работает ничего кроме торрента. Кликните здесь для просмотра всего текста ~$ nslookup google.com ;; connection timed out; no servers could be reached Убираю правило с di0 Кликните здесь для просмотра всего текста ~$ nslookup google.com Server: 127.0.0.1 Address: 127.0.0.1#53 Non-authoritative answer: Name: google.com Address: 173.194.32.136 Name: google.com Address: 173.194.32.137 Name: google.com Address: 173.194.32.142 Name: google.com Address: 173.194.32.128 Name: google.com Address: 173.194.32.129 Name: google.com Address: 173.194.32.130 Name: google.com Address: 173.194.32.131 Name: google.com Address: 173.194.32.132 Name: google.com Address: 173.194.32.133 Name: google.com Address: 173.194.32.134 Name: google.com Address: 173.194.32.135 Где я ошибся ? 0

Jabbson 5906 / 3358 / 1036 Регистрация: 03.11.2009 Сообщений: 10,008
	07.01.2014, 15:25
	Добрый день. Можно конфиг посмотреть? 0

@Konstantin® 394 / 170 / 30 Регистрация: 24.10.2013 Сообщений: 1,002
	07.01.2014, 19:31 [ТС]
	Вечер добрый ! Конечно можно. Кликните здесь для просмотра всего текста cisco#sh run Building configuration... Current configuration : 2862 bytes ! ! Last configuration change at 18:50:21 Almaty Thu Jan 2 2014 by ***** ! NVRAM config last updated at 21:56:23 Almaty Mon Dec 30 2013 by *** ! version 12.4 no service pad service timestamps debug datetime msec service timestamps log datetime msec localtime service password-encryption ! hostname cisco ! boot-start-marker boot-end-marker ! no logging console no logging monitor ! no aaa new-model clock timezone Almaty 6 no ip dhcp use vrf connected no ip dhcp conflict logging ip dhcp excluded-address 192.168.1.1 ip dhcp excluded-address 192.168.1.1 192.168.1.5 ! ip dhcp pool LAN import all network 192.168.1.0 255.255.255.0 default-router 192.168.1.1 dns-server 192.168.1.1 ! ! ip cef ip domain name **** ip host asus 192.168.1.5 ip host dlink 192.168.1.2 ip host tplink 192.168.1.3 ip name-server 91.185.6.10 ip name-server 91.185.2.10 ip ddns update method dyndns HTTP add http://**********@members.dyndns.org/nic/update?system=dyndns&hostname=<h>&myip=< a> interval maximum 1 0 0 0 ! login on-failure log ! ! username *** privilege 15 secret 5 $1$L5U2$xFuyIYP0r5yYptBoweZ7J/ ! ! ip ssh authentication-retries 2 ip ssh version 2 ! ! buffers big permanent 150 buffers big initial 150 ! ! interface Ethernet0 description === LAN === ip address 192.168.1.1 255.255.255.0 ip nat inside no cdp enable ! interface Ethernet1 description === ISP === no ip address duplex auto pppoe enable group global pppoe-client dial-pool-number 1 no keepalive no cdp enable ! interface Dialer0 description === PPPoE === ip ddns update hostname ***.dyndns.org ip ddns update dyndns ip address negotiated ip mtu 1492 ip nat outside encapsulation ppp dialer pool 1 dialer idle-timeout 0 dialer persistent dialer-group 1 no cdp enable ppp authentication pap callin ppp pap sent-username ****** password 7 045908081B294E545B49554E ! ip forward-protocol nd ip route 0.0.0.0 0.0.0.0 Dialer0 no ip http server ip http access-class 23 ip http authentication local no ip http secure-server ! ip dns server ip nat inside source list 1 interface Dialer0 overload ip nat inside source static tcp 192.168.1.2 80 interface Dialer0 1001 ip nat inside source static tcp 192.168.1.3 80 interface Dialer0 1000 ip nat inside source static tcp 192.168.1.5 6881 interface Dialer0 6881 ip nat inside source static tcp 192.168.1.4 6882 interface Dialer0 6882 ip nat inside source static tcp 192.168.1.5 3389 interface Dialer0 3389 ! access-list 1 permit 192.168.1.0 0.0.0.255 dialer-list 1 protocol ip permit no cdp run ! control-plane ! ! line con 0 login local no modem enable line aux 0 line vty 0 4 access-class 23 in exec-timeout 2 0 privilege level 15 logging synchronous login local transport input ssh transport output all ! scheduler max-task-time 5000 sntp server 194.33.191.69 sntp source-interface Dialer0 end 0

@Konstantin® 394 / 170 / 30 Регистрация: 24.10.2013 Сообщений: 1,002
	07.01.2014, 20:32 [ТС]
	Возможно мог ошибиться с направлением, завтра перепроверю. 0

@jlevistk 239 / 234 / 8 Регистрация: 05.05.2011 Сообщений: 1,553
	08.01.2014, 22:17
	Так вы сделали совсем не то, что вам советовали. Вы закрыли ВСЁ, а нужно было только 53 порт. Сравните свою часть конфига и то, что вам посоветовали сделать. 0

@jlevistk 239 / 234 / 8 Регистрация: 05.05.2011 Сообщений: 1,553
	08.01.2014, 22:29
	Да, но обратите внимание на то, что в конфиге у вас "53" - отсутствует. Добавлено через 1 минуту Ой, там вместо 53 - domain написано. Я не приметил сразу... 0

@jlevistk 239 / 234 / 8 Регистрация: 05.05.2011 Сообщений: 1,553
	08.01.2014, 22:36
	А если выключить на роутере dns сервер и раздавать внешние dns сервера? Или он там нужен? 0

@jlevistk 239 / 234 / 8 Регистрация: 05.05.2011 Сообщений: 1,553
	08.01.2014, 22:40
	Да, типа 8.8.8.8(кстати хороший вариант) или те, которые вам выдал провайдер. 1