"A potential DNS Rebind attack has been detected" durch GeoIP

[sw1980]

Hallo,

bei folgendem merkwürdigen Problem komme ich nicht weiter. Ich habe für mehrere Domains DNS-A-Records eingerichtet, die auf verschiedene virtuelle IPs zeigen.

Für die virtuellen IP's gibt es jeweils Portweiterleitungen samt zugehöriger IPv4 WAN-Regel, welche meistens die Ports 80 und 443 erlaubt. Soweit funktioniert das alles seit Jahren einwandfrei und ich kann alle Domains sowohl intern aus dem eigenen Netzwerk, als auch extern aufrufen. Nur eine einzelne Portweiterleitung tanzt aus der Reihe, diese kann ich extern ohne Probleme aufrufen, jedoch nicht intern aus dem eigenen Netz, dann kommt die Meldung:

"A potential DNS Rebind attack has been detected"

Darauf hin fragte ich mich, warum funktioniert nur diese eine Domain/Portweiterleitung nicht? Beim Vergleichen gibt es nur einen Unterschied, die Portweiterleitung, bei welcher der Fehler kommt, hat im Gegensatz zu den anderen als Quelle nicht den * (beliebig) sondern ich habe dort einen GeoIP-Alias hinterlegt (Nur deutsche IP-Adressen sollen als Quell-IP erlaubt sein). Wenn ich stattdessen die Quelle auf "beliebig" stelle, verschwindet auch die "Rebind attack"-Meldung, es gibt also einen direkten Zusammenhang zur GeoIP-Liste.

Weiß jemand, warum das so ist und ob kann man das verhindern kann?

Eigentlich ja nicht schlimm, da die Domain in der Hauptsache extern aufgerufen wird. Ich würde aber gern die Domain hinter dieser Portweiterleitung monitoren, vor allem, ob und wie lange das SSL-Zertifikat noch gültig ist was durch die Fehlermeldung natürlich unmöglich ist.

Als oberste Firewallregel gibt es noch eine weitere GeoIP-Regel, diese jedoch mit einer allgemeinen Länder-Blockierliste. Diese Regel ist aber nich mit einer Portweiterleitung verknüpft und scheint keine derartigen Probleme zu machen.

Ich wäre für jede Hilfe sehr dankbar.

Viele Grüße,

Stefan

[JeGr]

Weiß jemand, warum das so ist und ob kann man das verhindern kann?

Wenn du bei der Forwarding/NAT Regel das mit einem Source Alias wie GeoIP eingerichtet hast, dann gilt dieses Alias von intern NICHT, da die Quelle dann das interne Netz nicht mit drin hat. Sprich dein Forwarding gilt nur von außen, das kannst du via NAT Reflection nicht von intern aufrufen. Wenn es intern via SplitDNS bspw. aufgerufen wird, dann sollte es je nach Setup funktionieren (kommt auf die Weiterleitung an). Alternativ, wenn das mit NAT Reflection gehen muss, dann muss in deinem Source Alias auch das/die internen Netze, aus denen es funktionieren soll mit inkludiert sein.

Andere Alternative ist statt einfach mit grober Kelle NAT Reflection zu nutzen, das nur selektiv für intern manuell einzurichten, von Verbindungen aus, die funktionieren müssen, damit die auto NAT Reflection nicht einfach wild das auf allen Interfaces durchkonfiguriert.

Cheers!