53/tcp open domain NLnet Labs NSD - Форум UBIQUITI.RU

53/tcp open domain NLnet Labs NSD, UniFi Network

MogaleIT

Guest

14.01.2026 09:24:00

При выполнении сканирования Nmap он показывает это как единственный открытый порт на моём WAN-интерфейсе. Это нормально, или даже желательно? Как мне убедиться, что это нельзя использовать в злонамеренных целях для эксплуатации моей внутренней сети?

cquick512

Guest

09.04.2026 02:26:00

После работы с поддержкой и небольшого озарения я понял, что всё это время дело было в контент-фильтре. Любой DNS-запрос, проходящий через UDM (изнутри наружу), обрабатывается DNS-маскарадингом. Именно так работает контент-фильтр по своей сути: он перехватывает все DNS-запросы и блокирует трафик, соответствующий выбранным категориям. Поэтому сканирование портов, которое агрессивно проверяет все распространённые порты на внешнем IP-адресе, всегда будет отвечать на DNS, независимо от того, стоит ли на другом конце UDM, FortiGate, SonicWALL или устройство провайдера, — если только контент-фильтр не отключён. Вот почему моё сканирование из домашней сети через UDM к рабочему EFG не показало открытых DNS-портов. Дома я контент-фильтр не использую!

its3am

Guest

26.03.2026 20:34:00

Да, оно не должно отвечать на своём WAN-интерфейсе на порту 53, когда запросы приходят извне, но до сих пор было сложно получить этому подтверждение. Пожалуйста, сообщи, если будет обновление от службы поддержки Ubiquiti!

cquick512

Guest

26.03.2026 19:50:00

@its3am Я провожу сканирование портов NMAP из своего офиса по WAN-адресам моих клиентов. Также запускал их из дома против офисного EFG, который не сообщает об открытом порте 53. Кроме того, делаю nslookup с десктопа в офисе по WAN-адресам моих клиентов. Понимаю, как работает внутренняя маскировка DNS. Мы используем внутренний IP-адрес интерфейса как основной DNS-сервер для систем клиентов, а затем применяем записи пересылки DNS к контроллерам домена в Policy Table UDM, если у них есть службы AD Domain Services. Контент-фильтр не должен влиять на то, что открыто на WAN-интерфейсе. Со мной только что связалась поддержка, и я отправил файл поддержки из одной затронутой UDM, результаты NMAP и ссылку на это обсуждение.

its3am

Guest

26.03.2026 19:09:00

@cquick512 Откуда ты делаешь эти portscans? Ты отправляешь этот dns запрос из локальной сети? Может быть, у тебя включена фильтрация контента? Если она включена, то UniFi Gateway будет маскировать весь DNS-трафик на себя, чтобы клиенты не запрашивали внешние DNS-серверы в обход именных фильтров контента.

gregorio Guest	#6 26.03.2026 18:40:00 Держите нас в курсе, потому что такое поведение не свойственно ни одному шлюзу Unifi, которым я управлял.

cquick512 Guest	#7 26.03.2026 18:27:00 Подтверждаю словам автора — на WAN-интерфейсах Ubiquiti UDM действительно открыт порт TCP 53. Я проверил 4 устройства из примерно 50 клиентских, за которыми мы обслуживаем. Запускаю Zenmap (Windows-версия NMAP) против их внешнего IP-адреса — результат каждый раз одинаковый:nmap -T4 -A -v -Pn 66.xxx.xxx.xxx Discovered open port 53/tcp on 66.xxx.xxx.xxx Not shown: 996 filtered tcp ports (no-response) PORT STATE SERVICE VERSION 53/tcp open domain NLnet Labs NSD Чтобы подтвердить проверку, захожу в CMD и запускаю:C:\Windows\System32>nslookup yahoo.com 66.xxx.xxx.xxx Server: 66-xxx-xxx-xxx.static.grandenetworks.net Address: 66.xxx.xxx.xxx Non-authoritative answer: Name: yahoo.com Addresses: 2001:4998:124:1507::f000 2001:4998:124:1507::f001 2001:4998:24:120d::1:0 2001:4998:24:120d::1:1 2001:4998:44:3507::8000 2001:4998:44:3507::8001 74.6.231.20 74.6.231.21 98.137.11.163 98.137.11.164 74.6.143.25 74.6.143.26 Одни и те же результаты независимо от того, настроены ли проброс портов, DNAT, SNAT, нет открытых портов, выключен Cybersecure Enhanced и Encrypted DNS.Это доказывает, что UDM на самом деле слушает и отвечает на DNS-запросы на своём WAN-порту. Вопрос остаётся: зачем? Я открою обращение в поддержку, чтобы выяснить причину.

Читают тему (гостей: 1)