คำสั่ง DNS จะเดินทางผ่าน UDP เสมอหรือไม่

33

ฉันใช้เวลาสักครู่ค้นคว้าหัวข้อนี้และดูเหมือนจะไม่พบคำตอบที่แน่นอนดังนั้นฉันค่อนข้างมั่นใจว่ามันไม่ซ้ำกันและในขณะที่คำถามของฉันขึ้นอยู่กับความต้องการด้านความปลอดภัยฉันคิดว่ามันยังปลอดภัยที่จะ ถามที่นี่ แต่แจ้งให้เราทราบหากฉันต้องการย้ายไปที่ชุมชนความปลอดภัย

โดยพื้นฐานแล้วแบบสอบถาม DNS เคยใช้ TCP (ถ้าเป็นเช่นนั้นสถานการณ์นี้เกิดขึ้นได้อย่างไร) อีกครั้งฉันแค่พูดถึงการค้นหา เป็นไปได้ไหมที่พวกเขาจะเดินทางข้าม TCP? หากโดเมนมีความยาวได้สูงสุด 253 ไบต์เท่านั้นและแพ็คเก็ต UDP อาจมีขนาดใหญ่ถึง 512 ไบต์แบบสอบถามจะไม่ออกเป็น UDP ทุกครั้งหรือไม่ ฉันไม่คิดว่าการสืบค้นที่แก้ไขได้อาจมีขนาดใหญ่พอที่จะต้องใช้ TCP หากเซิร์ฟเวอร์ DNS ได้รับคำขอโดเมนที่มีขนาดใหญ่กว่า 253 ไบต์เซิร์ฟเวอร์จะลบหรือไม่ลองและแก้ไขหรือไม่ ฉันแน่ใจว่าฉันได้ตั้งสมมติฐานที่ผิดพลาดที่นี่

สำหรับบริบทบางอย่างฉันกำลังทำงานกับกลุ่มความปลอดภัยในการสืบค้น DNS ในเครื่องมือตรวจสอบความปลอดภัยและด้วยเหตุผลหลายประการที่เราได้ตัดสินใจว่าเราจะรับส่งข้อมูลนี้ผ่านการจับแพ็คเก็ตมาตรฐานบนเซิร์ฟเวอร์ DNS และตัวควบคุมโดเมน ข้อกำหนดหลักคือการรวบรวมการสืบค้น DNS ทั้งหมดเพื่อให้สามารถระบุสิ่งที่ลูกค้าพยายามแก้ไขโดเมนที่กำหนด ตามข้อกำหนดนี้เราไม่เกี่ยวข้องกับการจับการตอบสนอง DNS หรือการรับส่งข้อมูลอื่น ๆ เช่นการถ่ายโอนโซนซึ่งได้รับแรงหนุนจากข้อเท็จจริงที่ว่าเราจำเป็นต้อง จำกัด ปริมาณการบันทึกให้มากที่สุด ดังนั้นเราจึงวางแผนที่จะรวบรวมเฉพาะการสืบค้น DNS ที่กำหนดไว้สำหรับเซิร์ฟเวอร์ DNS และส่งผ่าน UDP สำหรับบริบทเพิ่มเติม (ชนิดของขอบเขตคำถามคลานที่นี่) ตอนนี้ก็ถูกนำขึ้นมาว่าเราอาจต้องขยายความปลอดภัย ' การมองเห็นเพื่อให้พวกเขาสามารถตรวจสอบกิจกรรมเช่นแชนเนลการแปลงที่ทำงานบน DNS (ซึ่งจะแสดงความต้องการในการจับภาพการตอบสนอง DNS เช่นกันและปริมาณการใช้ TCP ในภายหลัง) แต่ถึงแม้จะอยู่ในสถานการณ์แบบนั้นฉันก็คิดว่าทราฟฟิก DNS ขาออกใด ๆ จะอยู่ในรูปแบบของการค้นหา / การสืบค้นและสิ่งเหล่านี้จะอยู่เหนือ UDP แม้ว่าจะมาจากแหล่งที่เป็นอันตราย (เพราะเหตุผลของฉันในวรรคแรก) ดังนั้นจะมีคำถามเพิ่มเติม:

อย่างน้อยที่สุดเราจะจับบทสนทนาครึ่งหนึ่งกับแนวทางที่ฉันได้กล่าวไว้หรือไม่? หรือลูกค้าจะส่งปริมาณการใช้งาน DNS ที่ไม่ได้อยู่ในรูปแบบของแบบสอบถาม (อาจจะชอบการตอบสนองต่อการตอบกลับของเซิร์ฟเวอร์ DNS และอาจจบลงด้วยการใช้ TCP)
สามารถแก้ไขแบบสอบถาม DNS เพื่อใช้ TCP ได้หรือไม่ เซิร์ฟเวอร์ DNS จะยอมรับและตอบกลับแบบสอบถาม DNS ที่มาทาง TCP หรือไม่

ไม่แน่ใจว่าเกี่ยวข้องหรือไม่ แต่เรา จำกัด การร้องขอ DNS ไปยังเซิร์ฟเวอร์ DNS ที่ได้รับอนุญาตและปิดกั้นการรับส่งข้อมูลอื่น ๆ ทั้งหมดผ่านพอร์ต 53 ฉันเป็นมือใหม่แน่นอนฉันขอโทษถ้าคำถามของฉันไม่สอดคล้องและแจ้งให้เราทราบ ฉันควรแก้ไขอย่างไร

domain-name-system tcp udp

— Caderade
แหล่งที่มา

2

Paging @Alnak เรากำลังพูดถึงลูกของคุณ :)

— Andrew B

ฉันจะบังคับให้แบบสอบถาม DNS เริ่มต้นทำงานในโหมด TCP ได้อย่างไร . แม้ว่า OS X / macOS q / a ที่มี mods บางตัวก็สามารถใช้งานได้กับ Linux / Windows

— klanomath

แน่นอนทุกวันนี้ด้วย DNS ผ่าน HTTPS และ DNS ผ่าน TLS และเร็ว ๆ นี้ DNS ผ่าน QUIC ...

— Patrick Mevzek

ทำไมไม่เปลี่ยนเส้นทางการสืบค้น DNS ทั้งหมดไปยัง (a) เซิร์ฟเวอร์ DNS ที่คุณเลือก?

— Craig Hicks

38

แบบสอบถาม DNS ปกติใช้พอร์ต UDP 53 แต่แบบสอบถามที่ยาวกว่า (> 512 octets) จะได้รับคำตอบ 'ถูกตัดทอน' ซึ่งส่งผลให้เกิดการสนทนา TCP 53 เพื่ออำนวยความสะดวกในการส่ง / รับแบบสอบถามทั้งหมด นอกจากนี้เซิร์ฟเวอร์ DNS จะเชื่อมโยงกับพอร์ต 53 แต่คิวรีนั้นมาจากพอร์ตที่มีหมายเลขสูงแบบสุ่ม (49152 ขึ้นไป) ที่ส่งไปยังพอร์ต 53 การตอบสนองจะถูกส่งกลับไปยังพอร์ตเดียวกันนี้จากพอร์ต 53

พอร์ตเครือข่ายที่ใช้โดย DNS | เอกสาร Microsoft

ดังนั้นหากคุณวางแผนที่จะทำการสอดแนมความปลอดภัยในการค้นหา DNS จากเครือข่ายของคุณคุณจะต้องคำนึงถึงข้างต้น

สำหรับทราฟฟิกที่ไม่ใช่การค้นหาให้พิจารณาว่า DNS ใช้การถ่ายโอนโซน (ประเภทการสืบค้น AXFR) เพื่อปรับปรุงเซิร์ฟเวอร์ DNS อื่นด้วยระเบียนใหม่ ผู้ชายที่อยู่ในการโจมตีกลางสามารถเริ่มต้นด้วยการถ่ายโอนเช่น DDOS ในเซิร์ฟเวอร์ชื่อหลักเพื่อที่จะยุ่งเกินไปที่จะตอบสนองต่อการร้องขอรองสำหรับการปรับปรุงระเบียน จากนั้นแฮ็คเกอร์ก็ทำการปลอมแปลง Primary นั้นเพื่อให้ข้อมูล 'พิษ' ไปยัง Secondary ซึ่งเปลี่ยนเส้นทางโดเมน DNS ยอดนิยมไปยังโฮสต์ที่ถูกบุกรุก

ดังนั้นการตรวจสอบความปลอดภัยของคุณควรให้ความสำคัญกับประเภทการสืบค้น AXFR และระบบ DNS ของคุณควรยอมรับการแลกเปลี่ยน AXFR จากที่อยู่ IP ที่ระบุเท่านั้น

SANS Institute InfoSec ห้องอ่านหนังสือ sans.org

— จอร์จเออร์ฮาร์ด
แหล่งที่มา

1

ขอบคุณ George สิ่งที่มีประโยชน์จริงๆ! ดังนั้นเพื่อให้ชัดเจนในประโยคแรกของคุณอย่างรวดเร็ว - แพ็คเก็ต UDP สามารถบรรจุได้ 512 ไบต์ใช่ไหม ถ้าเคียวรี DNS มีขนาดใหญ่กว่า 512 คำถามนั้นจะเริ่มต้นที่ TCP หรือไม่ ฉันลองทดสอบตัวเองโดยใช้ wireshark และใช้ nslookup เพื่อแก้ไขโดเมนขนาดใหญ่ แต่ดูเหมือนว่าจะบล็อกฉันจากการลองโดเมนที่มีขนาดใหญ่กว่า 200 ตัวอักษร (ไม่ใช่จำนวนที่แน่นอน แต่ประเด็นคือฉันไม่สามารถทดสอบสถานการณ์นี้ได้หมด) .

— Caderade

3

ไม่ใช่ "แบบสอบถาม" แต่ "ตอบกลับ" ที่มากกว่า 512Bytes และลูกค้าไม่ทราบว่า "ตอบกลับ" เป็นอย่างไร

— AbraCadaver

7

@Cadeade ใช่คุณถูกต้องแล้วว่าสามารถเป็น TCP หรือ UDP ได้ แต่การถ่ายโอนโซนจะเริ่มต้นเป็น TCP แบบสอบถามลูกค้าจะเป็น UDP เว้นแต่ว่าพวกเขาจะได้รับการตอบสนองจากเซิร์ฟเวอร์ที่มีการตั้งค่าบิตที่ถูกตัดทอน จากนั้นสามารถใช้ TCP

— AbraCadaver

1

ลูกค้าสามารถใช้ TCP สำหรับการตอบสนองขนาดเล็กได้หรือไม่?

— Mehrdad

2

"แพ็คเก็ต UDP สามารถใส่ได้ 512 ไบต์เท่านั้น" ไม่มันเป็นข้อสันนิษฐานว่าบัฟเฟอร์ของไคลเอ็นต์สามารถใส่ได้ 512 ไบต์เท่านั้นที่ทำให้เซิร์ฟเวอร์ทำงานแบบนี้ เซิร์ฟเวอร์สามารถรับการแจ้งเตือนของบัฟเฟอร์ที่ยาวขึ้นโดยใช้ EDNS

— ไบรอัน

28

สิ่งนี้เริ่มเป็นความเห็นต่อคำตอบของจอร์จ แต่มันก็นาน ภาพใหญ่ขึ้นค่อนข้างซับซ้อนเนื่องจากต้องเข้าใจประวัติบ้าง

RFC 1035เดิมเรียกว่าขีด จำกัด 512 ไบต์เพื่อหลีกเลี่ยงการกระจายตัวของ UDP การแยกส่วนดาตาแกรม UDP และ TCP ได้รับเลือกเป็นทางเลือกสุดท้ายเพื่อลดค่าใช้จ่ายในการทำธุรกรรม DNS การถ่ายโอนโซนมักจะใช้ TCP เนื่องจากการถ่ายโอนโซนใช้พื้นที่> 512 ไบต์ตามลักษณะของมัน (มันจะเสียแบนด์วิดท์ที่จะเริ่มต้นด้วย UDP เลย)
รองรับการลอง TCP อีกครั้งในการตัดปลายอย่างกว้างขวางเนื่องจากมีการระบุในRFC 1123ตั้งแต่ปี 1989
EDNS (0) จะถูกกำหนดโดยRFC 6891 (2013) และก่อนที่มีอยู่เป็นเสนอมาตรฐานย้อนหลังไปถึง 1999 มันกำหนดกลไกที่ลูกค้าและเซิร์ฟเวอร์สามารถเจรจาขนาด UDP มากกว่า 512 เนื่องจากความใหม่ของ EDNS (0), อุปกรณ์ฮาร์ดแวร์จำนวนมากทำให้สมมติฐานเกี่ยวกับโครงสร้างของแพ็กเก็ต DNS ที่ทำให้เกิดแพ็กเก็ตที่เข้ากันได้จะถูกทิ้ง สาเหตุที่พบบ่อยที่สุดคือการสันนิษฐานว่าข้อความ DNS ที่เกิน 512 ไบต์ไม่ถูกต้อง แต่นี่เป็นหนึ่งในหลาย ๆ

หากเราแยกมันออกเป็นพฤติกรรมที่สังเกตได้:

คำสั่ง DNS มักจะเริ่มต้นเป็น UDP เว้นแต่จะทราบล่วงหน้าว่าการตอบกลับจะใหญ่เกินไปที่จะเริ่มต้นด้วย (การถ่ายโอนโซน)
การตอบกลับอาจทำให้ TCP ลองใหม่ในไคลเอนต์หากเห็นการตอบกลับที่ถูกตัดทอน นี้ได้รับการสนับสนุนค่อนข้างดี
การตอบกลับของ UDP ที่มีขนาดใหญ่กว่า 512 ไบต์อาจเห็นได้หากไคลเอนต์ใช้ EDNS (0) เพื่อโฆษณา payload ที่ใหญ่กว่าและเซิร์ฟเวอร์ที่รับนั้นรองรับ สิ่งนี้จะเกิดขึ้นหากฮาร์ดแวร์ที่อยู่ระหว่างทั้งสองนั้นไม่รบกวนและส่งผลให้เกิดแพ็กเก็ตที่หล่นหรือผิด
ไคลเอนต์อาจเลือกที่จะลองแบบสอบถาม EDNS (0) ด้วย payload โฆษณาที่มีขนาดเล็กลงถ้าไม่เห็นการตอบกลับ แต่เฉพาะจะแตกต่างกันไประหว่างการใช้งาน
- เป็นสิ่งสำคัญที่จะต้องทราบว่าการตอบกลับซึ่งทำให้ผ่านมาอาจมีขนาดใหญ่เกินไปที่จะพอดีกับขนาดที่ร้องขอซึ่งส่งผลให้พฤติกรรม # 2 ข้างต้น (เจ้าเก่าลอง TCP อีกครั้ง)
- ฝั่งไคลเอ็นต์อาจเลือกที่จะจำขนาดที่ในที่สุดก็ส่งผลให้ประสบความสำเร็จ วิธีนี้ช่วยให้สามารถหลีกเลี่ยงการค้นหาที่ไม่จำเป็นโดยไม่จำเป็น หากต้องการทำอย่างอื่นจะค่อนข้างสิ้นเปลืองโดยเฉพาะอย่างยิ่งหากผลลัพธ์สุดท้ายต้องการ TCP fallback

คุณควรจำไว้ว่าRFC 7766 อนุญาตให้ใช้การเชื่อมต่อผ่าน TCPอีกครั้งและเป็นไปได้ที่จะพบการไพพ์ไลน์แบบสอบถามผ่าน TCP ในไวลด์ เครื่องมือบางอย่างตรวจไม่พบการสอบถาม DNS นอกเหนือจากที่พบครั้งแรกในเซสชัน TCP dnscap เป็นตัวอย่างของ

— แอนดรูข
แหล่งที่มา

เหตุผลหนึ่งในการรับชุดบิตที่ถูกตัดทอนคือการ จำกัด อัตราการตอบกลับ (RRL) ในฐานะที่เป็นเทคนิคการลดการขยาย DNS เซิร์ฟเวอร์อาจส่งแพ็กเก็ตที่ถูกตัดทอนเพื่อให้ไคลเอ็นต์ที่ทำงานได้ดีเปลี่ยนไปใช้ TCP หวังว่าจะป้องกันการตอบกลับไปยังแพ็คเก็ตจากที่อยู่ปลอม

— Edeldil

การเชื่อมต่อนำมาใช้ใหม่: ดังนั้นจงสอนตัวแก้ไขปัญหาของคุณให้ขอ google.com ก่อนก่อนที่จะขอ scantycladladies.com จากนั้น dnscap จะไม่สังเกตเห็น ;-)

— Lenne

6

มีเป็น ความต้องการของการดำเนินงาน - RFC 7766, DNS ขนส่งผ่าน TCP

บทนำ

ธุรกรรมDNS [ RFC1034 ] ส่วนใหญ่เกิดขึ้นที่ UDP [ RFC768 ] TCP [ RFC793 ] มักใช้สำหรับการถ่ายโอนโซนแบบเต็ม (ใช้ AXFR) และมักจะใช้สำหรับข้อความที่มีขนาดเกินขีด จำกัด 512 ไบต์ดั้งเดิมของโปรโตคอล DNS การปรับใช้ DNS Security ที่เพิ่มขึ้น (DNSSEC) และ IPv6 มีขนาดการตอบสนองเพิ่มขึ้นดังนั้นการใช้ TCP ความจำเป็นในการใช้ TCP ที่เพิ่มขึ้นนั้นได้รับแรงผลักดันจากการป้องกันที่ให้การป้องกันการปลอมแปลงที่อยู่ดังนั้นการใช้ประโยชน์จาก DNS ในการโจมตีแบบสะท้อน / ขยาย ตอนนี้ใช้กันอย่างแพร่หลายในการ จำกัด อัตราการตอบสนอง [ RRL1 ] [ RRL2 ] นอกจากนี้งานล่าสุดในการแก้ปัญหาความเป็นส่วนตัวของ DNS เช่น [ DNS-over-TLS] เป็นอีกแรงจูงใจในการทบทวนข้อกำหนด DNS-over-TCP อีกครั้ง

ส่วน 6.1.3.2 จากสถานะ [RFC1123] :
  DNS resolvers and recursive servers MUST support UDP, and SHOULD
  support TCP, for sending (non-zone-transfer) queries.
อย่างไรก็ตามผู้ดำเนินการบางคนได้นำข้อความที่ยกมาข้างต้นเพื่อแสดงว่าการสนับสนุน TCP เป็นคุณสมบัติเสริมของโปรโตคอล DNS

ผู้ให้บริการเซิร์ฟเวอร์ DNS ส่วนใหญ่สนับสนุน TCP อยู่แล้วและการกำหนดค่าเริ่มต้นสำหรับการปรับใช้ซอฟต์แวร์ส่วนใหญ่คือการสนับสนุน TCP ผู้ชมหลักสำหรับเอกสารนี้คือผู้ดำเนินการที่ จำกัด การสนับสนุน TCP จำกัด การทำงานร่วมกันและขัดขวางการปรับใช้คุณลักษณะ DNS ใหม่

เอกสารนี้จึงอัปเดตข้อมูลจำเพาะโปรโตคอล DNS หลักซึ่งการสนับสนุนสำหรับ TCP นับจากนี้ไปเป็นส่วนหนึ่งที่จำเป็นของการใช้โปรโตคอล DNS แบบเต็ม

มีข้อดีและข้อเสียหลายประการสำหรับการใช้ TCP ที่เพิ่มขึ้น (ดูภาคผนวก A ) รวมถึงรายละเอียดการใช้งานที่ต้องพิจารณา เอกสารนี้ระบุถึงปัญหาเหล่านี้และแสดง TCP เป็นทางเลือกการขนส่งที่ถูกต้องสำหรับ DNS มันขยายเนื้อหาของ [ RFC5966 ] ด้วยการพิจารณาเพิ่มเติมและบทเรียนที่ได้เรียนรู้จากการวิจัยการพัฒนาและการใช้งาน TCP ใน DNS และในโปรโตคอลอินเทอร์เน็ตอื่น ๆ

ในขณะที่เอกสารนี้ไม่ได้กำหนดข้อกำหนดเฉพาะสำหรับผู้ให้บริการเซิร์ฟเวอร์ DNS แต่จะให้คำแนะนำแก่ผู้ให้บริการเพื่อช่วยให้มั่นใจว่าการสนับสนุน TCP บนเซิร์ฟเวอร์และเครือข่ายของพวกเขานั้นเหมาะสมที่สุด ควรสังเกตว่าความล้มเหลวในการสนับสนุน TCP (หรือการบล็อก DNS ผ่าน TCP ที่เลเยอร์เครือข่าย) อาจส่งผลให้เกิดความล้มเหลวในการแก้ไขและ / หรือหมดเวลาระดับแอปพลิเคชัน

— รอนมาปิน
แหล่งที่มา

2

เฮ้รอน - ฉันอ่าน RFC จริง ๆ แล้วก่อนโพสต์ แต่ถ้าคุณดูในย่อหน้าแรกดูเหมือนว่าจะเน้นว่าจำเป็นต้องใช้ TCP เพื่อรองรับการตอบสนองที่มากขึ้น - "การปรับใช้ DNS Security (DNSSEC) และ IPv6 ที่เพิ่มขึ้นเรื่อย ๆ เพิ่มขนาดการตอบสนองดังนั้นการใช้ TCP " คำถามของฉันเกี่ยวกับการค้นหาอีกครั้ง แต่ขอบคุณมาก

— Caderade

4

RFC ทำให้ชัดเจนอย่างยิ่งว่าจำเป็นต้องได้รับการสนับสนุน TCP สำหรับ DNS และจะกล่าวถึงการใช้ TCP โดยไคลเอนต์ ตัวอย่างเช่น " ลูกค้าที่ใช้ TCP สำหรับ DNS จำเป็นต้องเตรียมพร้อมเพื่อสร้างการเชื่อมต่อใหม่หรือลองสืบค้นที่ค้างอยู่อีกครั้ง "

— Ron Maupin

จุดดี. ฉันจะบอกว่าความคิดเห็นนั้นมีประโยชน์จริง ๆ เมื่อให้ความกระจ่างเพิ่มเติม ประเด็นของฉันคือฉันได้อ่าน RFC จริง ๆ แล้วและก็ยังไม่ชัดเจนสำหรับฉันว่าการสืบค้นอาจเริ่มต้นจากการใช้ TCP ดังนั้นเมื่อคุณเพิ่งทิ้ง RFC เพื่อหาคำตอบในขณะที่ตลกมันไม่ได้มีประโยชน์จริงๆ มันอ่านมาแล้วสำหรับฉันการสืบค้นผ่าน UDP และหากการตอบสนองมีขนาดใหญ่เกินไปเซิร์ฟเวอร์ DNS จะแจ้งให้ลูกค้าทราบว่าต้องเริ่มต้นใหม่ทั้งหมดและดำเนินการผ่าน TCP ดังนั้นฉันคิดว่าฉันยังคงมีคุณสมบัติตรงตามความต้องการดั้งเดิมของฉันเพราะฉันจะได้รับคำขอเดิม ไม่ว่าฉันจะชื่นชมความคิดเห็นของคุณ

— Caderade

1

INTERNET STANDARDRFC เป็นtools.ietf.org/html/rfc1034 คุณกำลังอ้างถึง a PROPOSED STANDARDถึงต้องใช้ TCP

— AbraCadaver

3

นั่นคือมาตรฐานการติดตาม RFC ที่ปรับปรุงการติดตามมาตรฐานก่อนหน้า RFC เกี่ยวกับสิ่งเดียวกัน คำตอบที่นี่ในServer Faultอธิบายสิ่งต่าง ๆ ดังกล่าว แม้ในเอกสารที่คุณอ้างถึงก็จะกล่าวว่า " ในอินเทอร์เน็ตการสืบค้นจะดำเนินการใน UDP ดาต้าแกรมหรือผ่านการเชื่อมต่อ TCP " RFC 7766 คือการชี้แจงว่า TCP นั้นจำเป็นต้องใช้แทนที่จะเป็นส่วนเสริมของ DNS

— Ron Maupin

3

คุณไม่ควรกรอง TCP / 53 ในทิศทางใด ๆ ตัวอย่างเช่นnsupdateแบบสอบถามอาจใช้ TCP ทันทีที่คำขอมีขนาดใหญ่เกินไป (ซึ่งอาจเกิดขึ้นอย่างรวดเร็ว) ดังนั้นคุณควรปล่อยให้ UDP และ TCP สำหรับพอร์ต 53 (เป็น IPv4 & V6!) ไหลในทุกทิศทาง

นอกจากนี้ยังมีการทำงานมากขึ้นใน DNS ผ่าน TLS ดังนั้น TCP จะต้องใช้ทั้งสองทิศทาง ดู RFC7858

— Patrick Mevzek
แหล่งที่มา

คำถามไม่มีส่วนเกี่ยวข้องกับการกรองและคำตอบของคุณไม่มีส่วนเกี่ยวข้องกับคำตอบอื่น ๆ อีกต่อไป

— Bryan

@Bryan ขอบคุณสำหรับความคิดเห็นที่เป็นประโยชน์และมีประโยชน์มากของคุณ!

— Patrick Mevzek

@PatrickMevzek เข้าใจ - สิ่งที่ฉันพยายามจะพูดคือเราอนุญาตเฉพาะทราฟฟิกไปยังที่อยู่ IP เฉพาะเกินขอบเขตของเราผ่านพอร์ต 53 (อนุญาตให้ใช้ TCP และ UDP)

— Caderade