Re: meine fw macht mich noch alle ... ;o)

To: debian-user-german@lists.debian.org
Subject: Re: meine fw macht mich noch alle ... ;o)
From: Wolf Wiegand <wolf@kondancemilch.de>
Date: Fri, 10 Aug 2007 22:50:45 +0200
Message-id: <[🔎] 20070810205045.GA10113@denkbrett.wiegand.homedns.org>
In-reply-to: <[🔎] 46BCCC26.80809@marcomartinez.de>
References: <[🔎] 46BCB038.2060303@marcomartinez.de> <[🔎] 46BCB262.7050201@aedon-its.de> <[🔎] 46BCC85C.9030604@marcomartinez.de> <[🔎] 20070810202544.GB9363@denkbrett.wiegand.homedns.org> <[🔎] 46BCCC26.80809@marcomartinez.de>

Marco Estrada Martinez wrote:

>> Wieso probierst Du nicht (wie schon einmal empfohlen), das LOG-Target
>> von iptables zu aktivieren? Dann würdest Du ganz schnell sehen, dass die
>> Antworten des befragten DNS-Servers nicht an Port 53 Deines vservers 
>> gehen.
>
> Naja das geht aber leider nicht. Weil das ein vserver iost und er die 
> LOG-Regel nicht im Kernel implementriert hat und ich den Kernel nicht 
> selber konfigurieren kann. Andere Ideen?

Ja, http://netfilter.org lesen :-)

DNS-Anfragen von Deinem vserver gehen über einen beliebigen Port > 1024
zum verwendeten DNS-Server. Der Server antwortet auf genau diesen Port.
Du musst also nicht Port 53 freigeben (der muss freigegeben werden, wenn
von extern auf Deinen DNS-Server zugegriffen werden soll), sondern den
Port, auf dem die DNS-Antworten ankommen. Dafür ist das iptables-Modul
state zuständig:

# iptables -L
Chain INPUT (policy DROP)
target     prot opt source               destination         

Chain FORWARD (policy ACCEPT)
target     prot opt source               destination         

Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination         

# iptables -A INPUT -p udp --dport 53 -j ACCEPT
# nslookup www.heise.de
;; connection timed out; no servers could be reached

# iptables -A INPUT -m state --state ESTABLISHED -j ACCEPT
# nslookup www.heise.de
Server:         192.168.1.1
Address:        192.168.1.1#53

Non-authoritative answer:
Name:   www.heise.de
Address: 193.99.144.85

hth, Wolf
-- 
An einer Klobürste sind auch viel mehr und viel längere Borsten. Trotzdem 
verwende ich lieber eine Zahnbürste, und ehrlich gesagt, ekelt es mich vor 
Leuten, die das nicht tun. (Juergen Ernst Guenther in d.a.s.r.)

Reply to:

Follow-Ups:
- Re: meine fw macht mich noch alle ... ;o)
  - From: Marco Estrada Martinez <marco@marcomartinez.de>

References:
- meine fw macht mich noch alle ... ;o)
  - From: Marco Estrada Martinez <marco@marcomartinez.de>
- Re: meine fw macht mich noch alle ... ;o)
  - From: Reinhold Plew <Reinhold.Plew@aedon-its.de>
- Re: meine fw macht mich noch alle ... ;o)
  - From: Marco Estrada Martinez <marco@marcomartinez.de>
- Re: meine fw macht mich noch alle ... ;o)
  - From: Wolf Wiegand <wolf@kondancemilch.de>
- Re: meine fw macht mich noch alle ... ;o)
  - From: Marco Estrada Martinez <marco@marcomartinez.de>

Prev by Date: Re: meine fw macht mich noch alle ... ;o)
Next by Date: Re: meine fw macht mich noch alle ... ;o)
Previous by thread: Re: meine fw macht mich noch alle ... ;o)
Next by thread: Re: meine fw macht mich noch alle ... ;o)
Index(es):
- Date
- Thread