Re: meine fw macht mich noch alle ... ;o)
Marco Estrada Martinez wrote:
>> Wieso probierst Du nicht (wie schon einmal empfohlen), das LOG-Target
>> von iptables zu aktivieren? Dann würdest Du ganz schnell sehen, dass die
>> Antworten des befragten DNS-Servers nicht an Port 53 Deines vservers
>> gehen.
>
> Naja das geht aber leider nicht. Weil das ein vserver iost und er die
> LOG-Regel nicht im Kernel implementriert hat und ich den Kernel nicht
> selber konfigurieren kann. Andere Ideen?
Ja, http://netfilter.org lesen :-)
DNS-Anfragen von Deinem vserver gehen über einen beliebigen Port > 1024
zum verwendeten DNS-Server. Der Server antwortet auf genau diesen Port.
Du musst also nicht Port 53 freigeben (der muss freigegeben werden, wenn
von extern auf Deinen DNS-Server zugegriffen werden soll), sondern den
Port, auf dem die DNS-Antworten ankommen. Dafür ist das iptables-Modul
state zuständig:
# iptables -L
Chain INPUT (policy DROP)
target prot opt source destination
Chain FORWARD (policy ACCEPT)
target prot opt source destination
Chain OUTPUT (policy ACCEPT)
target prot opt source destination
# iptables -A INPUT -p udp --dport 53 -j ACCEPT
# nslookup www.heise.de
;; connection timed out; no servers could be reached
# iptables -A INPUT -m state --state ESTABLISHED -j ACCEPT
# nslookup www.heise.de
Server: 192.168.1.1
Address: 192.168.1.1#53
Non-authoritative answer:
Name: www.heise.de
Address: 193.99.144.85
hth, Wolf
--
An einer Klobürste sind auch viel mehr und viel längere Borsten. Trotzdem
verwende ich lieber eine Zahnbürste, und ehrlich gesagt, ekelt es mich vor
Leuten, die das nicht tun. (Juergen Ernst Guenther in d.a.s.r.)
Reply to: