Wolf Wiegand schrieb:
Marco Estrada Martinez wrote:Naja das geht aber leider nicht. Weil das ein vserver iost und er die LOG-Regel nicht im Kernel implementriert hat und ich den Kernel nicht selber konfigurieren kann. Andere Ideen?Wieso probierst Du nicht (wie schon einmal empfohlen), das LOG-Target von iptables zu aktivieren? Dann würdest Du ganz schnell sehen, dass dieAntworten des befragten DNS-Servers nicht an Port 53 Deines vservers gehen.Ja, http://netfilter.org lesen :-) DNS-Anfragen von Deinem vserver gehen über einen beliebigen Port > 1024 zum verwendeten DNS-Server. Der Server antwortet auf genau diesen Port. Du musst also nicht Port 53 freigeben (der muss freigegeben werden, wenn von extern auf Deinen DNS-Server zugegriffen werden soll), sondern den Port, auf dem die DNS-Antworten ankommen. Dafür ist das iptables-Modul state zuständig: # iptables -L Chain INPUT (policy DROP)target prot opt source destinationChain FORWARD (policy ACCEPT)target prot opt source destinationChain OUTPUT (policy ACCEPT)target prot opt source destination# iptables -A INPUT -p udp --dport 53 -j ACCEPT # nslookup www.heise.de ;; connection timed out; no servers could be reached # iptables -A INPUT -m state --state ESTABLISHED -j ACCEPT # nslookup www.heise.de Server: 192.168.1.1 Address: 192.168.1.1#53 Non-authoritative answer: Name: www.heise.de Address: 193.99.144.85 hth, Wolf
Mh, klingt vollkommen verständlich wenn ich deine zwei (bzw. nur die eine mit -m state) hinzufüge bekomme ich iptables: No chain/target/match by that name ;o( Scheint wohl irgendwas zu fehlen. THX, Marco Auf meinem alten vserver ging es mit genau dem script ...Achso fals es hilft uname -a => Linux vsmem 2.6.9-023stab043.3-smp #1 SMP Thu Apr 19 10:35:07 MSD 2007 i686 GNU/Linux
Attachment:
smime.p7s
Description: S/MIME Cryptographic Signature