Re: [Debian] Firewall blockiert Namensaufloesung

To: Debian-Mailingliste <debian-user-de@lehmanns.de>
Subject: Re: [Debian] Firewall blockiert Namensaufloesung
From: Heiko Schlittermann <heiko@schlittermann.de>
Date: Mon, 21 May 2001 21:28:51 +0200
Message-id: <[🔎] 20010521212850.K12146@schlittermann.de>
Mail-followup-to: Debian-Mailingliste <debian-user-de@lehmanns.de>
Reply-to: hs@schlittermann.de
In-reply-to: <[🔎] 20010521192657.A2203@server.linau.de>; from schmidtc@chemie.uni-hamburg.de on Mon, May 21, 2001 at 07:26:57PM +0200
References: <[🔎] 20010521192657.A2203@server.linau.de>

On Mon, May 21, 2001 at 07:26:57PM +0200, Christian Schmidt wrote:
> for NS in `/usr/local/bin/resolv-list`;do
> $IPCHAINS -A input -s $NS 53 -d $LOCALIP 1024: -i $ISDN \
> -p udp -j ACCEPT
> $IPCHAINS -A input -s $NS 53 -d $LOCALIP 1024: -i $ISDN \
> -p tcp -j ACCEPT
> done

Hm. TCP brauchst Du nicht für DNS, es sei denn, Du machst
Zonentransfers.  Wenn Du welche machst, dann gehen die aber von Dir aus.
Sollten andere Zonen von Dir holen wollen (was ich nicht glaube), mußt
Du 53/tcp reinlassen.

Aber wir reden sicherlich von 53/udp, also von dem, was Deine Kiste von
anderen wissen will.  

Neuere BINDs nehmen willkürliche Source-Ports.  Das ist nicht immer
praktisch, weil Du die vorher nicht weißt und auch damit kein UDP
reinlassen kannst auf diese Ports.  Aber - in /etc/bind/named.conf
gibt es eine (auskommentierte) Zeile: ``query-source address * port
53''.  Wenn Du diese Zeile aktivierst und dann 

    ipchains -s 0/0 domain -d $LOCALIP domain -p udp -j ACCEPT

in Deinen Rules hast, kann es funktionieren.  Die -s 0/0 domain --Angabe
ist ziemlich für die Katz, das kann jeder faken, aber es macht natürlich
einen guten Eindruck ;-)

OOoch, ich sehe gerade, das war garnicht die Antwort auf Deine Frage.
Aber es _ist_ die Antwort auf Deine Frage, wenn bei Dir lokal ein BIND
läuft (und in /etc/resolv.conf ein ``nameserver 0.0.0.0'' steht.)

Um Deine Frage wirklich zu beantworten, solltest Du mal als letzte Rule
ein 

    ipchains -A input -j DENY -l

eintragen und uns dann zeigen, was dort drin steht, nachdem Du versucht
hast, auf Rechner außerhalb Deines Netzes zu pingen...

    Best regards from Dresden/Germany
    Viele Gruesse aus Dresden
    Heiko Schlittermann
-- 
 SCHLITTERMANN --------------------- internet & unix support -
 <a href="http://debian.schlittermann.de/";> Debian 2.x CD </a>
 Heiko Schlittermann HS12-RIPE finger:heiko@schlittermann.de -
 pgp: A1 7D F6 7B 69 73 48 35  E1 DE 21 A7 A8 9A 77 92 -------
 gpg: CC19 0FE2 073B AEA1 5C11  37DD 347D 73DC FF56 BA6D -----

-- 
-----------------------------------------------------------
Um sich aus der Liste auszutragen schicken Sie bitte eine
E-Mail an debian-user-de-request@lehmanns.de die im Subject
"unsubscribe <deine_email_adresse>" enthaelt.
Bei Problemen bitte eine Mail an: Jan.Otto@Lehmanns.de
-----------------------------------------------------------

848 eingetragene Mitglieder in dieser Liste.

Reply to:

References:
- [Debian] Firewall blockiert Namensaufloesung
  - From: Christian Schmidt <schmidtc@chemie.uni-hamburg.de>

Prev by Date: [Debian] Setting locale failed
Next by Date: Re: [Debian] Headerzeilen (was: Re: lokalen Mirror aus Debian-CDs aufbauen?)
Previous by thread: Re: [Debian] Firewall blockiert Namensaufloesung
Next by thread: Re: [Debian] Firewall blockiert Namensaufloesung
Index(es):
- Date
- Thread