AW: [Debian] Firewall blockiert Namensaufloesung
> for NS in `/usr/local/bin/resolv-list`;do
> $IPCHAINS -A input -s $NS 53 -d $LOCALIP 1024: -i $ISDN \
> -p udp -j ACCEPT
> $IPCHAINS -A input -s $NS 53 -d $LOCALIP 1024: -i $ISDN \
> -p tcp -j ACCEPT
> done
Die Regel heisst:
Alles was vom DNS-Port kommt (TCP und UDP) lass durch die input-Chain an den
lokalen Prozess ran.
Das sind also die Antworten des DNS-Servers.
Wie sieht es denn mit den Anfragen aus ??? Die müssen erst mal durch die
output-chain durchkommen.
Die /var/log/messages hilft da immer weiter wenn an die Standard-Policy -l
dranhängst, und auch tcpdump ist da nicht schlecht.
Die Regel sollte ungefähr so aussehen:
ipchains -A output -s $LOCALIP 1024: -d $NS 53 -i $ISDN -p tcp -j ACCEPT
BTW: Wenn die Regeln wirklich so in der "Linux User" standen ist das
wirklich zum heulen. Die zweite Regel öffnet ja ein riesiges
Sicherheitsloch. Da kann doch jeder mal vom Port 53 aus eine Vebindung zu
einem lokalen Prozess aufbauen, vorausgesetzt, er hat die richtige IP
gespooft.
Also Klartext: Es fehlt die Unterdrückung des Syn-Bits (! -y).
HTH
Harald
--
-----------------------------------------------------------
Um sich aus der Liste auszutragen schicken Sie bitte eine
E-Mail an debian-user-de-request@lehmanns.de die im Subject
"unsubscribe <deine_email_adresse>" enthaelt.
Bei Problemen bitte eine Mail an: Jan.Otto@Lehmanns.de
-----------------------------------------------------------
849 eingetragene Mitglieder in dieser Liste.
Reply to: