Re: [Debian] Firewall blockiert Namensaufloesung
On Tue, May 22, 2001 at 10:55:43AM +0200, Harald Witt wrote:
Bitte den Vorredner leben lassen...;-)
> Christian Schmidt schrieb:
> > for NS in `/usr/local/bin/resolv-list`;do
> > $IPCHAINS -A input -s $NS 53 -d $LOCALIP 1024: -i $ISDN \
> > -p udp -j ACCEPT
> > $IPCHAINS -A input -s $NS 53 -d $LOCALIP 1024: -i $ISDN \
> > -p tcp -j ACCEPT
> > done
>
> Die Regel heisst:
> Alles was vom DNS-Port kommt (TCP und UDP) lass durch die input-Chain an den
> lokalen Prozess ran.
> Das sind also die Antworten des DNS-Servers.
Yup.
> Wie sieht es denn mit den Anfragen aus ??? Die müssen erst mal durch die
> output-chain durchkommen.
Meine Output-Policy steht bzw. stand auf ACCEPT.
> Die /var/log/messages hilft da immer weiter wenn an die Standard-Policy -l
> dranhängst, und auch tcpdump ist da nicht schlecht.
> Die Regel sollte ungefähr so aussehen:
> ipchains -A output -s $LOCALIP 1024: -d $NS 53 -i $ISDN -p tcp -j ACCEPT
>
> BTW: Wenn die Regeln wirklich so in der "Linux User" standen ist das
> wirklich zum heulen. Die zweite Regel öffnet ja ein riesiges
> Sicherheitsloch. Da kann doch jeder mal vom Port 53 aus eine Vebindung zu
> einem lokalen Prozess aufbauen, vorausgesetzt, er hat die richtige IP
> gespooft.
> Also Klartext: Es fehlt die Unterdrückung des Syn-Bits (! -y).
ACK. Ich werde den zuständigen Redakteuren wohl mal eine Mail schreiben und
um Aufklärung bitten.
Gruß & Dank,
Christian
--
Christian Schmidt
schmidtc@chemie.uni-hamburg.de
--
-----------------------------------------------------------
Um sich aus der Liste auszutragen schicken Sie bitte eine
E-Mail an debian-user-de-request@lehmanns.de die im Subject
"unsubscribe <deine_email_adresse>" enthaelt.
Bei Problemen bitte eine Mail an: Jan.Otto@Lehmanns.de
-----------------------------------------------------------
849 eingetragene Mitglieder in dieser Liste.
Reply to: