Re: iptables und DNS
Hallo,
On Sat, May 04, 2002 at 07:53:02PM +0200, Sacher Khoudari wrote:
> Hi!
>
> Ich bin grad dabei mit Hilfe einiger Tuts und How-Tos ne einfache
> IPTables-Konfiguration hizubekommen. Aber sie scheitert immer am DNS,
> ich kann danach keine Domänen mehr auflösen.
>
> Hier meine Regeln:
>
> iptables -A INPUT -s 127.0.0.1 -j ACCEPT
> iptables -A INPUT -s 0/0 -p udp --dport 53 -j ACCEPT
> iptables -A INPUT -s 0/0 -p tcp --dport 53 -j ACCEPT
TCP brauchst Du nicht, außer Du bist Master und ein Slave will von Dir
die Zonendaten.
UDP ist ok, Port 53 auch, aber woher weißt Du, daß die Antworten zum
Port 53 wollen? Sie wollen zu dem Port, von dem aus die Frage
verschickt wurde. Neuere Binds nehmen da einen willkürlichen Port.
In der named.conf gibt es einen (gut (aus)kommentierten) Abschnit:
query-source-port * 53;
Den solltest Du mal versuchen.
> iptables -A INPUT -s 0/0 -p tcp --syn --dport 517 -j ACCEPT
> iptables -A INPUT -s 0/0 -p tcp --syn --dport 4000 -j ACCEPT
Wofür sind die beiden gut?
Und hier würde ich noch eine LOG-Rule eintragen, damit Du siehst, wer's
bis hier her geschafft hat und jetzt verworfen würde.
> iptables -A INPUT -s 0/0 -j DROP
Best regards from Dresden
Viele Gruesse aus Dresden
Heiko Schlittermann
--
SCHLITTERMANN --------------------- internet & unix support -
<a href="http://debian.schlittermann.de/";> Debian 3.x CD </a>
Heiko Schlittermann HS12-RIPE finger:heiko@schlittermann.de -
pgp: A1 7D F6 7B 69 73 48 35 E1 DE 21 A7 A8 9A 77 92 -------
gpg: CC19 0FE2 073B AEA1 5C11 37DD 347D 73DC FF56 BA6D -----
--
Zum AUSTRAGEN schicken Sie eine Mail an debian-user-german-request@lists.debian.org
mit dem Subject "unsubscribe". Probleme? Mail an listmaster@lists.debian.org (engl)
Reply to: