Christoph Haas wrote:
On Thu, Jan 09, 2003 at 05:35:24PM +0100, Christian Hüning wrote:WWW Ja der Rest eigentlich nein.. Aber wenn ich ...dport domain... nicht drin habe, dann funktioniertes nichDas liegt daran, dass Nameserver-Anfragen eine UDP-Anfragen nach außen stellen und eine UDP-Antwort zurückbekommen. Durch die Natur von UDP (verbindungslos) muss man eingehende Port 53-UDP-Pakete zulassen.
Ich habe das OP zwar nicht mehr im Kopf und auch nicht mehr in der box hier, aber war das nicht über
--dport domain -j ACCEPTgeregelt? Das was Du schreibst (Christoph), sollte aber auch das connection tracking mit -- established, related erkennen können und die Pakete durchlassen ohne, den internen DNS von aussen zugänglich zu machen, IMHO.
-- - maik