[Date Prev][Date Next] [Thread Prev][Thread Next] [Date Index] [Thread Index]

Re: Server antwortet nicht (Namensauflösung)

> > Die Anfrage von 192.168.61.3 an 192.168.61.1 an Port 53/UDP
> > (DNS/dnsmasq) wird geblockt, ergo keine Namensauflösung für diesen
> > Client. Du solltest (wenn ich richtig liege) die Restriktionen
> > gegenüber deinem lokalen LAN überarbeiten.
>
> PS: Um das auszutesten kannst du an 192.168.61.1 DNS-Anfragen aus dem
> LAN so temporär so erlauben (als root in einem Terminal eingeben):
>
> iptables -I INPUT -i eth0 -src 192.168.61.0/24 --dport 53 -j ACCEPT

Wenn dann
iptables -I INPUT -i eth0 -p udp -s 192.168.61.0/24 --dport 53 -j ACCEPT
sonst Fehlermeldungen.

> Wenn die Client-DNS-Anfragen dann funktionieren mußt du dein
> Netfilter-Skript anpassen.

Das tut alles nicht.
So, hab das nun mal auf das, wie ich annehme, notwendigste gekürzt.
Damit dürften keine Einschränkungen für niemanden vorliegen, oder? (und 
alles mögliche wird protokolliert)

--- schnipp --- schnapp ---
PATH=/usr/sbin:/sbin:/usr/bin:/bin
export PATH

##### Kernel-Tuning #######################################################

for i 
in /proc/sys/net/ipv4/conf/*/{accept_source_route,accept_redirects,send_redirects}; 
do
  echo 0 >$i
done
echo 1 >/proc/sys/net/ipv4/icmp_echo_ignore_broadcasts
echo 1 >/proc/sys/net/ipv4/tcp_syncookies
echo 1 >/proc/sys/net/ipv4/ip_forward


##### POLICIES ############################################################
# Bereits existierende Regeln löschen
iptables -F

##### INPUT-Chain #########################################################
# vom Loopback-Interface ist alles erlaubt
 iptables -A INPUT -i lo -j ACCEPT

# Alles andere wird zunächst protokolliert und dann gesperrt.
iptables -A INPUT -j LOG
#iptables -A INPUT -j DROP

 
##### OUTPUT-Chain ########################################################
# Pakete nach Loopback
 iptables -A OUTPUT -o lo -j ACCEPT

 iptables -A OUTPUT -j LOG
# iptables -A OUTPUT -p tcp -j REJECT --reject-with tcp-reset
# iptables -A OUTPUT -j DROP
--- schnipp --- schnapp ---
 

Ein david:# iptables-save
gibt aus (womit ich allerdings nicht viel anfangen kann):

--- schnipp --- schnapp ---
# Generated by iptables-save v1.2.11 on Fri Apr  6 00:36:06 2007
*nat
:PREROUTING ACCEPT [279:27784]
:POSTROUTING ACCEPT [131:7545]
:OUTPUT ACCEPT [1452:53535]
-A POSTROUTING -o eth0 -j MASQUERADE 
-A POSTROUTING -o eth0 -j MASQUERADE 
-A POSTROUTING -o eth0 -j MASQUERADE 
-A POSTROUTING -o eth0 -j MASQUERADE 
-A POSTROUTING -o eth0 -j MASQUERADE 
-A POSTROUTING -o eth0 -j MASQUERADE 
-A POSTROUTING -o eth0 -j MASQUERADE 
-A POSTROUTING -o eth0 -j MASQUERADE 
-A POSTROUTING -o eth0 -j MASQUERADE 
-A POSTROUTING -o eth0 -j MASQUERADE 
-A POSTROUTING -o eth0 -j MASQUERADE 
-A POSTROUTING -o eth0 -j MASQUERADE 
-A POSTROUTING -o eth0 -j MASQUERADE 
-A POSTROUTING -o eth0 -j MASQUERADE 
-A POSTROUTING -o eth0 -j MASQUERADE 
-A POSTROUTING -o eth0 -j MASQUERADE 
-A POSTROUTING -o eth0 -j MASQUERADE 
-A POSTROUTING -o eth0 -j MASQUERADE 
COMMIT
# Completed on Fri Apr  6 00:36:06 2007
# Generated by iptables-save v1.2.11 on Fri Apr  6 00:36:06 2007
*mangle
:PREROUTING ACCEPT [6795:2528314]
:INPUT ACCEPT [6761:2525657]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [8878:607375]
:POSTROUTING ACCEPT [8874:609793]
COMMIT
# Completed on Fri Apr  6 00:36:06 2007
# Generated by iptables-save v1.2.11 on Fri Apr  6 00:36:06 2007
*filter
:INPUT DROP [146:13196]
:FORWARD DROP [0:0]
:OUTPUT DROP [70:4363]
:INBOUND - [0:0]
:LOG_FILTER - [0:0]
:LSI - [0:0]
:LSO - [0:0]
:OUTBOUND - [0:0]
-A INPUT -i lo -j ACCEPT 
-A INPUT -j LOG 
-A OUTPUT -o lo -j ACCEPT 
-A OUTPUT -j LOG 
COMMIT
# Completed on Fri Apr  6 00:36:06 2007
--- schnipp --- schnapp ---



So langsam bin ich hiermit aber doch am Verzweifeln.



-- 
    ciao Sven
Reply to: