Ich habe auf dem Rootserver einen Bind9 laufen. Bisher klappt auch alles soweit, nur seit dem ich die Firewall (netfilter) installiert habe kann der Nameserver nicht abgefragt werden, obwohl der Standardport 53 aufgemacht ist.
Hat jemand eine Idee zur Behebung des Problems?
Firewall blockiert DNS abfragen trotz offenem #53
Re: Firewall blockiert DNS abfragen trotz offenem #53
Ja. Korrekte Regeln erstellen oder Paketfilter auf Rootserver komplett abschalten.Hat jemand eine Idee zur Behebung des Problems?
Re: Firewall blockiert DNS abfragen trotz offenem #53
Die Regel besagt, dass aller eingehender und ausgehender Traffic nicht berührt wird.
Danke für Deine Antwort aber etwas konstruktiver wäre nicht verkehrt.
Danke für Deine Antwort aber etwas konstruktiver wäre nicht verkehrt.
-
captaincrunch
- Userprojekt
- Posts: 7066
- Joined: 2002-10-09 14:30
- Location: Dorsten
- Contact:
Re: Firewall blockiert DNS abfragen trotz offenem #53
Aha. Das nächste Ratespielchen...Die Regel besagt, dass aller eingehender und ausgehender Traffic nicht berührt wird.
DebianHowTo
echo "[q]sa[ln0=aln256%Pln256/snlbx]sb729901041524823122snlbxq"|dc
echo "[q]sa[ln0=aln256%Pln256/snlbx]sb729901041524823122snlbxq"|dc
Re: Firewall blockiert DNS abfragen trotz offenem #53
Danke für deine Infos, aber ohne jetzt mal den Output von iptables -L usw. zu kennen, KANN man nicht konstruktiver antworten, wenn man, wie ich, keinen Bock auf Glaskugelei hat.Die Regel besagt, dass aller eingehender und ausgehender Traffic nicht berührt wird.
Danke für Deine Antwort aber etwas konstruktiver wäre nicht verkehrt.
Re: Firewall blockiert DNS abfragen trotz offenem #53
PS: Würde mal alle abgelehnten Pakete mit einem Ratelimit loggen lassen, würde sich das Problem erst gar nicht stellen, dass man nicht weiß, welche Regel jetzt welche Pakete verwirft. Irgendwie scheint mir dein Setup ziemlich vermurkst zu sein...
Re: Firewall blockiert DNS abfragen trotz offenem #53
Hier ein IPTABLES -L
ich habe eben schon nach der rules.conf gesucht leider existiert bei mir keine. oder habe ich ein fehler im namen? ist lang her dass ich mich damit befasst habe. mit den anderen ports funktio0niert es ja auch problemlos.
Code: Select all
Chain INPUT (policy DROP)
target prot opt source destination
ACCEPT all -- anywhere anywhere
LOG all -- loopback/8 anywhere LOG level warning tcp-options ip-options prefix `SuSE-FW-DROP-ANTI-SPOOFING '
LOG all -- anywhere loopback/8 LOG level warning tcp-options ip-options prefix `SuSE-FW-DROP-ANTI-SPOOFING '
DROP all -- loopback/8 anywhere
DROP all -- anywhere loopback/8
LOG all -- nsservice.net anywhere LOG level warning tcp-options ip-options prefix `SuSE-FW-DROP-ANTI-SPOOFING '
DROP all -- nsservice.net anywhere
LOG all -- nsservice.net anywhere LOG level warning tcp-options ip-options prefix `SuSE-FW-DROP-ANTI-SPOOFING '
DROP all -- nsservice.net anywhere
input_ext all -- anywhere nsservice.net
input_int all -- anywhere nsservice.net
DROP all -- anywhere nsservice.net
DROP all -- anywhere 255.255.255.255
DROP all -- anywhere nsservice.net
DROP all -- anywhere 255.255.255.255
LOG all -- anywhere nsservice.net LOG level warning tcp-options ip-options prefix `SuSE-FW-ACCESS_DENIED_INT '
DROP all -- anywhere nsservice.net
LOG all -- anywhere anywhere LOG level warning tcp-options ip-options prefix `SuSE-FW-ILLEGAL-TARGET '
DROP all -- anywhere anywhere
Chain FORWARD (policy DROP)
target prot opt source destination
TCPMSS tcp -- anywhere anywhere tcp flags:SYN,RST/SYN TCPMSS clamp to PMTU
Chain OUTPUT (policy ACCEPT)
target prot opt source destination
ACCEPT all -- anywhere anywhere
LOG icmp -- anywhere anywhere icmp time-exceeded LOG level warning tcp-options ip-options prefix `SuSE-FW-TRACEROUTE-ATTEMPT '
ACCEPT icmp -- anywhere anywhere icmp time-exceeded
ACCEPT icmp -- anywhere anywhere icmp port-unreachable
ACCEPT icmp -- anywhere anywhere icmp fragmentation-needed
ACCEPT icmp -- anywhere anywhere icmp network-prohibited
ACCEPT icmp -- anywhere anywhere icmp host-prohibited
ACCEPT icmp -- anywhere anywhere icmp communication-prohibited
DROP icmp -- anywhere anywhere icmp destination-unreachable
ACCEPT all -- anywhere anywhere state NEW,RELATED,ESTABLISHED
LOG all -- anywhere anywhere LOG level warning tcp-options ip-options prefix `SuSE-FW-OUTPUT-ERROR '
Chain forward_dmz (0 references)
target prot opt source destination
Chain forward_ext (0 references)
target prot opt source destination
Chain forward_int (0 references)
target prot opt source destination
Chain input_dmz (0 references)
target prot opt source destination
LOG all -- nsservice.net anywhere LOG level warning tcp-options ip-options prefix `SuSE-FW-DROP-ANTI-SPOOF '
DROP all -- nsservice.net anywhere
LOG all -- nsservice.net anywhere LOG level warning tcp-options ip-options prefix `SuSE-FW-DROP-ANTI-SPOOF '
DROP all -- nsservice.net anywhere
ACCEPT icmp -- anywhere anywhere icmp echo-request
ACCEPT icmp -- anywhere anywhere state RELATED,ESTABLISHED icmp echo-reply
ACCEPT icmp -- anywhere anywhere state RELATED,ESTABLISHED icmp destination-unreachable
ACCEPT icmp -- anywhere anywhere state RELATED,ESTABLISHED icmp time-exceeded
ACCEPT icmp -- anywhere anywhere state RELATED,ESTABLISHED icmp parameter-problem
ACCEPT icmp -- anywhere anywhere state RELATED,ESTABLISHED icmp timestamp-reply
ACCEPT icmp -- anywhere anywhere state RELATED,ESTABLISHED icmp address-mask-reply
LOG icmp -- anywhere anywhere icmp redirect LOG level warning tcp-options ip-options prefix `SuSE-FW-DROP-ICMP-CRIT '
LOG icmp -- anywhere anywhere icmp source-quench LOG level warning tcp-options ip-options prefix `SuSE-FW-DROP-ICMP-CRIT '
LOG icmp -- anywhere anywhere icmp timestamp-request LOG level warning tcp-options ip-options prefix `SuSE-FW-DROP-ICMP-CRIT '
LOG icmp -- anywhere anywhere icmp address-mask-request LOG level warning tcp-options ip-options prefix `SuSE-FW-DROP-ICMP-CRIT '
LOG icmp -- anywhere anywhere icmp type 2 LOG level warning tcp-options ip-options prefix `SuSE-FW-DROP-ICMP-CRIT '
DROP icmp -- anywhere anywhere
reject_func tcp -- anywhere anywhere tcp dpt:ident flags:SYN,RST,ACK/SYN
LOG tcp -- anywhere anywhere tcp dpt:ftp flags:SYN,RST,ACK/SYN LOG level warning tcp-options ip-options prefix `SuSE-FW-DROP '
DROP tcp -- anywhere anywhere tcp dpt:ftp flags:SYN,RST,ACK/SYN
LOG tcp -- anywhere anywhere tcp dpt:ssh flags:SYN,RST,ACK/SYN LOG level warning tcp-options ip-options prefix `SuSE-FW-DROP '
DROP tcp -- anywhere anywhere tcp dpt:ssh flags:SYN,RST,ACK/SYN
LOG tcp -- anywhere anywhere tcp dpt:smtp flags:SYN,RST,ACK/SYN LOG level warning tcp-options ip-options prefix `SuSE-FW-DROP '
DROP tcp -- anywhere anywhere tcp dpt:smtp flags:SYN,RST,ACK/SYN
LOG tcp -- anywhere anywhere tcp dpt:http flags:SYN,RST,ACK/SYN LOG level warning tcp-options ip-options prefix `SuSE-FW-DROP '
DROP tcp -- anywhere anywhere tcp dpt:http flags:SYN,RST,ACK/SYN
LOG tcp -- anywhere anywhere tcp dpt:pop3 flags:SYN,RST,ACK/SYN LOG level warning tcp-options ip-options prefix `SuSE-FW-DROP '
DROP tcp -- anywhere anywhere tcp dpt:pop3 flags:SYN,RST,ACK/SYN
LOG tcp -- anywhere anywhere tcp dpt:https flags:SYN,RST,ACK/SYN LOG level warning tcp-options ip-options prefix `SuSE-FW-DROP '
DROP tcp -- anywhere anywhere tcp dpt:https flags:SYN,RST,ACK/SYN
LOG tcp -- anywhere anywhere tcp dpt:smtps flags:SYN,RST,ACK/SYN LOG level warning tcp-options ip-options prefix `SuSE-FW-DROP '
DROP tcp -- anywhere anywhere tcp dpt:smtps flags:SYN,RST,ACK/SYN
LOG tcp -- anywhere anywhere tcp dpt:mysql flags:SYN,RST,ACK/SYN LOG level warning tcp-options ip-options prefix `SuSE-FW-DROP '
DROP tcp -- anywhere anywhere tcp dpt:mysql flags:SYN,RST,ACK/SYN
LOG tcp -- anywhere anywhere tcp dpt:ndmp flags:SYN,RST,ACK/SYN LOG level warning tcp-options ip-options prefix `SuSE-FW-DROP '
DROP tcp -- anywhere anywhere tcp dpt:ndmp flags:SYN,RST,ACK/SYN
LOG tcp -- anywhere anywhere tcp dpt:dnp flags:SYN,RST,ACK/SYN LOG level warning tcp-options ip-options prefix `SuSE-FW-DROP '
DROP tcp -- anywhere anywhere tcp dpt:dnp flags:SYN,RST,ACK/SYN
LOG tcp -- anywhere anywhere state RELATED,ESTABLISHED tcp dpts:1024:65535 flags:SYN,RST,ACK/SYN LOG level warning tcp-options ip-options prefix `SuSE-FW-ACCEPT '
ACCEPT tcp -- anywhere anywhere state RELATED,ESTABLISHED tcp dpts:1024:65535
ACCEPT tcp -- anywhere anywhere state ESTABLISHED tcp dpts:ipcserver:65535 flags:!SYN,RST,ACK/SYN
ACCEPT tcp -- anywhere anywhere state ESTABLISHED tcp dpt:ftp-data flags:!SYN,RST,ACK/SYN
ACCEPT udp -- strohhalm20.schlund.net anywhere state NEW,RELATED,ESTABLISHED udp spt:domain dpts:1024:65535
ACCEPT udp -- dns2.schlund.de anywhere state NEW,RELATED,ESTABLISHED udp spt:domain dpts:1024:65535
ACCEPT udp -- dns.schlund.de anywhere state NEW,RELATED,ESTABLISHED udp spt:domain dpts:1024:65535
DROP udp -- anywhere anywhere udp dpt:fsp
DROP udp -- anywhere anywhere udp dpt:ssh
DROP udp -- anywhere anywhere udp dpt:smtp
DROP udp -- anywhere anywhere udp dpt:bootpc
DROP udp -- anywhere anywhere udp dpt:http
DROP udp -- anywhere anywhere udp dpt:pop3
DROP udp -- anywhere anywhere udp dpt:ntp
DROP udp -- anywhere anywhere udp dpt:https
DROP udp -- anywhere anywhere udp dpt:igmpv3lite
DROP udp -- anywhere anywhere udp dpt:mysql
DROP udp -- anywhere anywhere udp dpt:9256
DROP udp -- anywhere anywhere udp dpt:ndmp
DROP udp -- anywhere anywhere udp dpt:ndmp
DROP udp -- anywhere anywhere udp dpt:dnp
DROP udp -- anywhere anywhere udp dpt:dnp
ACCEPT udp -- anywhere anywhere state NEW,RELATED,ESTABLISHED udp dpts:1024:65535
LOG tcp -- anywhere anywhere tcp flags:SYN,RST,ACK/SYN LOG level warning tcp-options ip-options prefix `SuSE-FW-DROP-DEFAULT '
LOG icmp -- anywhere anywhere icmp source-quench LOG level warning tcp-options ip-options prefix `SuSE-FW-DROP-DEFAULT '
LOG icmp -- anywhere anywhere icmp redirect LOG level warning tcp-options ip-options prefix `SuSE-FW-DROP-DEFAULT '
LOG icmp -- anywhere anywhere icmp echo-request LOG level warning tcp-options ip-options prefix `SuSE-FW-DROP-DEFAULT '
LOG icmp -- anywhere anywhere icmp timestamp-request LOG level warning tcp-options ip-options prefix `SuSE-FW-DROP-DEFAULT '
LOG icmp -- anywhere anywhere icmp address-mask-request LOG level warning tcp-options ip-options prefix `SuSE-FW-DROP-DEFAULT '
LOG udp -- anywhere anywhere LOG level warning tcp-options ip-options prefix `SuSE-FW-DROP-DEFAULT '
LOG all -- anywhere anywhere state INVALID LOG level warning tcp-options ip-options prefix `SuSE-FW-DROP-DEFAULT-INVALID '
DROP all -- anywhere anywhere
Chain input_ext (1 references)
target prot opt source destination
LOG all -- nsservice.net anywhere LOG level warning tcp-options ip-options prefix `SuSE-FW-DROP-ANTI-SPOOF '
DROP all -- nsservice.net anywhere
LOG icmp -- nsservice.net anywhere icmp source-quench LOG level warning tcp-options ip-options prefix `SuSE-FW-ACCEPT-SOURCEQUENCH '
ACCEPT icmp -- nsservice.net anywhere icmp source-quench
ACCEPT icmp -- anywhere anywhere icmp echo-request
ACCEPT icmp -- anywhere anywhere state RELATED,ESTABLISHED icmp echo-reply
ACCEPT icmp -- anywhere anywhere state RELATED,ESTABLISHED icmp destination-unreachable
ACCEPT icmp -- anywhere anywhere state RELATED,ESTABLISHED icmp time-exceeded
ACCEPT icmp -- anywhere anywhere state RELATED,ESTABLISHED icmp parameter-problem
ACCEPT icmp -- anywhere anywhere state RELATED,ESTABLISHED icmp timestamp-reply
ACCEPT icmp -- anywhere anywhere state RELATED,ESTABLISHED icmp address-mask-reply
LOG icmp -- anywhere anywhere icmp redirect LOG level warning tcp-options ip-options prefix `SuSE-FW-DROP-ICMP-CRIT '
LOG icmp -- anywhere anywhere icmp source-quench LOG level warning tcp-options ip-options prefix `SuSE-FW-DROP-ICMP-CRIT '
LOG icmp -- anywhere anywhere icmp timestamp-request LOG level warning tcp-options ip-options prefix `SuSE-FW-DROP-ICMP-CRIT '
LOG icmp -- anywhere anywhere icmp address-mask-request LOG level warning tcp-options ip-options prefix `SuSE-FW-DROP-ICMP-CRIT '
LOG icmp -- anywhere anywhere icmp type 2 LOG level warning tcp-options ip-options prefix `SuSE-FW-DROP-ICMP-CRIT '
DROP icmp -- anywhere anywhere
LOG tcp -- anywhere anywhere tcp dpt:ndmp flags:SYN,RST,ACK/SYN LOG level warning tcp-options ip-options prefix `SuSE-FW-ACCEPT '
ACCEPT tcp -- anywhere anywhere state NEW,RELATED,ESTABLISHED tcp dpt:ndmp
LOG tcp -- anywhere anywhere tcp dpt:ftp flags:SYN,RST,ACK/SYN LOG level warning tcp-options ip-options prefix `SuSE-FW-ACCEPT '
ACCEPT tcp -- anywhere anywhere state NEW,RELATED,ESTABLISHED tcp dpt:ftp
LOG tcp -- anywhere anywhere tcp dpt:mysql flags:SYN,RST,ACK/SYN LOG level warning tcp-options ip-options prefix `SuSE-FW-ACCEPT '
ACCEPT tcp -- anywhere anywhere state NEW,RELATED,ESTABLISHED tcp dpt:mysql
LOG tcp -- anywhere anywhere tcp dpt:4662 flags:SYN,RST,ACK/SYN LOG level warning tcp-options ip-options prefix `SuSE-FW-ACCEPT '
ACCEPT tcp -- anywhere anywhere state NEW,RELATED,ESTABLISHED tcp dpt:4662
LOG tcp -- anywhere anywhere tcp dpt:domain flags:SYN,RST,ACK/SYN LOG level warning tcp-options ip-options prefix `SuSE-FW-ACCEPT '
ACCEPT tcp -- anywhere anywhere state NEW,RELATED,ESTABLISHED tcp dpt:domain
LOG tcp -- anywhere anywhere tcp dpt:bootps flags:SYN,RST,ACK/SYN LOG level warning tcp-options ip-options prefix `SuSE-FW-ACCEPT '
ACCEPT tcp -- anywhere anywhere state NEW,RELATED,ESTABLISHED tcp dpt:bootps
LOG tcp -- anywhere anywhere tcp dpt:bootpc flags:SYN,RST,ACK/SYN LOG level warning tcp-options ip-options prefix `SuSE-FW-ACCEPT '
ACCEPT tcp -- anywhere anywhere state NEW,RELATED,ESTABLISHED tcp dpt:bootpc
LOG tcp -- anywhere anywhere tcp dpt:http flags:SYN,RST,ACK/SYN LOG level warning tcp-options ip-options prefix `SuSE-FW-ACCEPT '
ACCEPT tcp -- anywhere anywhere state NEW,RELATED,ESTABLISHED tcp dpt:http
LOG tcp -- anywhere anywhere tcp dpt:https flags:SYN,RST,ACK/SYN LOG level warning tcp-options ip-options prefix `SuSE-FW-ACCEPT '
ACCEPT tcp -- anywhere anywhere state NEW,RELATED,ESTABLISHED tcp dpt:https
LOG tcp -- anywhere anywhere tcp dpt:pop3 flags:SYN,RST,ACK/SYN LOG level warning tcp-options ip-options prefix `SuSE-FW-ACCEPT '
ACCEPT tcp -- anywhere anywhere state NEW,RELATED,ESTABLISHED tcp dpt:pop3
LOG tcp -- anywhere anywhere tcp dpt:smtp flags:SYN,RST,ACK/SYN LOG level warning tcp-options ip-options prefix `SuSE-FW-ACCEPT '
ACCEPT tcp -- anywhere anywhere state NEW,RELATED,ESTABLISHED tcp dpt:smtp
LOG tcp -- anywhere anywhere tcp dpt:ssh flags:SYN,RST,ACK/SYN LOG level warning tcp-options ip-options prefix `SuSE-FW-ACCEPT '
ACCEPT tcp -- anywhere anywhere state NEW,RELATED,ESTABLISHED tcp dpt:ssh
reject_func tcp -- anywhere anywhere tcp dpt:ident flags:SYN,RST,ACK/SYN
LOG tcp -- anywhere anywhere tcp dpt:ssh flags:SYN,RST,ACK/SYN LOG level warning tcp-options ip-options prefix `SuSE-FW-DROP '
DROP tcp -- anywhere anywhere tcp dpt:ssh flags:SYN,RST,ACK/SYN
LOG tcp -- anywhere anywhere tcp dpt:smtp flags:SYN,RST,ACK/SYN LOG level warning tcp-options ip-options prefix `SuSE-FW-DROP '
DROP tcp -- anywhere anywhere tcp dpt:smtp flags:SYN,RST,ACK/SYN
LOG tcp -- anywhere anywhere tcp dpt:http flags:SYN,RST,ACK/SYN LOG level warning tcp-options ip-options prefix `SuSE-FW-DROP '
DROP tcp -- anywhere anywhere tcp dpt:http flags:SYN,RST,ACK/SYN
LOG tcp -- anywhere anywhere tcp dpt:pop3 flags:SYN,RST,ACK/SYN LOG level warning tcp-options ip-options prefix `SuSE-FW-DROP '
DROP tcp -- anywhere anywhere tcp dpt:pop3 flags:SYN,RST,ACK/SYN
LOG tcp -- anywhere anywhere tcp dpt:https flags:SYN,RST,ACK/SYN LOG level warning tcp-options ip-options prefix `SuSE-FW-DROP '
DROP tcp -- anywhere anywhere tcp dpt:https flags:SYN,RST,ACK/SYN
LOG tcp -- anywhere anywhere tcp dpt:smtps flags:SYN,RST,ACK/SYN LOG level warning tcp-options ip-options prefix `SuSE-FW-DROP '
DROP tcp -- anywhere anywhere tcp dpt:smtps flags:SYN,RST,ACK/SYN
LOG tcp -- anywhere anywhere tcp dpt:dnp flags:SYN,RST,ACK/SYN LOG level warning tcp-options ip-options prefix `SuSE-FW-DROP '
DROP tcp -- anywhere anywhere tcp dpt:dnp flags:SYN,RST,ACK/SYN
LOG tcp -- anywhere anywhere state RELATED,ESTABLISHED tcp dpts:1024:65535 flags:SYN,RST,ACK/SYN LOG level warning tcp-options ip-options prefix `SuSE-FW-ACCEPT '
ACCEPT tcp -- anywhere anywhere state RELATED,ESTABLISHED tcp dpts:1024:65535
ACCEPT tcp -- anywhere anywhere state ESTABLISHED tcp dpts:ipcserver:65535 flags:!SYN,RST,ACK/SYN
ACCEPT tcp -- anywhere anywhere state ESTABLISHED tcp dpt:ftp-data flags:!SYN,RST,ACK/SYN
ACCEPT udp -- strohhalm20.schlund.net anywhere state NEW,RELATED,ESTABLISHED udp spt:domain dpts:1024:65535
ACCEPT udp -- dns2.schlund.de anywhere state NEW,RELATED,ESTABLISHED udp spt:domain dpts:1024:65535
ACCEPT udp -- dns.schlund.de anywhere state NEW,RELATED,ESTABLISHED udp spt:domain dpts:1024:65535
DROP udp -- anywhere anywhere udp dpt:ssh
DROP udp -- anywhere anywhere udp dpt:smtp
DROP udp -- anywhere anywhere udp dpt:domain
DROP udp -- anywhere anywhere udp dpt:bootpc
DROP udp -- anywhere anywhere udp dpt:http
DROP udp -- anywhere anywhere udp dpt:pop3
DROP udp -- anywhere anywhere udp dpt:ntp
DROP udp -- anywhere anywhere udp dpt:ntp
DROP udp -- anywhere anywhere udp dpt:https
DROP udp -- anywhere anywhere udp dpt:igmpv3lite
DROP udp -- anywhere anywhere udp dpt:9256
DROP udp -- anywhere anywhere udp dpt:ndmp
DROP udp -- anywhere anywhere udp dpt:dnp
DROP udp -- anywhere anywhere udp dpt:dnp
ACCEPT udp -- anywhere anywhere state NEW,RELATED,ESTABLISHED udp dpts:1024:65535
LOG tcp -- anywhere anywhere tcp flags:SYN,RST,ACK/SYN LOG level warning tcp-options ip-options prefix `SuSE-FW-DROP-DEFAULT '
LOG icmp -- anywhere anywhere icmp source-quench LOG level warning tcp-options ip-options prefix `SuSE-FW-DROP-DEFAULT '
LOG icmp -- anywhere anywhere icmp redirect LOG level warning tcp-options ip-options prefix `SuSE-FW-DROP-DEFAULT '
LOG icmp -- anywhere anywhere icmp echo-request LOG level warning tcp-options ip-options prefix `SuSE-FW-DROP-DEFAULT '
LOG icmp -- anywhere anywhere icmp timestamp-request LOG level warning tcp-options ip-options prefix `SuSE-FW-DROP-DEFAULT '
LOG icmp -- anywhere anywhere icmp address-mask-request LOG level warning tcp-options ip-options prefix `SuSE-FW-DROP-DEFAULT '
LOG udp -- anywhere anywhere LOG level warning tcp-options ip-options prefix `SuSE-FW-DROP-DEFAULT '
LOG all -- anywhere anywhere state INVALID LOG level warning tcp-options ip-options prefix `SuSE-FW-DROP-DEFAULT-INVALID '
DROP all -- anywhere anywhere
Chain input_int (1 references)
target prot opt source destination
LOG all -- nsservice.net anywhere LOG level warning tcp-options ip-options prefix `SuSE-FW-DROP-ANTI-SPOOF '
DROP all -- nsservice.net anywhere
ACCEPT all -- anywhere anywhere
ACCEPT icmp -- anywhere anywhere icmp echo-request
ACCEPT icmp -- anywhere anywhere state RELATED,ESTABLISHED icmp echo-reply
ACCEPT icmp -- anywhere anywhere state RELATED,ESTABLISHED icmp destination-unreachable
ACCEPT icmp -- anywhere anywhere state RELATED,ESTABLISHED icmp time-exceeded
ACCEPT icmp -- anywhere anywhere state RELATED,ESTABLISHED icmp parameter-problem
ACCEPT icmp -- anywhere anywhere state RELATED,ESTABLISHED icmp timestamp-reply
ACCEPT icmp -- anywhere anywhere state RELATED,ESTABLISHED icmp address-mask-reply
LOG icmp -- anywhere anywhere icmp redirect LOG level warning tcp-options ip-options prefix `SuSE-FW-DROP-ICMP-CRIT '
LOG icmp -- anywhere anywhere icmp source-quench LOG level warning tcp-options ip-options prefix `SuSE-FW-DROP-ICMP-CRIT '
LOG icmp -- anywhere anywhere icmp timestamp-request LOG level warning tcp-options ip-options prefix `SuSE-FW-DROP-ICMP-CRIT '
LOG icmp -- anywhere anywhere icmp address-mask-request LOG level warning tcp-options ip-options prefix `SuSE-FW-DROP-ICMP-CRIT '
LOG icmp -- anywhere anywhere icmp type 2 LOG level warning tcp-options ip-options prefix `SuSE-FW-DROP-ICMP-CRIT '
DROP icmp -- anywhere anywhere
reject_func tcp -- anywhere anywhere tcp dpt:ident flags:SYN,RST,ACK/SYN
LOG tcp -- anywhere anywhere state RELATED,ESTABLISHED tcp dpts:1024:65535 flags:SYN,RST,ACK/SYN LOG level warning tcp-options ip-options prefix `SuSE-FW-ACCEPT '
ACCEPT tcp -- anywhere anywhere state RELATED,ESTABLISHED tcp dpts:1024:65535
ACCEPT tcp -- anywhere anywhere state ESTABLISHED tcp dpts:ipcserver:65535 flags:!SYN,RST,ACK/SYN
ACCEPT tcp -- anywhere anywhere state ESTABLISHED tcp dpt:ftp-data flags:!SYN,RST,ACK/SYN
ACCEPT udp -- anywhere anywhere state NEW,RELATED,ESTABLISHED udp dpt:1024
ACCEPT udp -- strohhalm20.schlund.net anywhere state NEW,RELATED,ESTABLISHED udp spt:domain dpts:1024:65535
ACCEPT udp -- dns2.schlund.de anywhere state NEW,RELATED,ESTABLISHED udp spt:domain dpts:1024:65535
ACCEPT udp -- dns.schlund.de anywhere state NEW,RELATED,ESTABLISHED udp spt:domain dpts:1024:65535
ACCEPT udp -- anywhere anywhere state NEW,RELATED,ESTABLISHED udp dpts:1024:65535
LOG tcp -- anywhere anywhere tcp flags:SYN,RST,ACK/SYN LOG level warning tcp-options ip-options prefix `SuSE-FW-DROP-DEFAULT '
LOG icmp -- anywhere anywhere icmp source-quench LOG level warning tcp-options ip-options prefix `SuSE-FW-DROP-DEFAULT '
LOG icmp -- anywhere anywhere icmp redirect LOG level warning tcp-options ip-options prefix `SuSE-FW-DROP-DEFAULT '
LOG icmp -- anywhere anywhere icmp echo-request LOG level warning tcp-options ip-options prefix `SuSE-FW-DROP-DEFAULT '
LOG icmp -- anywhere anywhere icmp timestamp-request LOG level warning tcp-options ip-options prefix `SuSE-FW-DROP-DEFAULT '
LOG icmp -- anywhere anywhere icmp address-mask-request LOG level warning tcp-options ip-options prefix `SuSE-FW-DROP-DEFAULT '
LOG udp -- anywhere anywhere LOG level warning tcp-options ip-options prefix `SuSE-FW-DROP-DEFAULT '
LOG all -- anywhere anywhere state INVALID LOG level warning tcp-options ip-options prefix `SuSE-FW-DROP-DEFAULT-INVALID '
DROP all -- anywhere anywhere
Chain reject_func (3 references)
target prot opt source destination
REJECT tcp -- anywhere anywhere reject-with tcp-reset
REJECT udp -- anywhere anywhere reject-with icmp-port-unreachable
REJECT all -- anywhere anywhere reject-with icmp-proto-unreachable
Re: Firewall blockiert DNS abfragen trotz offenem #53
Code: Select all
target prot opt source destination
ACCEPT all -- anywhere anywhere Re: Firewall blockiert DNS abfragen trotz offenem #53
tue dir und uns nen gefallen und schalt die suse firewall ab!
erklär erst sinnvoll für was du ne firewall brauchst und dann erstell die regeln per hand
...
erklär erst sinnvoll für was du ne firewall brauchst und dann erstell die regeln per hand
...
Re: Firewall blockiert DNS abfragen trotz offenem #53
ich kann dir http://fwbuilder.sf.net empfehlen - einfacher baust du keine Firewall (einen Linux Desktop vorausgesetzt).
EDIT: In deiner Firewall sind ja gar keine TCP/UDP Packet für Port 53 aufgeführt...
UDP 53: normale DNS Anfragen - für alle freigeben
TCP 53: zonen transfers - nur für die beteiligten DNS-Server freigeben
Aber ich sehe auch keinen Grund eine Firewall auf nem rooty laufen zu lassen.
Entweder du bietest Dienste an und hälst sie aktuell (=sicher) oder du startest die Dienst eben nicht und bist auch sicher.
Eine Ausnahme für eine Firewall wäre evtl. ein nicht sicherer sendmail, den du aus Faulheit nicht patchst, der aber von einem anderen rooty Mails annehmen soll. Sowas _könnte_ man mit iptables regeln. Oder aber natürlich mit (x)inetd
EDIT: In deiner Firewall sind ja gar keine TCP/UDP Packet für Port 53 aufgeführt...
UDP 53: normale DNS Anfragen - für alle freigeben
TCP 53: zonen transfers - nur für die beteiligten DNS-Server freigeben
Aber ich sehe auch keinen Grund eine Firewall auf nem rooty laufen zu lassen.
Entweder du bietest Dienste an und hälst sie aktuell (=sicher) oder du startest die Dienst eben nicht und bist auch sicher.
Eine Ausnahme für eine Firewall wäre evtl. ein nicht sicherer sendmail, den du aus Faulheit nicht patchst, der aber von einem anderen rooty Mails annehmen soll. Sowas _könnte_ man mit iptables regeln. Oder aber natürlich mit (x)inetd
Re: Firewall blockiert DNS abfragen trotz offenem #53
Nope. TCP 53: normale DNS Anfragen (genau wie auch UDP 53) - für alle freigeben (sofern man einen öffentlichen DNS betreibt)TCP 53: zonen transfers - nur für die beteiligten DNS-Server freigeben
Re: Firewall blockiert DNS abfragen trotz offenem #53
laut http://www.msisafaq.de/Anleitungen/Tabe ... rotdef.htm
Im Firewall Handbuch von littleidiot.de
Code: Select all
Name Beschreibung Definiert von Portnummer Protokolltyp Richtung
DNS Query DNS (Domain Name System) ISA Server 53 UDP Senden Empfangen
DNS Query Server Domain Name System - Server ISA Server 53 UDP Empfangen Senden
DNS Zone Transfer DNS Zone Transfer-Protokoll ISA Server 53 TCP Ausgehend
DNS Zone Transfer Server DNS-Zonentransfer - Server ISA Server 53 TCP Eingehend Ich schalte seit Jahren nur UDP 53 frei und hatte noch nie eine Klage über nicht erreichbare DNS Server.DNS-Lookups werden aus Geschwindigkeitsgründen meist über UDP abgewickelt. Wenn bei der Ã?bertragung mit UDP Daten verlorengehen, wird der Lookup-Vorgang mit TCP wiederholt. Die Zonen-Transfers von DNS finden über TCP statt
Re: Firewall blockiert DNS abfragen trotz offenem #53
Dann warte, bis die erste Anfrage oder Antwort kommt, die größer als 512 (?) Byte ist, und du wirst sehen, warum du dir selbst in den Fuß schießt... BTW: Das ist nicht realitätsfern, ich habe schon öfters von solchen Problemen in Newsgruppen gelesen. Auch bekannte Anbieter wie hotmail und Co. hatten mal eine Zeit lang so viele MX und Aliases, dass das vorkam. Wenn du denen keine Mails mehr senden kannst, wirds lustig...Ich schalte seit Jahren nur UDP 53 frei und hatte noch nie eine Klage über nicht erreichbare DNS Server.
Auf irgendwelche Firewall-Handbücher würde ich nichts geben. Die ultimative Resource zum Thema sind die RFCs. http://www.faqs.org/rfcs/rfc1123.html
RFC 1123 - Requirements for Internet Hosts - Application and Support
1.2.2 Robustness Principle
[...]
DNS resolvers and recursive servers MUST support UDP, and
SHOULD support TCP, for sending (non-zone-transfer) queries.
DNS servers MUST be able to service UDP queries and SHOULD
be able to service TCP queries.
usw. Dort wird auch erklärt, warum das nötig ist und welche Probleme man bekommt...
Re: Firewall blockiert DNS abfragen trotz offenem #53
Hallo,
ich hab irgendwie das selbe Problem. Ich kann bei aktiviertem Paketfilter kein DNS auflösen.
hier mein iptable -L
wäre für Hilfe wirklich Dankbar
ich hab irgendwie das selbe Problem. Ich kann bei aktiviertem Paketfilter kein DNS auflösen.
hier mein iptable -L
Code: Select all
Chain INPUT (policy DROP)
target prot opt source destination
ACCEPT all -- anywhere anywhere
ACCEPT tcp -- anywhere anywhere tcp dpt:www
ACCEPT tcp -- anywhere anywhere tcp dpt:ftp
ACCEPT tcp -- anywhere anywhere tcp dpt:auth
ACCEPT udp -- anywhere anywhere udp spt:domain
ACCEPT tcp -- anywhere anywhere tcp spt:domain
ACCEPT tcp -- anywhere anywhere tcp dpt:smtp
ACCEPT tcp -- anywhere anywhere tcp dpt:imap2
ACCEPT tcp -- anywhere anywhere tcp dpt:imaps
ACCEPT tcp -- anywhere anywhere tcp dpt:pop3
ACCEPT tcp -- anywhere anywhere tcp dpt:ssh
ACCEPT icmp -- anywhere anywhere
Chain FORWARD (policy ACCEPT)
target prot opt source destination
Chain OUTPUT (policy DROP)
target prot opt source destination
ACCEPT all -- anywhere anywhere
ACCEPT tcp -- anywhere anywhere tcp spt:www
ACCEPT tcp -- anywhere anywhere tcp spt:ftp
ACCEPT tcp -- anywhere anywhere tcp dpt:ftp
ACCEPT tcp -- anywhere anywhere tcp spt:auth
ACCEPT udp -- anywhere anywhere udp spt:domain
ACCEPT tcp -- anywhere anywhere tcp spt:domain
ACCEPT tcp -- anywhere anywhere tcp spt:smtp
ACCEPT tcp -- anywhere anywhere tcp dpt:smtp
ACCEPT tcp -- anywhere anywhere tcp spt:imap2
ACCEPT tcp -- anywhere anywhere tcp spt:imaps
ACCEPT udp -- anywhere anywhere udp dpt:ntp
ACCEPT tcp -- anywhere anywhere tcp spt:ssh
ACCEPT icmp -- anywhere anywhere
Re: Firewall blockiert DNS abfragen trotz offenem #53
Dann schalte deinen Paketfilter ab.ich hab irgendwie das selbe Problem. Ich kann bei aktiviertem Paketfilter kein DNS auflösen.
sorry falsch gepostet
würde den aber gern behalten... gibt es eine andere Möglichkeit?
Re: Firewall blockiert DNS abfragen trotz offenem #53
So so interessant. Ich habe bisher nur UDP offen auf meiner Firewall und DNS scheint keine Probleme zu machen. Werde aber gleich mal TCP nachziehen, was soll's.dodolin wrote:Auf irgendwelche Firewall-Handbücher würde ich nichts geben. Die ultimative Resource zum Thema sind die RFCs. http://www.faqs.org/rfcs/rfc1123.htmlusw. Dort wird auch erklärt, warum das nötig ist und welche Probleme man bekommt...RFC 1123 - Requirements for Internet Hosts - Application and Support
1.2.2 Robustness Principle
[...]
DNS resolvers and recursive servers MUST support UDP, and
SHOULD support TCP, for sending (non-zone-transfer) queries.
DNS servers MUST be able to service UDP queries and SHOULD
be able to service TCP queries.
Roi
Re: Firewall blockiert DNS abfragen trotz offenem #53
Das geht so lange gut, bis mal größere Queries bzw. Antworten kommen. Es gab mal Zeiten, da hatte z.B. Yahoo oder AOL so viele MX Einträge, dass das mehr als 512 Byte waren. Leute mit Paketfiltern wie du hatten dann eine Menge Ã?rger und große Probleme, die Ursachen zu lokalisieren...Ich habe bisher nur UDP offen auf meiner Firewall und DNS scheint keine Probleme zu machen.
Re: Firewall blockiert DNS abfragen trotz offenem #53
Ich habe bisher nur UDP offen auf meiner Firewall und DNS scheint keine Probleme zu machen.
Gut zu wissen. Man lernt nie aus. Ich meine, woher soll man das auch wissen wenn man nicht das RFC gelesen hat? Ich sniff den Verkehr mit, werte das aus und stelle die Firewall entsprechend ein. Und das waren damals wohl nur UDP-Pakete.dodolin wrote:Das geht so lange gut, bis mal größere Queries bzw. Antworten kommen. Es gab mal Zeiten, da hatte z.B. Yahoo oder AOL so viele MX Einträge, dass das mehr als 512 Byte waren. Leute mit Paketfiltern wie du hatten dann eine Menge Ã?rger und große Probleme, die Ursachen zu lokalisieren...
Danke fuer die Info.
Re: Firewall blockiert DNS abfragen trotz offenem #53
Indem man z.b. schaut welche Ports offen sind....Roi wrote:Gut zu wissen. Man lernt nie aus. Ich meine, woher soll man das auch wissen wenn man nicht das RFC gelesen hat? Ich sniff den Verkehr mit, werte das aus und stelle die Firewall entsprechend ein. Und das waren damals wohl nur UDP-Pakete.