Firewall verhindert jegliche Kommunikation mit Nameserver

[web-gear]

Hallo zusammen!

Ich habe das Problem, dass ich meinen einwandfrei laufenden Nameserver (bind9.2) hinter der SuSE-Firewall2 nicht mehr erreichen kann. Das System läuft auf SuSE 8.1, und ich habe die Firewall über Yast2 soweit ich das beurteilen kann richtig konfiguriert, da ich bei den Diensten, die zugelassen werden soll, "domain" eingetragen habe, also den port 53.

Ein Test mit "dig" auf dem Server selbst klappt einwandfrei.

Wenn ich aber von einem Rechner außerhalb versuche, eine "dig"-Anfrage durchzuführen, dann funktioniert dies nur bei abgeschalteter Firewall.
Ist sie eingeschaltet, dann kommt die folgende Fehlermeldung:

hs@linux:~> dig @### ###

; <<>> DiG 9.2.3 <<>> @### ###
;; global options: printcmd
;; connection timed out; no servers could be reached

Hier die Einstellungen aus meiner named.conf:

options {

# The directory statement defines the name server's
# working directory

directory "/var/lib/named";

# The forwarders record contains a list of servers to
# which queries should be forwarded. Enable this line and
# modify the IP-address to your provider's name server.
# Up to three servers may be listed.

#forwarders { 10.11.12.13; 10.11.12.14; };

# Enable the next entry to prefer usage of the name
# server declared in the forwarders section.

#forward first;

# The listen-on record contains a list of local network
# interfaces to listen on. Optionally the port can be
# specified. Default is to listen on all interfaces found
# on your system. The default port is 53.

#listen-on port 53 { 127.0.0.1; };

# The listen-on-v6 record enables or disables listening
# on IPV6 interfaces. Allowed values are 'any' and 'none'
# or a list of addresses. IPv6 can only be used with
# kernel 2.4 in this release.

#listen-on-v6 { any; };

# The next three statements may be needed if a firewall
# stands between the local server and the internet.

query-source address * port 53;
transfer-source * port 53;
notify-source * port 53;

# The allow-query record contains a list of networks or
# IP-addresses to accept and deny queries from. The
# default is to allow queries from all hosts.

#allow-query { 127.0.0.1; };

# If notify is set to yes (default), notify messages are
# sent to other name servers when the the zone data is
# changed. Instead of setting a global 'notify' statement
# in the 'options' section, a separate 'notify' can be
# added to each zone definition.

notify no;

# Erlaubt das Zonen-Update zu ns.schlund.de und ns2.schlund.de

allow-transfer { 195.20.224.97; 195.20.225.34; };
};

Ich habe leider weder in Büchern noch über Suchmaschinen, HowTo's etc. Hilfe gefunden.

Kann mir hier vielleicht jemand einen Tipp geben?

Hier zwei Bilder von meiner Firewall Konfiguration:

http://www.web-gear.com/firewall/firewall.png
http://www.web-gear.com/firewall/firewall2.png

"nameserver" habe ich auch schon probert, hat leider nichts gebracht.


Dankeschön schon im Voraus!!

MfG
Hermann

[antondollmaier]

wie wärs, wenn du direkt den port angibst? ;)


außerdem:

wie bereits hier des öfteren durchgeklungen is:

ne iptables-firewall bringt eigentlich nix ... höchstens, um ausgehende, neue verbindungen auf "Nicht gewollten" ports zu blocken ... aber da is der config-aufwand ziemlich hoch ...


also deaktivier das ding ... mal mit nmap checken, was offen is ... und wenn was nicht offen ist, einfach das entsprechende programm schließen ... und gut is ...

[web-gear]

wie wärs, wenn du direkt den port angibst? ;)


außerdem:

wie bereits hier des öfteren durchgeklungen is:

ne iptables-firewall bringt eigentlich nix ... höchstens, um ausgehende, neue verbindungen auf "Nicht gewollten" ports zu blocken ... aber da is der config-aufwand ziemlich hoch ...


also deaktivier das ding ... mal mit nmap checken, was offen is ... und wenn was nicht offen ist, einfach das entsprechende programm schließen ... und gut is ...

Danke für Deine Antwort!

Das mit dem Port direkt habe ich auch schon ausprobiert, hilft leider nichts.

Die SuSE Firewall ist also mehr oder weniger wertlos? Das höre ich zum ersten Mal! Ich meine, ich kann mir das durchaus vorstellen, aber auf was kann man sich denn dann auf einem Server in punkto Sicherheit verlassen? Vermutlich auf nichts, aber irgendwie würde ich mich schon besser fühlen, wenn die Firewall an ist.

Gibt es denn wirklich keine andere Lösung?

Danke & MfG
Hermann

[antondollmaier]

(@"wissende": wenn ich müll labere, bitte posten ... will ned, dass ich da irgendwas falsch gecheckt hab ...)


denk mal nach ...

wann brauchst ne firewall? um "eindringlinge" vom eindringen abzuhalten ... und wann können die eindringen? wenn ein port von einem programm geöffnet wurde ... und mit der firewall spielst du denen nen geschlossenen port vor, obwohl der offen is ... oder die firewall blockt ports, die eh schon geschlossen sind ...

=> schließ die ports, und du brauchst keine firewall mehr ... bei mir läuft n minimum an diensten, das aber auf höchst möglichem level (versions-updates etc ... ok, bis auf den kernel, da hab ich mir das recompilieren noch ned getraut ...) ... damit haben angreifer wenig chance, über ne sicherheitslücke ins system zu kommen (jaja, ich weiß .. root-exploits sind gleich eingespielt ... aber dafür braucht man shell-zugriff / schlechte php-skripte ... system/exec etc sind aber deaktiviert ...) ...


wertlos is die susefirewall in dem sinne, dass du die "blockenden" funktionen auf nem root ned brauchst ... @home, auf nem router zb, is sie ned schlecht ... ohne viel aufwand n komplettes routing-skript, das die entsprechenden ports etc blockt ... da seh ich das als sinnvoller auf nem root ...

(persönliche meinung / gedanken, bei falschaussagen bitte drauf hinweisen *g*)

mfg,
Anton

[nyxus]

hast Du denn auch "domain" per TCP und UDP freigegeben?

[web-gear]

Naja, also ich weiß zwar, dass der Nameserver beides benötigt, aber da es diese Unterscheidung bei der Konfiguration nicht zu geben scheint (siehe Bilder in meinem ersten Post), wusste ich nicht so recht, was ich machen sollte.

Wie gebe ich das explizit an (in der YaST2 Config)? Ich habe die Firewall vor langer Zeit auch mal per Hand konfiguriert gehabt (bzw. mit Unterstützung einiger Skripte), aber die YaST2-Lösung scheint mir doch besser zu sein, also würde ich diese vorziehen.

Ich habe auch versucht, dass über "iptables -L" rauszufinden, aber ich bin nicht schlau draus geworden. Lohnt es sich, den ganzen Output zu posten?

Danke!

MfG
Hermann

[systemkiller]

Ich habe auch versucht, dass über "iptables -L" rauszufinden, aber ich bin nicht schlau draus geworden. Lohnt es sich, den ganzen Output zu posten?

sicher nicht.sinnvoller ist es,die firewall zu deaktivieren (siehe oben) was bringt dir eine firewall auf einem rootserver?da sind eh nur ports offen,deren dienste du auch nutzt.was willst du da blocken?solltest du dich vor ddos und ähnlichem schützen wollen,vergiss es.da hilft dir keine firewall.