hi!
Ich möchte meinen eigenen DNS Server für meine Domains betreiben.
Was muss ich an Firewall dafür machen. Ist Port 53 alles was ich aufmachen muss?
Michi
Firewall config für DNS Server
Re: Firewall config für DNS Server
Kommt drauf an, ob du mit iptables und ESTABLISHED / RELATED arbeitest, oder nicht.
Was du auf jeden Fall brauchst, ist sowas wie
iptables -A INPUT -p tcp --dport 53 -j ACCEPT
iptables -A INPUT -p udp --dport 53 -j ACCEPT
und für eigene Abfragen was, das kommt aber u.U. auf deinen query-source-port in der named.conf drauf an. Allgemein:
iptables -A OUTPUT -p tcp --dport 53 -j ACCEPT
iptables -A OUTPUT -p udp --dport 53 -j ACCEPT
Vorsicht, Syntax aus dem Kopf, genaue Syntax bitte in der man-page nochmal nachschlagen.
Was du auf jeden Fall brauchst, ist sowas wie
iptables -A INPUT -p tcp --dport 53 -j ACCEPT
iptables -A INPUT -p udp --dport 53 -j ACCEPT
und für eigene Abfragen was, das kommt aber u.U. auf deinen query-source-port in der named.conf drauf an. Allgemein:
iptables -A OUTPUT -p tcp --dport 53 -j ACCEPT
iptables -A OUTPUT -p udp --dport 53 -j ACCEPT
Vorsicht, Syntax aus dem Kopf, genaue Syntax bitte in der man-page nochmal nachschlagen.
-
captaincrunch
- Userprojekt
- Posts: 7066
- Joined: 2002-10-09 14:30
- Location: Dorsten
- Contact:
Re: Firewall config für DNS Server
War da nicht noch mal irgend etwas mit dem 953er-Port für Zone-Transfers ?
DebianHowTo
echo "[q]sa[ln0=aln256%Pln256/snlbx]sb729901041524823122snlbxq"|dc
echo "[q]sa[ln0=aln256%Pln256/snlbx]sb729901041524823122snlbxq"|dc
Re: Firewall config für DNS Server
Bin zwar grade nicht zuhause und kann nicht kucken ob es
wirklich der 953 ist. Aber das Steuer Tool bei BIND 9.
"RNCD" sollte diesen port benutzen. Der port sollte nur
Local erreichbar sein (es sein denn man will bind Fernsteuern). Standartmäsig hört er ja auch nur auf localhost (bei debian)
(listen -l ist dein Freund).
Ich habe erst jetzt auf Bind 9 geupdatete und selber noch einen
offnen UDP Port über 3000... Der gehört zu bind.
Keine Ahnung wozu der ist. Dafür mach ich aber mal die tage ne
Anfrage auf wenn ich sonst nicht finde.
nachtrag:
Grade was gefuden:
http://www.rootforum.de/forum/viewtopic.php?t=6487
Die frage blos woher nimmt bind diesen Port und mal den ?
Bei mir war es immer der gleiche.
Sollta ja nicht schaden wenn ich den auch 53 festsitze...
Wäre mir jedenfals lieber.
wirklich der 953 ist. Aber das Steuer Tool bei BIND 9.
"RNCD" sollte diesen port benutzen. Der port sollte nur
Local erreichbar sein (es sein denn man will bind Fernsteuern). Standartmäsig hört er ja auch nur auf localhost (bei debian)
(listen -l ist dein Freund).
Ich habe erst jetzt auf Bind 9 geupdatete und selber noch einen
offnen UDP Port über 3000... Der gehört zu bind.
Keine Ahnung wozu der ist. Dafür mach ich aber mal die tage ne
Anfrage auf wenn ich sonst nicht finde.
nachtrag:
Grade was gefuden:
http://www.rootforum.de/forum/viewtopic.php?t=6487
Die frage blos woher nimmt bind diesen Port und mal den ?
Bei mir war es immer der gleiche.
Sollta ja nicht schaden wenn ich den auch 53 festsitze...
Wäre mir jedenfals lieber.
Re: Firewall config für DNS Server
Zone-Transfer läuft AFAIK über 53/TCP. Der Rest wurde ja schon von gierig genannt...
Re: Firewall config für DNS Server
ganz bestimmt sogar.
Ein Zonen transfer ist nicht viel anders als eine art erweiterte Anfrage.
Bei der alle Reords einer zone ausgegeben werden.
Sofern erlaubt kann man das auch bei Nslookup mit der "ls -a" option selber machen und sich ankucken was da so kommt.
Ein Zonen transfer ist nicht viel anders als eine art erweiterte Anfrage.
Bei der alle Reords einer zone ausgegeben werden.
Sofern erlaubt kann man das auch bei Nslookup mit der "ls -a" option selber machen und sich ankucken was da so kommt.