Firewall blockiert DNS abfragen trotz offenem #53

Rund um die Sicherheit des Systems und die Applikationen
moppi
Posts: 368
Joined: 2003-02-15 11:16

Firewall blockiert DNS abfragen trotz offenem #53

Post by moppi » 2004-01-19 14:42

Ich habe auf dem Rootserver einen Bind9 laufen. Bisher klappt auch alles soweit, nur seit dem ich die Firewall (netfilter) installiert habe kann der Nameserver nicht abgefragt werden, obwohl der Standardport 53 aufgemacht ist.

Hat jemand eine Idee zur Behebung des Problems?

dodolin
Posts: 3840
Joined: 2003-01-21 01:59
Location: Sinsheim/Karlsruhe

Re: Firewall blockiert DNS abfragen trotz offenem #53

Post by dodolin » 2004-01-19 14:47

Hat jemand eine Idee zur Behebung des Problems?
Ja. Korrekte Regeln erstellen oder Paketfilter auf Rootserver komplett abschalten.

moppi
Posts: 368
Joined: 2003-02-15 11:16

Re: Firewall blockiert DNS abfragen trotz offenem #53

Post by moppi » 2004-01-19 14:50

Die Regel besagt, dass aller eingehender und ausgehender Traffic nicht berührt wird.
Danke für Deine Antwort aber etwas konstruktiver wäre nicht verkehrt.

captaincrunch
Userprojekt
Userprojekt
Posts: 7066
Joined: 2002-10-09 14:30
Location: Dorsten

Re: Firewall blockiert DNS abfragen trotz offenem #53

Post by captaincrunch » 2004-01-19 14:52

Die Regel besagt, dass aller eingehender und ausgehender Traffic nicht berührt wird.
Aha. Das nächste Ratespielchen...
DebianHowTo
echo "[q]sa[ln0=aln256%Pln256/snlbx]sb729901041524823122snlbxq"|dc

dodolin
Posts: 3840
Joined: 2003-01-21 01:59
Location: Sinsheim/Karlsruhe

Re: Firewall blockiert DNS abfragen trotz offenem #53

Post by dodolin » 2004-01-19 14:53

Die Regel besagt, dass aller eingehender und ausgehender Traffic nicht berührt wird.
Danke für Deine Antwort aber etwas konstruktiver wäre nicht verkehrt.
Danke für deine Infos, aber ohne jetzt mal den Output von iptables -L usw. zu kennen, KANN man nicht konstruktiver antworten, wenn man, wie ich, keinen Bock auf Glaskugelei hat.

dodolin
Posts: 3840
Joined: 2003-01-21 01:59
Location: Sinsheim/Karlsruhe

Re: Firewall blockiert DNS abfragen trotz offenem #53

Post by dodolin » 2004-01-19 15:03

PS: Würde mal alle abgelehnten Pakete mit einem Ratelimit loggen lassen, würde sich das Problem erst gar nicht stellen, dass man nicht weiß, welche Regel jetzt welche Pakete verwirft. Irgendwie scheint mir dein Setup ziemlich vermurkst zu sein...

moppi
Posts: 368
Joined: 2003-02-15 11:16

Re: Firewall blockiert DNS abfragen trotz offenem #53

Post by moppi » 2004-01-19 15:10

Hier ein IPTABLES -L

Code: Select all

Chain INPUT (policy DROP)
target     prot opt source               destination         
ACCEPT     all  --  anywhere             anywhere           
LOG        all  --  loopback/8           anywhere           LOG level warning tcp-options ip-options prefix `SuSE-FW-DROP-ANTI-SPOOFING ' 
LOG        all  --  anywhere             loopback/8         LOG level warning tcp-options ip-options prefix `SuSE-FW-DROP-ANTI-SPOOFING ' 
DROP       all  --  loopback/8           anywhere           
DROP       all  --  anywhere             loopback/8         
LOG        all  --  nsservice.net        anywhere           LOG level warning tcp-options ip-options prefix `SuSE-FW-DROP-ANTI-SPOOFING ' 
DROP       all  --  nsservice.net        anywhere           
LOG        all  --  nsservice.net        anywhere           LOG level warning tcp-options ip-options prefix `SuSE-FW-DROP-ANTI-SPOOFING ' 
DROP       all  --  nsservice.net        anywhere           
input_ext  all  --  anywhere             nsservice.net      
input_int  all  --  anywhere             nsservice.net      
DROP       all  --  anywhere             nsservice.net      
DROP       all  --  anywhere             255.255.255.255    
DROP       all  --  anywhere             nsservice.net      
DROP       all  --  anywhere             255.255.255.255    
LOG        all  --  anywhere             nsservice.net      LOG level warning tcp-options ip-options prefix `SuSE-FW-ACCESS_DENIED_INT ' 
DROP       all  --  anywhere             nsservice.net      
LOG        all  --  anywhere             anywhere           LOG level warning tcp-options ip-options prefix `SuSE-FW-ILLEGAL-TARGET ' 
DROP       all  --  anywhere             anywhere           

Chain FORWARD (policy DROP)
target     prot opt source               destination         
TCPMSS     tcp  --  anywhere             anywhere           tcp flags:SYN,RST/SYN TCPMSS clamp to PMTU 

Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination         
ACCEPT     all  --  anywhere             anywhere           
LOG        icmp --  anywhere             anywhere           icmp time-exceeded LOG level warning tcp-options ip-options prefix `SuSE-FW-TRACEROUTE-ATTEMPT ' 
ACCEPT     icmp --  anywhere             anywhere           icmp time-exceeded 
ACCEPT     icmp --  anywhere             anywhere           icmp port-unreachable 
ACCEPT     icmp --  anywhere             anywhere           icmp fragmentation-needed 
ACCEPT     icmp --  anywhere             anywhere           icmp network-prohibited 
ACCEPT     icmp --  anywhere             anywhere           icmp host-prohibited 
ACCEPT     icmp --  anywhere             anywhere           icmp communication-prohibited 
DROP       icmp --  anywhere             anywhere           icmp destination-unreachable 
ACCEPT     all  --  anywhere             anywhere           state NEW,RELATED,ESTABLISHED 
LOG        all  --  anywhere             anywhere           LOG level warning tcp-options ip-options prefix `SuSE-FW-OUTPUT-ERROR ' 

Chain forward_dmz (0 references)
target     prot opt source               destination         

Chain forward_ext (0 references)
target     prot opt source               destination         

Chain forward_int (0 references)
target     prot opt source               destination         

Chain input_dmz (0 references)
target     prot opt source               destination         
LOG        all  --  nsservice.net        anywhere           LOG level warning tcp-options ip-options prefix `SuSE-FW-DROP-ANTI-SPOOF ' 
DROP       all  --  nsservice.net        anywhere           
LOG        all  --  nsservice.net        anywhere           LOG level warning tcp-options ip-options prefix `SuSE-FW-DROP-ANTI-SPOOF ' 
DROP       all  --  nsservice.net        anywhere           
ACCEPT     icmp --  anywhere             anywhere           icmp echo-request 
ACCEPT     icmp --  anywhere             anywhere           state RELATED,ESTABLISHED icmp echo-reply 
ACCEPT     icmp --  anywhere             anywhere           state RELATED,ESTABLISHED icmp destination-unreachable 
ACCEPT     icmp --  anywhere             anywhere           state RELATED,ESTABLISHED icmp time-exceeded 
ACCEPT     icmp --  anywhere             anywhere           state RELATED,ESTABLISHED icmp parameter-problem 
ACCEPT     icmp --  anywhere             anywhere           state RELATED,ESTABLISHED icmp timestamp-reply 
ACCEPT     icmp --  anywhere             anywhere           state RELATED,ESTABLISHED icmp address-mask-reply 
LOG        icmp --  anywhere             anywhere           icmp redirect LOG level warning tcp-options ip-options prefix `SuSE-FW-DROP-ICMP-CRIT ' 
LOG        icmp --  anywhere             anywhere           icmp source-quench LOG level warning tcp-options ip-options prefix `SuSE-FW-DROP-ICMP-CRIT ' 
LOG        icmp --  anywhere             anywhere           icmp timestamp-request LOG level warning tcp-options ip-options prefix `SuSE-FW-DROP-ICMP-CRIT ' 
LOG        icmp --  anywhere             anywhere           icmp address-mask-request LOG level warning tcp-options ip-options prefix `SuSE-FW-DROP-ICMP-CRIT ' 
LOG        icmp --  anywhere             anywhere           icmp type 2 LOG level warning tcp-options ip-options prefix `SuSE-FW-DROP-ICMP-CRIT ' 
DROP       icmp --  anywhere             anywhere           
reject_func  tcp  --  anywhere             anywhere           tcp dpt:ident flags:SYN,RST,ACK/SYN 
LOG        tcp  --  anywhere             anywhere           tcp dpt:ftp flags:SYN,RST,ACK/SYN LOG level warning tcp-options ip-options prefix `SuSE-FW-DROP ' 
DROP       tcp  --  anywhere             anywhere           tcp dpt:ftp flags:SYN,RST,ACK/SYN 
LOG        tcp  --  anywhere             anywhere           tcp dpt:ssh flags:SYN,RST,ACK/SYN LOG level warning tcp-options ip-options prefix `SuSE-FW-DROP ' 
DROP       tcp  --  anywhere             anywhere           tcp dpt:ssh flags:SYN,RST,ACK/SYN 
LOG        tcp  --  anywhere             anywhere           tcp dpt:smtp flags:SYN,RST,ACK/SYN LOG level warning tcp-options ip-options prefix `SuSE-FW-DROP ' 
DROP       tcp  --  anywhere             anywhere           tcp dpt:smtp flags:SYN,RST,ACK/SYN 
LOG        tcp  --  anywhere             anywhere           tcp dpt:http flags:SYN,RST,ACK/SYN LOG level warning tcp-options ip-options prefix `SuSE-FW-DROP ' 
DROP       tcp  --  anywhere             anywhere           tcp dpt:http flags:SYN,RST,ACK/SYN 
LOG        tcp  --  anywhere             anywhere           tcp dpt:pop3 flags:SYN,RST,ACK/SYN LOG level warning tcp-options ip-options prefix `SuSE-FW-DROP ' 
DROP       tcp  --  anywhere             anywhere           tcp dpt:pop3 flags:SYN,RST,ACK/SYN 
LOG        tcp  --  anywhere             anywhere           tcp dpt:https flags:SYN,RST,ACK/SYN LOG level warning tcp-options ip-options prefix `SuSE-FW-DROP ' 
DROP       tcp  --  anywhere             anywhere           tcp dpt:https flags:SYN,RST,ACK/SYN 
LOG        tcp  --  anywhere             anywhere           tcp dpt:smtps flags:SYN,RST,ACK/SYN LOG level warning tcp-options ip-options prefix `SuSE-FW-DROP ' 
DROP       tcp  --  anywhere             anywhere           tcp dpt:smtps flags:SYN,RST,ACK/SYN 
LOG        tcp  --  anywhere             anywhere           tcp dpt:mysql flags:SYN,RST,ACK/SYN LOG level warning tcp-options ip-options prefix `SuSE-FW-DROP ' 
DROP       tcp  --  anywhere             anywhere           tcp dpt:mysql flags:SYN,RST,ACK/SYN 
LOG        tcp  --  anywhere             anywhere           tcp dpt:ndmp flags:SYN,RST,ACK/SYN LOG level warning tcp-options ip-options prefix `SuSE-FW-DROP ' 
DROP       tcp  --  anywhere             anywhere           tcp dpt:ndmp flags:SYN,RST,ACK/SYN 
LOG        tcp  --  anywhere             anywhere           tcp dpt:dnp flags:SYN,RST,ACK/SYN LOG level warning tcp-options ip-options prefix `SuSE-FW-DROP ' 
DROP       tcp  --  anywhere             anywhere           tcp dpt:dnp flags:SYN,RST,ACK/SYN 
LOG        tcp  --  anywhere             anywhere           state RELATED,ESTABLISHED tcp dpts:1024:65535 flags:SYN,RST,ACK/SYN LOG level warning tcp-options ip-options prefix `SuSE-FW-ACCEPT ' 
ACCEPT     tcp  --  anywhere             anywhere           state RELATED,ESTABLISHED tcp dpts:1024:65535 
ACCEPT     tcp  --  anywhere             anywhere           state ESTABLISHED tcp dpts:ipcserver:65535 flags:!SYN,RST,ACK/SYN 
ACCEPT     tcp  --  anywhere             anywhere           state ESTABLISHED tcp dpt:ftp-data flags:!SYN,RST,ACK/SYN 
ACCEPT     udp  --  strohhalm20.schlund.net  anywhere           state NEW,RELATED,ESTABLISHED udp spt:domain dpts:1024:65535 
ACCEPT     udp  --  dns2.schlund.de      anywhere           state NEW,RELATED,ESTABLISHED udp spt:domain dpts:1024:65535 
ACCEPT     udp  --  dns.schlund.de       anywhere           state NEW,RELATED,ESTABLISHED udp spt:domain dpts:1024:65535 
DROP       udp  --  anywhere             anywhere           udp dpt:fsp 
DROP       udp  --  anywhere             anywhere           udp dpt:ssh 
DROP       udp  --  anywhere             anywhere           udp dpt:smtp 
DROP       udp  --  anywhere             anywhere           udp dpt:bootpc 
DROP       udp  --  anywhere             anywhere           udp dpt:http 
DROP       udp  --  anywhere             anywhere           udp dpt:pop3 
DROP       udp  --  anywhere             anywhere           udp dpt:ntp 
DROP       udp  --  anywhere             anywhere           udp dpt:https 
DROP       udp  --  anywhere             anywhere           udp dpt:igmpv3lite 
DROP       udp  --  anywhere             anywhere           udp dpt:mysql 
DROP       udp  --  anywhere             anywhere           udp dpt:9256 
DROP       udp  --  anywhere             anywhere           udp dpt:ndmp 
DROP       udp  --  anywhere             anywhere           udp dpt:ndmp 
DROP       udp  --  anywhere             anywhere           udp dpt:dnp 
DROP       udp  --  anywhere             anywhere           udp dpt:dnp 
ACCEPT     udp  --  anywhere             anywhere           state NEW,RELATED,ESTABLISHED udp dpts:1024:65535 
LOG        tcp  --  anywhere             anywhere           tcp flags:SYN,RST,ACK/SYN LOG level warning tcp-options ip-options prefix `SuSE-FW-DROP-DEFAULT ' 
LOG        icmp --  anywhere             anywhere           icmp source-quench LOG level warning tcp-options ip-options prefix `SuSE-FW-DROP-DEFAULT ' 
LOG        icmp --  anywhere             anywhere           icmp redirect LOG level warning tcp-options ip-options prefix `SuSE-FW-DROP-DEFAULT ' 
LOG        icmp --  anywhere             anywhere           icmp echo-request LOG level warning tcp-options ip-options prefix `SuSE-FW-DROP-DEFAULT ' 
LOG        icmp --  anywhere             anywhere           icmp timestamp-request LOG level warning tcp-options ip-options prefix `SuSE-FW-DROP-DEFAULT ' 
LOG        icmp --  anywhere             anywhere           icmp address-mask-request LOG level warning tcp-options ip-options prefix `SuSE-FW-DROP-DEFAULT ' 
LOG        udp  --  anywhere             anywhere           LOG level warning tcp-options ip-options prefix `SuSE-FW-DROP-DEFAULT ' 
LOG        all  --  anywhere             anywhere           state INVALID LOG level warning tcp-options ip-options prefix `SuSE-FW-DROP-DEFAULT-INVALID ' 
DROP       all  --  anywhere             anywhere           

Chain input_ext (1 references)
target     prot opt source               destination         
LOG        all  --  nsservice.net        anywhere           LOG level warning tcp-options ip-options prefix `SuSE-FW-DROP-ANTI-SPOOF ' 
DROP       all  --  nsservice.net        anywhere           
LOG        icmp --  nsservice.net        anywhere           icmp source-quench LOG level warning tcp-options ip-options prefix `SuSE-FW-ACCEPT-SOURCEQUENCH ' 
ACCEPT     icmp --  nsservice.net        anywhere           icmp source-quench 
ACCEPT     icmp --  anywhere             anywhere           icmp echo-request 
ACCEPT     icmp --  anywhere             anywhere           state RELATED,ESTABLISHED icmp echo-reply 
ACCEPT     icmp --  anywhere             anywhere           state RELATED,ESTABLISHED icmp destination-unreachable 
ACCEPT     icmp --  anywhere             anywhere           state RELATED,ESTABLISHED icmp time-exceeded 
ACCEPT     icmp --  anywhere             anywhere           state RELATED,ESTABLISHED icmp parameter-problem 
ACCEPT     icmp --  anywhere             anywhere           state RELATED,ESTABLISHED icmp timestamp-reply 
ACCEPT     icmp --  anywhere             anywhere           state RELATED,ESTABLISHED icmp address-mask-reply 
LOG        icmp --  anywhere             anywhere           icmp redirect LOG level warning tcp-options ip-options prefix `SuSE-FW-DROP-ICMP-CRIT ' 
LOG        icmp --  anywhere             anywhere           icmp source-quench LOG level warning tcp-options ip-options prefix `SuSE-FW-DROP-ICMP-CRIT ' 
LOG        icmp --  anywhere             anywhere           icmp timestamp-request LOG level warning tcp-options ip-options prefix `SuSE-FW-DROP-ICMP-CRIT ' 
LOG        icmp --  anywhere             anywhere           icmp address-mask-request LOG level warning tcp-options ip-options prefix `SuSE-FW-DROP-ICMP-CRIT ' 
LOG        icmp --  anywhere             anywhere           icmp type 2 LOG level warning tcp-options ip-options prefix `SuSE-FW-DROP-ICMP-CRIT ' 
DROP       icmp --  anywhere             anywhere           
LOG        tcp  --  anywhere             anywhere           tcp dpt:ndmp flags:SYN,RST,ACK/SYN LOG level warning tcp-options ip-options prefix `SuSE-FW-ACCEPT ' 
ACCEPT     tcp  --  anywhere             anywhere           state NEW,RELATED,ESTABLISHED tcp dpt:ndmp 
LOG        tcp  --  anywhere             anywhere           tcp dpt:ftp flags:SYN,RST,ACK/SYN LOG level warning tcp-options ip-options prefix `SuSE-FW-ACCEPT ' 
ACCEPT     tcp  --  anywhere             anywhere           state NEW,RELATED,ESTABLISHED tcp dpt:ftp 
LOG        tcp  --  anywhere             anywhere           tcp dpt:mysql flags:SYN,RST,ACK/SYN LOG level warning tcp-options ip-options prefix `SuSE-FW-ACCEPT ' 
ACCEPT     tcp  --  anywhere             anywhere           state NEW,RELATED,ESTABLISHED tcp dpt:mysql 
LOG        tcp  --  anywhere             anywhere           tcp dpt:4662 flags:SYN,RST,ACK/SYN LOG level warning tcp-options ip-options prefix `SuSE-FW-ACCEPT ' 
ACCEPT     tcp  --  anywhere             anywhere           state NEW,RELATED,ESTABLISHED tcp dpt:4662 
LOG        tcp  --  anywhere             anywhere           tcp dpt:domain flags:SYN,RST,ACK/SYN LOG level warning tcp-options ip-options prefix `SuSE-FW-ACCEPT ' 
ACCEPT     tcp  --  anywhere             anywhere           state NEW,RELATED,ESTABLISHED tcp dpt:domain 
LOG        tcp  --  anywhere             anywhere           tcp dpt:bootps flags:SYN,RST,ACK/SYN LOG level warning tcp-options ip-options prefix `SuSE-FW-ACCEPT ' 
ACCEPT     tcp  --  anywhere             anywhere           state NEW,RELATED,ESTABLISHED tcp dpt:bootps 
LOG        tcp  --  anywhere             anywhere           tcp dpt:bootpc flags:SYN,RST,ACK/SYN LOG level warning tcp-options ip-options prefix `SuSE-FW-ACCEPT ' 
ACCEPT     tcp  --  anywhere             anywhere           state NEW,RELATED,ESTABLISHED tcp dpt:bootpc 
LOG        tcp  --  anywhere             anywhere           tcp dpt:http flags:SYN,RST,ACK/SYN LOG level warning tcp-options ip-options prefix `SuSE-FW-ACCEPT ' 
ACCEPT     tcp  --  anywhere             anywhere           state NEW,RELATED,ESTABLISHED tcp dpt:http 
LOG        tcp  --  anywhere             anywhere           tcp dpt:https flags:SYN,RST,ACK/SYN LOG level warning tcp-options ip-options prefix `SuSE-FW-ACCEPT ' 
ACCEPT     tcp  --  anywhere             anywhere           state NEW,RELATED,ESTABLISHED tcp dpt:https 
LOG        tcp  --  anywhere             anywhere           tcp dpt:pop3 flags:SYN,RST,ACK/SYN LOG level warning tcp-options ip-options prefix `SuSE-FW-ACCEPT ' 
ACCEPT     tcp  --  anywhere             anywhere           state NEW,RELATED,ESTABLISHED tcp dpt:pop3 
LOG        tcp  --  anywhere             anywhere           tcp dpt:smtp flags:SYN,RST,ACK/SYN LOG level warning tcp-options ip-options prefix `SuSE-FW-ACCEPT ' 
ACCEPT     tcp  --  anywhere             anywhere           state NEW,RELATED,ESTABLISHED tcp dpt:smtp 
LOG        tcp  --  anywhere             anywhere           tcp dpt:ssh flags:SYN,RST,ACK/SYN LOG level warning tcp-options ip-options prefix `SuSE-FW-ACCEPT ' 
ACCEPT     tcp  --  anywhere             anywhere           state NEW,RELATED,ESTABLISHED tcp dpt:ssh 
reject_func  tcp  --  anywhere             anywhere           tcp dpt:ident flags:SYN,RST,ACK/SYN 
LOG        tcp  --  anywhere             anywhere           tcp dpt:ssh flags:SYN,RST,ACK/SYN LOG level warning tcp-options ip-options prefix `SuSE-FW-DROP ' 
DROP       tcp  --  anywhere             anywhere           tcp dpt:ssh flags:SYN,RST,ACK/SYN 
LOG        tcp  --  anywhere             anywhere           tcp dpt:smtp flags:SYN,RST,ACK/SYN LOG level warning tcp-options ip-options prefix `SuSE-FW-DROP ' 
DROP       tcp  --  anywhere             anywhere           tcp dpt:smtp flags:SYN,RST,ACK/SYN 
LOG        tcp  --  anywhere             anywhere           tcp dpt:http flags:SYN,RST,ACK/SYN LOG level warning tcp-options ip-options prefix `SuSE-FW-DROP ' 
DROP       tcp  --  anywhere             anywhere           tcp dpt:http flags:SYN,RST,ACK/SYN 
LOG        tcp  --  anywhere             anywhere           tcp dpt:pop3 flags:SYN,RST,ACK/SYN LOG level warning tcp-options ip-options prefix `SuSE-FW-DROP ' 
DROP       tcp  --  anywhere             anywhere           tcp dpt:pop3 flags:SYN,RST,ACK/SYN 
LOG        tcp  --  anywhere             anywhere           tcp dpt:https flags:SYN,RST,ACK/SYN LOG level warning tcp-options ip-options prefix `SuSE-FW-DROP ' 
DROP       tcp  --  anywhere             anywhere           tcp dpt:https flags:SYN,RST,ACK/SYN 
LOG        tcp  --  anywhere             anywhere           tcp dpt:smtps flags:SYN,RST,ACK/SYN LOG level warning tcp-options ip-options prefix `SuSE-FW-DROP ' 
DROP       tcp  --  anywhere             anywhere           tcp dpt:smtps flags:SYN,RST,ACK/SYN 
LOG        tcp  --  anywhere             anywhere           tcp dpt:dnp flags:SYN,RST,ACK/SYN LOG level warning tcp-options ip-options prefix `SuSE-FW-DROP ' 
DROP       tcp  --  anywhere             anywhere           tcp dpt:dnp flags:SYN,RST,ACK/SYN 
LOG        tcp  --  anywhere             anywhere           state RELATED,ESTABLISHED tcp dpts:1024:65535 flags:SYN,RST,ACK/SYN LOG level warning tcp-options ip-options prefix `SuSE-FW-ACCEPT ' 
ACCEPT     tcp  --  anywhere             anywhere           state RELATED,ESTABLISHED tcp dpts:1024:65535 
ACCEPT     tcp  --  anywhere             anywhere           state ESTABLISHED tcp dpts:ipcserver:65535 flags:!SYN,RST,ACK/SYN 
ACCEPT     tcp  --  anywhere             anywhere           state ESTABLISHED tcp dpt:ftp-data flags:!SYN,RST,ACK/SYN 
ACCEPT     udp  --  strohhalm20.schlund.net  anywhere           state NEW,RELATED,ESTABLISHED udp spt:domain dpts:1024:65535 
ACCEPT     udp  --  dns2.schlund.de      anywhere           state NEW,RELATED,ESTABLISHED udp spt:domain dpts:1024:65535 
ACCEPT     udp  --  dns.schlund.de       anywhere           state NEW,RELATED,ESTABLISHED udp spt:domain dpts:1024:65535 
DROP       udp  --  anywhere             anywhere           udp dpt:ssh 
DROP       udp  --  anywhere             anywhere           udp dpt:smtp 
DROP       udp  --  anywhere             anywhere           udp dpt:domain 
DROP       udp  --  anywhere             anywhere           udp dpt:bootpc 
DROP       udp  --  anywhere             anywhere           udp dpt:http 
DROP       udp  --  anywhere             anywhere           udp dpt:pop3 
DROP       udp  --  anywhere             anywhere           udp dpt:ntp 
DROP       udp  --  anywhere             anywhere           udp dpt:ntp 
DROP       udp  --  anywhere             anywhere           udp dpt:https 
DROP       udp  --  anywhere             anywhere           udp dpt:igmpv3lite 
DROP       udp  --  anywhere             anywhere           udp dpt:9256 
DROP       udp  --  anywhere             anywhere           udp dpt:ndmp 
DROP       udp  --  anywhere             anywhere           udp dpt:dnp 
DROP       udp  --  anywhere             anywhere           udp dpt:dnp 
ACCEPT     udp  --  anywhere             anywhere           state NEW,RELATED,ESTABLISHED udp dpts:1024:65535 
LOG        tcp  --  anywhere             anywhere           tcp flags:SYN,RST,ACK/SYN LOG level warning tcp-options ip-options prefix `SuSE-FW-DROP-DEFAULT ' 
LOG        icmp --  anywhere             anywhere           icmp source-quench LOG level warning tcp-options ip-options prefix `SuSE-FW-DROP-DEFAULT ' 
LOG        icmp --  anywhere             anywhere           icmp redirect LOG level warning tcp-options ip-options prefix `SuSE-FW-DROP-DEFAULT ' 
LOG        icmp --  anywhere             anywhere           icmp echo-request LOG level warning tcp-options ip-options prefix `SuSE-FW-DROP-DEFAULT ' 
LOG        icmp --  anywhere             anywhere           icmp timestamp-request LOG level warning tcp-options ip-options prefix `SuSE-FW-DROP-DEFAULT ' 
LOG        icmp --  anywhere             anywhere           icmp address-mask-request LOG level warning tcp-options ip-options prefix `SuSE-FW-DROP-DEFAULT ' 
LOG        udp  --  anywhere             anywhere           LOG level warning tcp-options ip-options prefix `SuSE-FW-DROP-DEFAULT ' 
LOG        all  --  anywhere             anywhere           state INVALID LOG level warning tcp-options ip-options prefix `SuSE-FW-DROP-DEFAULT-INVALID ' 
DROP       all  --  anywhere             anywhere           

Chain input_int (1 references)
target     prot opt source               destination         
LOG        all  --  nsservice.net        anywhere           LOG level warning tcp-options ip-options prefix `SuSE-FW-DROP-ANTI-SPOOF ' 
DROP       all  --  nsservice.net        anywhere           
ACCEPT     all  --  anywhere             anywhere           
ACCEPT     icmp --  anywhere             anywhere           icmp echo-request 
ACCEPT     icmp --  anywhere             anywhere           state RELATED,ESTABLISHED icmp echo-reply 
ACCEPT     icmp --  anywhere             anywhere           state RELATED,ESTABLISHED icmp destination-unreachable 
ACCEPT     icmp --  anywhere             anywhere           state RELATED,ESTABLISHED icmp time-exceeded 
ACCEPT     icmp --  anywhere             anywhere           state RELATED,ESTABLISHED icmp parameter-problem 
ACCEPT     icmp --  anywhere             anywhere           state RELATED,ESTABLISHED icmp timestamp-reply 
ACCEPT     icmp --  anywhere             anywhere           state RELATED,ESTABLISHED icmp address-mask-reply 
LOG        icmp --  anywhere             anywhere           icmp redirect LOG level warning tcp-options ip-options prefix `SuSE-FW-DROP-ICMP-CRIT ' 
LOG        icmp --  anywhere             anywhere           icmp source-quench LOG level warning tcp-options ip-options prefix `SuSE-FW-DROP-ICMP-CRIT ' 
LOG        icmp --  anywhere             anywhere           icmp timestamp-request LOG level warning tcp-options ip-options prefix `SuSE-FW-DROP-ICMP-CRIT ' 
LOG        icmp --  anywhere             anywhere           icmp address-mask-request LOG level warning tcp-options ip-options prefix `SuSE-FW-DROP-ICMP-CRIT ' 
LOG        icmp --  anywhere             anywhere           icmp type 2 LOG level warning tcp-options ip-options prefix `SuSE-FW-DROP-ICMP-CRIT ' 
DROP       icmp --  anywhere             anywhere           
reject_func  tcp  --  anywhere             anywhere           tcp dpt:ident flags:SYN,RST,ACK/SYN 
LOG        tcp  --  anywhere             anywhere           state RELATED,ESTABLISHED tcp dpts:1024:65535 flags:SYN,RST,ACK/SYN LOG level warning tcp-options ip-options prefix `SuSE-FW-ACCEPT ' 
ACCEPT     tcp  --  anywhere             anywhere           state RELATED,ESTABLISHED tcp dpts:1024:65535 
ACCEPT     tcp  --  anywhere             anywhere           state ESTABLISHED tcp dpts:ipcserver:65535 flags:!SYN,RST,ACK/SYN 
ACCEPT     tcp  --  anywhere             anywhere           state ESTABLISHED tcp dpt:ftp-data flags:!SYN,RST,ACK/SYN 
ACCEPT     udp  --  anywhere             anywhere           state NEW,RELATED,ESTABLISHED udp dpt:1024 
ACCEPT     udp  --  strohhalm20.schlund.net  anywhere           state NEW,RELATED,ESTABLISHED udp spt:domain dpts:1024:65535 
ACCEPT     udp  --  dns2.schlund.de      anywhere           state NEW,RELATED,ESTABLISHED udp spt:domain dpts:1024:65535 
ACCEPT     udp  --  dns.schlund.de       anywhere           state NEW,RELATED,ESTABLISHED udp spt:domain dpts:1024:65535 
ACCEPT     udp  --  anywhere             anywhere           state NEW,RELATED,ESTABLISHED udp dpts:1024:65535 
LOG        tcp  --  anywhere             anywhere           tcp flags:SYN,RST,ACK/SYN LOG level warning tcp-options ip-options prefix `SuSE-FW-DROP-DEFAULT ' 
LOG        icmp --  anywhere             anywhere           icmp source-quench LOG level warning tcp-options ip-options prefix `SuSE-FW-DROP-DEFAULT ' 
LOG        icmp --  anywhere             anywhere           icmp redirect LOG level warning tcp-options ip-options prefix `SuSE-FW-DROP-DEFAULT ' 
LOG        icmp --  anywhere             anywhere           icmp echo-request LOG level warning tcp-options ip-options prefix `SuSE-FW-DROP-DEFAULT ' 
LOG        icmp --  anywhere             anywhere           icmp timestamp-request LOG level warning tcp-options ip-options prefix `SuSE-FW-DROP-DEFAULT ' 
LOG        icmp --  anywhere             anywhere           icmp address-mask-request LOG level warning tcp-options ip-options prefix `SuSE-FW-DROP-DEFAULT ' 
LOG        udp  --  anywhere             anywhere           LOG level warning tcp-options ip-options prefix `SuSE-FW-DROP-DEFAULT ' 
LOG        all  --  anywhere             anywhere           state INVALID LOG level warning tcp-options ip-options prefix `SuSE-FW-DROP-DEFAULT-INVALID ' 
DROP       all  --  anywhere             anywhere           

Chain reject_func (3 references)
target     prot opt source               destination         
REJECT     tcp  --  anywhere             anywhere           reject-with tcp-reset 
REJECT     udp  --  anywhere             anywhere           reject-with icmp-port-unreachable 
REJECT     all  --  anywhere             anywhere           reject-with icmp-proto-unreachable 
ich habe eben schon nach der rules.conf gesucht leider existiert bei mir keine. oder habe ich ein fehler im namen? ist lang her dass ich mich damit befasst habe. mit den anderen ports funktio0niert es ja auch problemlos.

dodolin
Posts: 3840
Joined: 2003-01-21 01:59
Location: Sinsheim/Karlsruhe

Re: Firewall blockiert DNS abfragen trotz offenem #53

Post by dodolin » 2004-01-19 15:26

Code: Select all

target     prot opt source               destination          
ACCEPT     all  --  anywhere             anywhere 
Damit wäre ja alles andere hinfällig. Wie wäre es mit -v zusätzlich oder anderen Parameter, die ich gerade nicht im Kopf habe, aber in der manpage stehen, damit man da mal mehr sieht? Warum machst du MSS Clamping auf einem Rootserver? Kann es sein, dass du da irgendwelche (um das böse S-Wort zu vermeiden...) fertige Skripte nutzt, die du kein bisschen verstanden hast? Wie wäre es, komplett eigene Regeln zu erstellen (sofern man sich überlegt hat, was man mit einem Paketfilter überhaupt erreichen will), die man dann auch versteht?

standbye
Posts: 146
Joined: 2002-10-16 18:05
Location: daheim :)

Re: Firewall blockiert DNS abfragen trotz offenem #53

Post by standbye » 2004-01-19 15:27

tue dir und uns nen gefallen und schalt die suse firewall ab!

erklär erst sinnvoll für was du ne firewall brauchst und dann erstell die regeln per hand

...

thorsten
Posts: 561
Joined: 2003-02-01 13:14
Location: Fuldatal

Re: Firewall blockiert DNS abfragen trotz offenem #53

Post by thorsten » 2004-01-19 21:02

ich kann dir http://fwbuilder.sf.net empfehlen - einfacher baust du keine Firewall (einen Linux Desktop vorausgesetzt).

EDIT: In deiner Firewall sind ja gar keine TCP/UDP Packet für Port 53 aufgeführt...

UDP 53: normale DNS Anfragen - für alle freigeben
TCP 53: zonen transfers - nur für die beteiligten DNS-Server freigeben

Aber ich sehe auch keinen Grund eine Firewall auf nem rooty laufen zu lassen.
Entweder du bietest Dienste an und hälst sie aktuell (=sicher) oder du startest die Dienst eben nicht und bist auch sicher.

Eine Ausnahme für eine Firewall wäre evtl. ein nicht sicherer sendmail, den du aus Faulheit nicht patchst, der aber von einem anderen rooty Mails annehmen soll. Sowas _könnte_ man mit iptables regeln. Oder aber natürlich mit (x)inetd

dodolin
Posts: 3840
Joined: 2003-01-21 01:59
Location: Sinsheim/Karlsruhe

Re: Firewall blockiert DNS abfragen trotz offenem #53

Post by dodolin » 2004-01-20 01:02

TCP 53: zonen transfers - nur für die beteiligten DNS-Server freigeben
Nope. TCP 53: normale DNS Anfragen (genau wie auch UDP 53) - für alle freigeben (sofern man einen öffentlichen DNS betreibt)

thorsten
Posts: 561
Joined: 2003-02-01 13:14
Location: Fuldatal

Re: Firewall blockiert DNS abfragen trotz offenem #53

Post by thorsten » 2004-01-20 08:09

laut http://www.msisafaq.de/Anleitungen/Tabe ... rotdef.htm

Code: Select all

Name Beschreibung                                    Definiert von Portnummer Protokolltyp Richtung 
DNS  Query DNS (Domain Name System)                  ISA Server    53         UDP          Senden Empfangen 
DNS  Query Server Domain Name System - Server        ISA Server    53         UDP          Empfangen Senden 
DNS  Zone Transfer DNS Zone Transfer-Protokoll       ISA Server    53         TCP          Ausgehend 
DNS  Zone Transfer Server DNS-Zonentransfer - Server ISA Server    53         TCP          Eingehend 
Im Firewall Handbuch von littleidiot.de
DNS-Lookups werden aus Geschwindigkeitsgründen meist über UDP abgewickelt. Wenn bei der Ã?bertragung mit UDP Daten verlorengehen, wird der Lookup-Vorgang mit TCP wiederholt. Die Zonen-Transfers von DNS finden über TCP statt
Ich schalte seit Jahren nur UDP 53 frei und hatte noch nie eine Klage über nicht erreichbare DNS Server.

dodolin
Posts: 3840
Joined: 2003-01-21 01:59
Location: Sinsheim/Karlsruhe

Re: Firewall blockiert DNS abfragen trotz offenem #53

Post by dodolin » 2004-01-20 11:53

Ich schalte seit Jahren nur UDP 53 frei und hatte noch nie eine Klage über nicht erreichbare DNS Server.
Dann warte, bis die erste Anfrage oder Antwort kommt, die größer als 512 (?) Byte ist, und du wirst sehen, warum du dir selbst in den Fuß schießt... BTW: Das ist nicht realitätsfern, ich habe schon öfters von solchen Problemen in Newsgruppen gelesen. Auch bekannte Anbieter wie hotmail und Co. hatten mal eine Zeit lang so viele MX und Aliases, dass das vorkam. Wenn du denen keine Mails mehr senden kannst, wirds lustig...

Auf irgendwelche Firewall-Handbücher würde ich nichts geben. Die ultimative Resource zum Thema sind die RFCs. http://www.faqs.org/rfcs/rfc1123.html
RFC 1123 - Requirements for Internet Hosts - Application and Support
1.2.2 Robustness Principle
[...]

DNS resolvers and recursive servers MUST support UDP, and
SHOULD support TCP, for sending (non-zone-transfer) queries.

DNS servers MUST be able to service UDP queries and SHOULD
be able to service TCP queries.

usw. Dort wird auch erklärt, warum das nötig ist und welche Probleme man bekommt...

ddandre
Posts: 6
Joined: 2004-06-18 16:54
Location: Dresden

Re: Firewall blockiert DNS abfragen trotz offenem #53

Post by ddandre » 2004-07-10 13:32

Hallo,

ich hab irgendwie das selbe Problem. Ich kann bei aktiviertem Paketfilter kein DNS auflösen.

hier mein iptable -L

Code: Select all

Chain INPUT (policy DROP)
target     prot opt source               destination
ACCEPT     all  --  anywhere             anywhere
ACCEPT     tcp  --  anywhere             anywhere            tcp dpt:www
ACCEPT     tcp  --  anywhere             anywhere            tcp dpt:ftp
ACCEPT     tcp  --  anywhere             anywhere            tcp dpt:auth
ACCEPT     udp  --  anywhere             anywhere            udp spt:domain
ACCEPT     tcp  --  anywhere             anywhere            tcp spt:domain
ACCEPT     tcp  --  anywhere             anywhere            tcp dpt:smtp
ACCEPT     tcp  --  anywhere             anywhere            tcp dpt:imap2
ACCEPT     tcp  --  anywhere             anywhere            tcp dpt:imaps
ACCEPT     tcp  --  anywhere             anywhere            tcp dpt:pop3
ACCEPT     tcp  --  anywhere             anywhere            tcp dpt:ssh
ACCEPT     icmp --  anywhere             anywhere

Chain FORWARD (policy ACCEPT)
target     prot opt source               destination

Chain OUTPUT (policy DROP)
target     prot opt source               destination
ACCEPT     all  --  anywhere             anywhere
ACCEPT     tcp  --  anywhere             anywhere            tcp spt:www
ACCEPT     tcp  --  anywhere             anywhere            tcp spt:ftp
ACCEPT     tcp  --  anywhere             anywhere            tcp dpt:ftp
ACCEPT     tcp  --  anywhere             anywhere            tcp spt:auth
ACCEPT     udp  --  anywhere             anywhere            udp spt:domain
ACCEPT     tcp  --  anywhere             anywhere            tcp spt:domain
ACCEPT     tcp  --  anywhere             anywhere            tcp spt:smtp
ACCEPT     tcp  --  anywhere             anywhere            tcp dpt:smtp
ACCEPT     tcp  --  anywhere             anywhere            tcp spt:imap2
ACCEPT     tcp  --  anywhere             anywhere            tcp spt:imaps
ACCEPT     udp  --  anywhere             anywhere            udp dpt:ntp
ACCEPT     tcp  --  anywhere             anywhere            tcp spt:ssh
ACCEPT     icmp --  anywhere             anywhere
wäre für Hilfe wirklich Dankbar

dodolin
Posts: 3840
Joined: 2003-01-21 01:59
Location: Sinsheim/Karlsruhe

Re: Firewall blockiert DNS abfragen trotz offenem #53

Post by dodolin » 2004-07-10 21:02

ich hab irgendwie das selbe Problem. Ich kann bei aktiviertem Paketfilter kein DNS auflösen.
Dann schalte deinen Paketfilter ab.

ddandre
Posts: 6
Joined: 2004-06-18 16:54
Location: Dresden

sorry falsch gepostet

Post by ddandre » 2004-07-10 23:31

würde den aber gern behalten... gibt es eine andere Möglichkeit?

roi
Posts: 145
Joined: 2003-04-07 09:05
Location: Esslingen am Neckar

Re: Firewall blockiert DNS abfragen trotz offenem #53

Post by roi » 2004-07-12 11:05

dodolin wrote:Auf irgendwelche Firewall-Handbücher würde ich nichts geben. Die ultimative Resource zum Thema sind die RFCs. http://www.faqs.org/rfcs/rfc1123.html
RFC 1123 - Requirements for Internet Hosts - Application and Support
1.2.2 Robustness Principle
[...]

DNS resolvers and recursive servers MUST support UDP, and
SHOULD support TCP, for sending (non-zone-transfer) queries.

DNS servers MUST be able to service UDP queries and SHOULD
be able to service TCP queries.
usw. Dort wird auch erklärt, warum das nötig ist und welche Probleme man bekommt...
So so interessant. Ich habe bisher nur UDP offen auf meiner Firewall und DNS scheint keine Probleme zu machen. Werde aber gleich mal TCP nachziehen, was soll's.

Roi

dodolin
Posts: 3840
Joined: 2003-01-21 01:59
Location: Sinsheim/Karlsruhe

Re: Firewall blockiert DNS abfragen trotz offenem #53

Post by dodolin » 2004-07-12 16:20

Ich habe bisher nur UDP offen auf meiner Firewall und DNS scheint keine Probleme zu machen.
Das geht so lange gut, bis mal größere Queries bzw. Antworten kommen. Es gab mal Zeiten, da hatte z.B. Yahoo oder AOL so viele MX Einträge, dass das mehr als 512 Byte waren. Leute mit Paketfiltern wie du hatten dann eine Menge Ã?rger und große Probleme, die Ursachen zu lokalisieren...

roi
Posts: 145
Joined: 2003-04-07 09:05
Location: Esslingen am Neckar

Re: Firewall blockiert DNS abfragen trotz offenem #53

Post by roi » 2004-07-12 16:32

Ich habe bisher nur UDP offen auf meiner Firewall und DNS scheint keine Probleme zu machen.
dodolin wrote:Das geht so lange gut, bis mal größere Queries bzw. Antworten kommen. Es gab mal Zeiten, da hatte z.B. Yahoo oder AOL so viele MX Einträge, dass das mehr als 512 Byte waren. Leute mit Paketfiltern wie du hatten dann eine Menge Ã?rger und große Probleme, die Ursachen zu lokalisieren...
Gut zu wissen. Man lernt nie aus. Ich meine, woher soll man das auch wissen wenn man nicht das RFC gelesen hat? Ich sniff den Verkehr mit, werte das aus und stelle die Firewall entsprechend ein. Und das waren damals wohl nur UDP-Pakete.

Danke fuer die Info.

oxygen
Posts: 2138
Joined: 2002-12-15 00:10
Location: Bergheim

Re: Firewall blockiert DNS abfragen trotz offenem #53

Post by oxygen » 2004-07-12 18:19

Roi wrote:Gut zu wissen. Man lernt nie aus. Ich meine, woher soll man das auch wissen wenn man nicht das RFC gelesen hat? Ich sniff den Verkehr mit, werte das aus und stelle die Firewall entsprechend ein. Und das waren damals wohl nur UDP-Pakete.
Indem man z.b. schaut welche Ports offen sind....