RootForum Community

Resources for System-Administrators
https://www.rootforum.org/forum/

Firewall blockiert DNS abfragen trotz offenem #53

https://www.rootforum.org/forum/viewtopic.php?t=21907

Page 1 of 1

Firewall blockiert DNS abfragen trotz offenem #53

Posted: 2004-01-19 14:42
by moppi
Ich habe auf dem Rootserver einen Bind9 laufen. Bisher klappt auch alles soweit, nur seit dem ich die Firewall (netfilter) installiert habe kann der Nameserver nicht abgefragt werden, obwohl der Standardport 53 aufgemacht ist.

Hat jemand eine Idee zur Behebung des Problems?

Re: Firewall blockiert DNS abfragen trotz offenem #53

Posted: 2004-01-19 14:47
by dodolin
Hat jemand eine Idee zur Behebung des Problems?
Ja. Korrekte Regeln erstellen oder Paketfilter auf Rootserver komplett abschalten.

Re: Firewall blockiert DNS abfragen trotz offenem #53

Posted: 2004-01-19 14:50
by moppi
Die Regel besagt, dass aller eingehender und ausgehender Traffic nicht berührt wird.
Danke für Deine Antwort aber etwas konstruktiver wäre nicht verkehrt.

Re: Firewall blockiert DNS abfragen trotz offenem #53

Posted: 2004-01-19 14:52
by captaincrunch
Die Regel besagt, dass aller eingehender und ausgehender Traffic nicht berührt wird.
Aha. Das nächste Ratespielchen...

Re: Firewall blockiert DNS abfragen trotz offenem #53

Posted: 2004-01-19 14:53
by dodolin
Die Regel besagt, dass aller eingehender und ausgehender Traffic nicht berührt wird.
Danke für Deine Antwort aber etwas konstruktiver wäre nicht verkehrt.
Danke für deine Infos, aber ohne jetzt mal den Output von iptables -L usw. zu kennen, KANN man nicht konstruktiver antworten, wenn man, wie ich, keinen Bock auf Glaskugelei hat.

Re: Firewall blockiert DNS abfragen trotz offenem #53

Posted: 2004-01-19 15:03
by dodolin
PS: Würde mal alle abgelehnten Pakete mit einem Ratelimit loggen lassen, würde sich das Problem erst gar nicht stellen, dass man nicht weiß, welche Regel jetzt welche Pakete verwirft. Irgendwie scheint mir dein Setup ziemlich vermurkst zu sein...

Re: Firewall blockiert DNS abfragen trotz offenem #53

Posted: 2004-01-19 15:10
by moppi
Hier ein IPTABLES -L

Code: Select all

Chain INPUT (policy DROP)
target     prot opt source               destination         
ACCEPT     all  --  anywhere             anywhere           
LOG        all  --  loopback/8           anywhere           LOG level warning tcp-options ip-options prefix `SuSE-FW-DROP-ANTI-SPOOFING ' 
LOG        all  --  anywhere             loopback/8         LOG level warning tcp-options ip-options prefix `SuSE-FW-DROP-ANTI-SPOOFING ' 
DROP       all  --  loopback/8           anywhere           
DROP       all  --  anywhere             loopback/8         
LOG        all  --  nsservice.net        anywhere           LOG level warning tcp-options ip-options prefix `SuSE-FW-DROP-ANTI-SPOOFING ' 
DROP       all  --  nsservice.net        anywhere           
LOG        all  --  nsservice.net        anywhere           LOG level warning tcp-options ip-options prefix `SuSE-FW-DROP-ANTI-SPOOFING ' 
DROP       all  --  nsservice.net        anywhere           
input_ext  all  --  anywhere             nsservice.net      
input_int  all  --  anywhere             nsservice.net      
DROP       all  --  anywhere             nsservice.net      
DROP       all  --  anywhere             255.255.255.255    
DROP       all  --  anywhere             nsservice.net      
DROP       all  --  anywhere             255.255.255.255    
LOG        all  --  anywhere             nsservice.net      LOG level warning tcp-options ip-options prefix `SuSE-FW-ACCESS_DENIED_INT ' 
DROP       all  --  anywhere             nsservice.net      
LOG        all  --  anywhere             anywhere           LOG level warning tcp-options ip-options prefix `SuSE-FW-ILLEGAL-TARGET ' 
DROP       all  --  anywhere             anywhere           

Chain FORWARD (policy DROP)
target     prot opt source               destination         
TCPMSS     tcp  --  anywhere             anywhere           tcp flags:SYN,RST/SYN TCPMSS clamp to PMTU 

Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination         
ACCEPT     all  --  anywhere             anywhere           
LOG        icmp --  anywhere             anywhere           icmp time-exceeded LOG level warning tcp-options ip-options prefix `SuSE-FW-TRACEROUTE-ATTEMPT ' 
ACCEPT     icmp --  anywhere             anywhere           icmp time-exceeded 
ACCEPT     icmp --  anywhere             anywhere           icmp port-unreachable 
ACCEPT     icmp --  anywhere             anywhere           icmp fragmentation-needed 
ACCEPT     icmp --  anywhere             anywhere           icmp network-prohibited 
ACCEPT     icmp --  anywhere             anywhere           icmp host-prohibited 
ACCEPT     icmp --  anywhere             anywhere           icmp communication-prohibited 
DROP       icmp --  anywhere             anywhere           icmp destination-unreachable 
ACCEPT     all  --  anywhere             anywhere           state NEW,RELATED,ESTABLISHED 
LOG        all  --  anywhere             anywhere           LOG level warning tcp-options ip-options prefix `SuSE-FW-OUTPUT-ERROR ' 

Chain forward_dmz (0 references)
target     prot opt source               destination         

Chain forward_ext (0 references)
target     prot opt source               destination         

Chain forward_int (0 references)
target     prot opt source               destination         

Chain input_dmz (0 references)
target     prot opt source               destination         
LOG        all  --  nsservice.net        anywhere           LOG level warning tcp-options ip-options prefix `SuSE-FW-DROP-ANTI-SPOOF ' 
DROP       all  --  nsservice.net        anywhere           
LOG        all  --  nsservice.net        anywhere           LOG level warning tcp-options ip-options prefix `SuSE-FW-DROP-ANTI-SPOOF ' 
DROP       all  --  nsservice.net        anywhere           
ACCEPT     icmp --  anywhere             anywhere           icmp echo-request 
ACCEPT     icmp --  anywhere             anywhere           state RELATED,ESTABLISHED icmp echo-reply 
ACCEPT     icmp --  anywhere             anywhere           state RELATED,ESTABLISHED icmp destination-unreachable 
ACCEPT     icmp --  anywhere             anywhere           state RELATED,ESTABLISHED icmp time-exceeded 
ACCEPT     icmp --  anywhere             anywhere           state RELATED,ESTABLISHED icmp parameter-problem 
ACCEPT     icmp --  anywhere             anywhere           state RELATED,ESTABLISHED icmp timestamp-reply 
ACCEPT     icmp --  anywhere             anywhere           state RELATED,ESTABLISHED icmp address-mask-reply 
LOG        icmp --  anywhere             anywhere           icmp redirect LOG level warning tcp-options ip-options prefix `SuSE-FW-DROP-ICMP-CRIT ' 
LOG        icmp --  anywhere             anywhere           icmp source-quench LOG level warning tcp-options ip-options prefix `SuSE-FW-DROP-ICMP-CRIT ' 
LOG        icmp --  anywhere             anywhere           icmp timestamp-request LOG level warning tcp-options ip-options prefix `SuSE-FW-DROP-ICMP-CRIT ' 
LOG        icmp --  anywhere             anywhere           icmp address-mask-request LOG level warning tcp-options ip-options prefix `SuSE-FW-DROP-ICMP-CRIT ' 
LOG        icmp --  anywhere             anywhere           icmp type 2 LOG level warning tcp-options ip-options prefix `SuSE-FW-DROP-ICMP-CRIT ' 
DROP       icmp --  anywhere             anywhere           
reject_func  tcp  --  anywhere             anywhere           tcp dpt:ident flags:SYN,RST,ACK/SYN 
LOG        tcp  --  anywhere             anywhere           tcp dpt:ftp flags:SYN,RST,ACK/SYN LOG level warning tcp-options ip-options prefix `SuSE-FW-DROP ' 
DROP       tcp  --  anywhere             anywhere           tcp dpt:ftp flags:SYN,RST,ACK/SYN 
LOG        tcp  --  anywhere             anywhere           tcp dpt:ssh flags:SYN,RST,ACK/SYN LOG level warning tcp-options ip-options prefix `SuSE-FW-DROP ' 
DROP       tcp  --  anywhere             anywhere           tcp dpt:ssh flags:SYN,RST,ACK/SYN 
LOG        tcp  --  anywhere             anywhere           tcp dpt:smtp flags:SYN,RST,ACK/SYN LOG level warning tcp-options ip-options prefix `SuSE-FW-DROP ' 
DROP       tcp  --  anywhere             anywhere           tcp dpt:smtp flags:SYN,RST,ACK/SYN 
LOG        tcp  --  anywhere             anywhere           tcp dpt:http flags:SYN,RST,ACK/SYN LOG level warning tcp-options ip-options prefix `SuSE-FW-DROP ' 
DROP       tcp  --  anywhere             anywhere           tcp dpt:http flags:SYN,RST,ACK/SYN 
LOG        tcp  --  anywhere             anywhere           tcp dpt:pop3 flags:SYN,RST,ACK/SYN LOG level warning tcp-options ip-options prefix `SuSE-FW-DROP ' 
DROP       tcp  --  anywhere             anywhere           tcp dpt:pop3 flags:SYN,RST,ACK/SYN 
LOG        tcp  --  anywhere             anywhere           tcp dpt:https flags:SYN,RST,ACK/SYN LOG level warning tcp-options ip-options prefix `SuSE-FW-DROP ' 
DROP       tcp  --  anywhere             anywhere           tcp dpt:https flags:SYN,RST,ACK/SYN 
LOG        tcp  --  anywhere             anywhere           tcp dpt:smtps flags:SYN,RST,ACK/SYN LOG level warning tcp-options ip-options prefix `SuSE-FW-DROP ' 
DROP       tcp  --  anywhere             anywhere           tcp dpt:smtps flags:SYN,RST,ACK/SYN 
LOG        tcp  --  anywhere             anywhere           tcp dpt:mysql flags:SYN,RST,ACK/SYN LOG level warning tcp-options ip-options prefix `SuSE-FW-DROP ' 
DROP       tcp  --  anywhere             anywhere           tcp dpt:mysql flags:SYN,RST,ACK/SYN 
LOG        tcp  --  anywhere             anywhere           tcp dpt:ndmp flags:SYN,RST,ACK/SYN LOG level warning tcp-options ip-options prefix `SuSE-FW-DROP ' 
DROP       tcp  --  anywhere             anywhere           tcp dpt:ndmp flags:SYN,RST,ACK/SYN 
LOG        tcp  --  anywhere             anywhere           tcp dpt:dnp flags:SYN,RST,ACK/SYN LOG level warning tcp-options ip-options prefix `SuSE-FW-DROP ' 
DROP       tcp  --  anywhere             anywhere           tcp dpt:dnp flags:SYN,RST,ACK/SYN 
LOG        tcp  --  anywhere             anywhere           state RELATED,ESTABLISHED tcp dpts:1024:65535 flags:SYN,RST,ACK/SYN LOG level warning tcp-options ip-options prefix `SuSE-FW-ACCEPT ' 
ACCEPT     tcp  --  anywhere             anywhere           state RELATED,ESTABLISHED tcp dpts:1024:65535 
ACCEPT     tcp  --  anywhere             anywhere           state ESTABLISHED tcp dpts:ipcserver:65535 flags:!SYN,RST,ACK/SYN 
ACCEPT     tcp  --  anywhere             anywhere           state ESTABLISHED tcp dpt:ftp-data flags:!SYN,RST,ACK/SYN 
ACCEPT     udp  --  strohhalm20.schlund.net  anywhere           state NEW,RELATED,ESTABLISHED udp spt:domain dpts:1024:65535 
ACCEPT     udp  --  dns2.schlund.de      anywhere           state NEW,RELATED,ESTABLISHED udp spt:domain dpts:1024:65535 
ACCEPT     udp  --  dns.schlund.de       anywhere           state NEW,RELATED,ESTABLISHED udp spt:domain dpts:1024:65535 
DROP       udp  --  anywhere             anywhere           udp dpt:fsp 
DROP       udp  --  anywhere             anywhere           udp dpt:ssh 
DROP       udp  --  anywhere             anywhere           udp dpt:smtp 
DROP       udp  --  anywhere             anywhere           udp dpt:bootpc 
DROP       udp  --  anywhere             anywhere           udp dpt:http 
DROP       udp  --  anywhere             anywhere           udp dpt:pop3 
DROP       udp  --  anywhere             anywhere           udp dpt:ntp 
DROP       udp  --  anywhere             anywhere           udp dpt:https 
DROP       udp  --  anywhere             anywhere           udp dpt:igmpv3lite 
DROP       udp  --  anywhere             anywhere           udp dpt:mysql 
DROP       udp  --  anywhere             anywhere           udp dpt:9256 
DROP       udp  --  anywhere             anywhere           udp dpt:ndmp 
DROP       udp  --  anywhere             anywhere           udp dpt:ndmp 
DROP       udp  --  anywhere             anywhere           udp dpt:dnp 
DROP       udp  --  anywhere             anywhere           udp dpt:dnp 
ACCEPT     udp  --  anywhere             anywhere           state NEW,RELATED,ESTABLISHED udp dpts:1024:65535 
LOG        tcp  --  anywhere             anywhere           tcp flags:SYN,RST,ACK/SYN LOG level warning tcp-options ip-options prefix `SuSE-FW-DROP-DEFAULT ' 
LOG        icmp --  anywhere             anywhere           icmp source-quench LOG level warning tcp-options ip-options prefix `SuSE-FW-DROP-DEFAULT ' 
LOG        icmp --  anywhere             anywhere           icmp redirect LOG level warning tcp-options ip-options prefix `SuSE-FW-DROP-DEFAULT ' 
LOG        icmp --  anywhere             anywhere           icmp echo-request LOG level warning tcp-options ip-options prefix `SuSE-FW-DROP-DEFAULT ' 
LOG        icmp --  anywhere             anywhere           icmp timestamp-request LOG level warning tcp-options ip-options prefix `SuSE-FW-DROP-DEFAULT ' 
LOG        icmp --  anywhere             anywhere           icmp address-mask-request LOG level warning tcp-options ip-options prefix `SuSE-FW-DROP-DEFAULT ' 
LOG        udp  --  anywhere             anywhere           LOG level warning tcp-options ip-options prefix `SuSE-FW-DROP-DEFAULT ' 
LOG        all  --  anywhere             anywhere           state INVALID LOG level warning tcp-options ip-options prefix `SuSE-FW-DROP-DEFAULT-INVALID ' 
DROP       all  --  anywhere             anywhere           

Chain input_ext (1 references)
target     prot opt source               destination         
LOG        all  --  nsservice.net        anywhere           LOG level warning tcp-options ip-options prefix `SuSE-FW-DROP-ANTI-SPOOF ' 
DROP       all  --  nsservice.net        anywhere           
LOG        icmp --  nsservice.net        anywhere           icmp source-quench LOG level warning tcp-options ip-options prefix `SuSE-FW-ACCEPT-SOURCEQUENCH ' 
ACCEPT     icmp --  nsservice.net        anywhere           icmp source-quench 
ACCEPT     icmp --  anywhere             anywhere           icmp echo-request 
ACCEPT     icmp --  anywhere             anywhere           state RELATED,ESTABLISHED icmp echo-reply 
ACCEPT     icmp --  anywhere             anywhere           state RELATED,ESTABLISHED icmp destination-unreachable 
ACCEPT     icmp --  anywhere             anywhere           state RELATED,ESTABLISHED icmp time-exceeded 
ACCEPT     icmp --  anywhere             anywhere           state RELATED,ESTABLISHED icmp parameter-problem 
ACCEPT     icmp --  anywhere             anywhere           state RELATED,ESTABLISHED icmp timestamp-reply 
ACCEPT     icmp --  anywhere             anywhere           state RELATED,ESTABLISHED icmp address-mask-reply 
LOG        icmp --  anywhere             anywhere           icmp redirect LOG level warning tcp-options ip-options prefix `SuSE-FW-DROP-ICMP-CRIT ' 
LOG        icmp --  anywhere             anywhere           icmp source-quench LOG level warning tcp-options ip-options prefix `SuSE-FW-DROP-ICMP-CRIT ' 
LOG        icmp --  anywhere             anywhere           icmp timestamp-request LOG level warning tcp-options ip-options prefix `SuSE-FW-DROP-ICMP-CRIT ' 
LOG        icmp --  anywhere             anywhere           icmp address-mask-request LOG level warning tcp-options ip-options prefix `SuSE-FW-DROP-ICMP-CRIT ' 
LOG        icmp --  anywhere             anywhere           icmp type 2 LOG level warning tcp-options ip-options prefix `SuSE-FW-DROP-ICMP-CRIT ' 
DROP       icmp --  anywhere             anywhere           
LOG        tcp  --  anywhere             anywhere           tcp dpt:ndmp flags:SYN,RST,ACK/SYN LOG level warning tcp-options ip-options prefix `SuSE-FW-ACCEPT ' 
ACCEPT     tcp  --  anywhere             anywhere           state NEW,RELATED,ESTABLISHED tcp dpt:ndmp 
LOG        tcp  --  anywhere             anywhere           tcp dpt:ftp flags:SYN,RST,ACK/SYN LOG level warning tcp-options ip-options prefix `SuSE-FW-ACCEPT ' 
ACCEPT     tcp  --  anywhere             anywhere           state NEW,RELATED,ESTABLISHED tcp dpt:ftp 
LOG        tcp  --  anywhere             anywhere           tcp dpt:mysql flags:SYN,RST,ACK/SYN LOG level warning tcp-options ip-options prefix `SuSE-FW-ACCEPT ' 
ACCEPT     tcp  --  anywhere             anywhere           state NEW,RELATED,ESTABLISHED tcp dpt:mysql 
LOG        tcp  --  anywhere             anywhere           tcp dpt:4662 flags:SYN,RST,ACK/SYN LOG level warning tcp-options ip-options prefix `SuSE-FW-ACCEPT ' 
ACCEPT     tcp  --  anywhere             anywhere           state NEW,RELATED,ESTABLISHED tcp dpt:4662 
LOG        tcp  --  anywhere             anywhere           tcp dpt:domain flags:SYN,RST,ACK/SYN LOG level warning tcp-options ip-options prefix `SuSE-FW-ACCEPT ' 
ACCEPT     tcp  --  anywhere             anywhere           state NEW,RELATED,ESTABLISHED tcp dpt:domain 
LOG        tcp  --  anywhere             anywhere           tcp dpt:bootps flags:SYN,RST,ACK/SYN LOG level warning tcp-options ip-options prefix `SuSE-FW-ACCEPT ' 
ACCEPT     tcp  --  anywhere             anywhere           state NEW,RELATED,ESTABLISHED tcp dpt:bootps 
LOG        tcp  --  anywhere             anywhere           tcp dpt:bootpc flags:SYN,RST,ACK/SYN LOG level warning tcp-options ip-options prefix `SuSE-FW-ACCEPT ' 
ACCEPT     tcp  --  anywhere             anywhere           state NEW,RELATED,ESTABLISHED tcp dpt:bootpc 
LOG        tcp  --  anywhere             anywhere           tcp dpt:http flags:SYN,RST,ACK/SYN LOG level warning tcp-options ip-options prefix `SuSE-FW-ACCEPT ' 
ACCEPT     tcp  --  anywhere             anywhere           state NEW,RELATED,ESTABLISHED tcp dpt:http 
LOG        tcp  --  anywhere             anywhere           tcp dpt:https flags:SYN,RST,ACK/SYN LOG level warning tcp-options ip-options prefix `SuSE-FW-ACCEPT ' 
ACCEPT     tcp  --  anywhere             anywhere           state NEW,RELATED,ESTABLISHED tcp dpt:https 
LOG        tcp  --  anywhere             anywhere           tcp dpt:pop3 flags:SYN,RST,ACK/SYN LOG level warning tcp-options ip-options prefix `SuSE-FW-ACCEPT ' 
ACCEPT     tcp  --  anywhere             anywhere           state NEW,RELATED,ESTABLISHED tcp dpt:pop3 
LOG        tcp  --  anywhere             anywhere           tcp dpt:smtp flags:SYN,RST,ACK/SYN LOG level warning tcp-options ip-options prefix `SuSE-FW-ACCEPT ' 
ACCEPT     tcp  --  anywhere             anywhere           state NEW,RELATED,ESTABLISHED tcp dpt:smtp 
LOG        tcp  --  anywhere             anywhere           tcp dpt:ssh flags:SYN,RST,ACK/SYN LOG level warning tcp-options ip-options prefix `SuSE-FW-ACCEPT ' 
ACCEPT     tcp  --  anywhere             anywhere           state NEW,RELATED,ESTABLISHED tcp dpt:ssh 
reject_func  tcp  --  anywhere             anywhere           tcp dpt:ident flags:SYN,RST,ACK/SYN 
LOG        tcp  --  anywhere             anywhere           tcp dpt:ssh flags:SYN,RST,ACK/SYN LOG level warning tcp-options ip-options prefix `SuSE-FW-DROP ' 
DROP       tcp  --  anywhere             anywhere           tcp dpt:ssh flags:SYN,RST,ACK/SYN 
LOG        tcp  --  anywhere             anywhere           tcp dpt:smtp flags:SYN,RST,ACK/SYN LOG level warning tcp-options ip-options prefix `SuSE-FW-DROP ' 
DROP       tcp  --  anywhere             anywhere           tcp dpt:smtp flags:SYN,RST,ACK/SYN 
LOG        tcp  --  anywhere             anywhere           tcp dpt:http flags:SYN,RST,ACK/SYN LOG level warning tcp-options ip-options prefix `SuSE-FW-DROP ' 
DROP       tcp  --  anywhere             anywhere           tcp dpt:http flags:SYN,RST,ACK/SYN 
LOG        tcp  --  anywhere             anywhere           tcp dpt:pop3 flags:SYN,RST,ACK/SYN LOG level warning tcp-options ip-options prefix `SuSE-FW-DROP ' 
DROP       tcp  --  anywhere             anywhere           tcp dpt:pop3 flags:SYN,RST,ACK/SYN 
LOG        tcp  --  anywhere             anywhere           tcp dpt:https flags:SYN,RST,ACK/SYN LOG level warning tcp-options ip-options prefix `SuSE-FW-DROP ' 
DROP       tcp  --  anywhere             anywhere           tcp dpt:https flags:SYN,RST,ACK/SYN 
LOG        tcp  --  anywhere             anywhere           tcp dpt:smtps flags:SYN,RST,ACK/SYN LOG level warning tcp-options ip-options prefix `SuSE-FW-DROP ' 
DROP       tcp  --  anywhere             anywhere           tcp dpt:smtps flags:SYN,RST,ACK/SYN 
LOG        tcp  --  anywhere             anywhere           tcp dpt:dnp flags:SYN,RST,ACK/SYN LOG level warning tcp-options ip-options prefix `SuSE-FW-DROP ' 
DROP       tcp  --  anywhere             anywhere           tcp dpt:dnp flags:SYN,RST,ACK/SYN 
LOG        tcp  --  anywhere             anywhere           state RELATED,ESTABLISHED tcp dpts:1024:65535 flags:SYN,RST,ACK/SYN LOG level warning tcp-options ip-options prefix `SuSE-FW-ACCEPT ' 
ACCEPT     tcp  --  anywhere             anywhere           state RELATED,ESTABLISHED tcp dpts:1024:65535 
ACCEPT     tcp  --  anywhere             anywhere           state ESTABLISHED tcp dpts:ipcserver:65535 flags:!SYN,RST,ACK/SYN 
ACCEPT     tcp  --  anywhere             anywhere           state ESTABLISHED tcp dpt:ftp-data flags:!SYN,RST,ACK/SYN 
ACCEPT     udp  --  strohhalm20.schlund.net  anywhere           state NEW,RELATED,ESTABLISHED udp spt:domain dpts:1024:65535 
ACCEPT     udp  --  dns2.schlund.de      anywhere           state NEW,RELATED,ESTABLISHED udp spt:domain dpts:1024:65535 
ACCEPT     udp  --  dns.schlund.de       anywhere           state NEW,RELATED,ESTABLISHED udp spt:domain dpts:1024:65535 
DROP       udp  --  anywhere             anywhere           udp dpt:ssh 
DROP       udp  --  anywhere             anywhere           udp dpt:smtp 
DROP       udp  --  anywhere             anywhere           udp dpt:domain 
DROP       udp  --  anywhere             anywhere           udp dpt:bootpc 
DROP       udp  --  anywhere             anywhere           udp dpt:http 
DROP       udp  --  anywhere             anywhere           udp dpt:pop3 
DROP       udp  --  anywhere             anywhere           udp dpt:ntp 
DROP       udp  --  anywhere             anywhere           udp dpt:ntp 
DROP       udp  --  anywhere             anywhere           udp dpt:https 
DROP       udp  --  anywhere             anywhere           udp dpt:igmpv3lite 
DROP       udp  --  anywhere             anywhere           udp dpt:9256 
DROP       udp  --  anywhere             anywhere           udp dpt:ndmp 
DROP       udp  --  anywhere             anywhere           udp dpt:dnp 
DROP       udp  --  anywhere             anywhere           udp dpt:dnp 
ACCEPT     udp  --  anywhere             anywhere           state NEW,RELATED,ESTABLISHED udp dpts:1024:65535 
LOG        tcp  --  anywhere             anywhere           tcp flags:SYN,RST,ACK/SYN LOG level warning tcp-options ip-options prefix `SuSE-FW-DROP-DEFAULT ' 
LOG        icmp --  anywhere             anywhere           icmp source-quench LOG level warning tcp-options ip-options prefix `SuSE-FW-DROP-DEFAULT ' 
LOG        icmp --  anywhere             anywhere           icmp redirect LOG level warning tcp-options ip-options prefix `SuSE-FW-DROP-DEFAULT ' 
LOG        icmp --  anywhere             anywhere           icmp echo-request LOG level warning tcp-options ip-options prefix `SuSE-FW-DROP-DEFAULT ' 
LOG        icmp --  anywhere             anywhere           icmp timestamp-request LOG level warning tcp-options ip-options prefix `SuSE-FW-DROP-DEFAULT ' 
LOG        icmp --  anywhere             anywhere           icmp address-mask-request LOG level warning tcp-options ip-options prefix `SuSE-FW-DROP-DEFAULT ' 
LOG        udp  --  anywhere             anywhere           LOG level warning tcp-options ip-options prefix `SuSE-FW-DROP-DEFAULT ' 
LOG        all  --  anywhere             anywhere           state INVALID LOG level warning tcp-options ip-options prefix `SuSE-FW-DROP-DEFAULT-INVALID ' 
DROP       all  --  anywhere             anywhere           

Chain input_int (1 references)
target     prot opt source               destination         
LOG        all  --  nsservice.net        anywhere           LOG level warning tcp-options ip-options prefix `SuSE-FW-DROP-ANTI-SPOOF ' 
DROP       all  --  nsservice.net        anywhere           
ACCEPT     all  --  anywhere             anywhere           
ACCEPT     icmp --  anywhere             anywhere           icmp echo-request 
ACCEPT     icmp --  anywhere             anywhere           state RELATED,ESTABLISHED icmp echo-reply 
ACCEPT     icmp --  anywhere             anywhere           state RELATED,ESTABLISHED icmp destination-unreachable 
ACCEPT     icmp --  anywhere             anywhere           state RELATED,ESTABLISHED icmp time-exceeded 
ACCEPT     icmp --  anywhere             anywhere           state RELATED,ESTABLISHED icmp parameter-problem 
ACCEPT     icmp --  anywhere             anywhere           state RELATED,ESTABLISHED icmp timestamp-reply 
ACCEPT     icmp --  anywhere             anywhere           state RELATED,ESTABLISHED icmp address-mask-reply 
LOG        icmp --  anywhere             anywhere           icmp redirect LOG level warning tcp-options ip-options prefix `SuSE-FW-DROP-ICMP-CRIT ' 
LOG        icmp --  anywhere             anywhere           icmp source-quench LOG level warning tcp-options ip-options prefix `SuSE-FW-DROP-ICMP-CRIT ' 
LOG        icmp --  anywhere             anywhere           icmp timestamp-request LOG level warning tcp-options ip-options prefix `SuSE-FW-DROP-ICMP-CRIT ' 
LOG        icmp --  anywhere             anywhere           icmp address-mask-request LOG level warning tcp-options ip-options prefix `SuSE-FW-DROP-ICMP-CRIT ' 
LOG        icmp --  anywhere             anywhere           icmp type 2 LOG level warning tcp-options ip-options prefix `SuSE-FW-DROP-ICMP-CRIT ' 
DROP       icmp --  anywhere             anywhere           
reject_func  tcp  --  anywhere             anywhere           tcp dpt:ident flags:SYN,RST,ACK/SYN 
LOG        tcp  --  anywhere             anywhere           state RELATED,ESTABLISHED tcp dpts:1024:65535 flags:SYN,RST,ACK/SYN LOG level warning tcp-options ip-options prefix `SuSE-FW-ACCEPT ' 
ACCEPT     tcp  --  anywhere             anywhere           state RELATED,ESTABLISHED tcp dpts:1024:65535 
ACCEPT     tcp  --  anywhere             anywhere           state ESTABLISHED tcp dpts:ipcserver:65535 flags:!SYN,RST,ACK/SYN 
ACCEPT     tcp  --  anywhere             anywhere           state ESTABLISHED tcp dpt:ftp-data flags:!SYN,RST,ACK/SYN 
ACCEPT     udp  --  anywhere             anywhere           state NEW,RELATED,ESTABLISHED udp dpt:1024 
ACCEPT     udp  --  strohhalm20.schlund.net  anywhere           state NEW,RELATED,ESTABLISHED udp spt:domain dpts:1024:65535 
ACCEPT     udp  --  dns2.schlund.de      anywhere           state NEW,RELATED,ESTABLISHED udp spt:domain dpts:1024:65535 
ACCEPT     udp  --  dns.schlund.de       anywhere           state NEW,RELATED,ESTABLISHED udp spt:domain dpts:1024:65535 
ACCEPT     udp  --  anywhere             anywhere           state NEW,RELATED,ESTABLISHED udp dpts:1024:65535 
LOG        tcp  --  anywhere             anywhere           tcp flags:SYN,RST,ACK/SYN LOG level warning tcp-options ip-options prefix `SuSE-FW-DROP-DEFAULT ' 
LOG        icmp --  anywhere             anywhere           icmp source-quench LOG level warning tcp-options ip-options prefix `SuSE-FW-DROP-DEFAULT ' 
LOG        icmp --  anywhere             anywhere           icmp redirect LOG level warning tcp-options ip-options prefix `SuSE-FW-DROP-DEFAULT ' 
LOG        icmp --  anywhere             anywhere           icmp echo-request LOG level warning tcp-options ip-options prefix `SuSE-FW-DROP-DEFAULT ' 
LOG        icmp --  anywhere             anywhere           icmp timestamp-request LOG level warning tcp-options ip-options prefix `SuSE-FW-DROP-DEFAULT ' 
LOG        icmp --  anywhere             anywhere           icmp address-mask-request LOG level warning tcp-options ip-options prefix `SuSE-FW-DROP-DEFAULT ' 
LOG        udp  --  anywhere             anywhere           LOG level warning tcp-options ip-options prefix `SuSE-FW-DROP-DEFAULT ' 
LOG        all  --  anywhere             anywhere           state INVALID LOG level warning tcp-options ip-options prefix `SuSE-FW-DROP-DEFAULT-INVALID ' 
DROP       all  --  anywhere             anywhere           

Chain reject_func (3 references)
target     prot opt source               destination         
REJECT     tcp  --  anywhere             anywhere           reject-with tcp-reset 
REJECT     udp  --  anywhere             anywhere           reject-with icmp-port-unreachable 
REJECT     all  --  anywhere             anywhere           reject-with icmp-proto-unreachable
ich habe eben schon nach der rules.conf gesucht leider existiert bei mir keine. oder habe ich ein fehler im namen? ist lang her dass ich mich damit befasst habe. mit den anderen ports funktio0niert es ja auch problemlos.

Re: Firewall blockiert DNS abfragen trotz offenem #53

Posted: 2004-01-19 15:26
by dodolin

Code: Select all

target     prot opt source               destination          
ACCEPT     all  --  anywhere             anywhere
Damit wäre ja alles andere hinfällig. Wie wäre es mit -v zusätzlich oder anderen Parameter, die ich gerade nicht im Kopf habe, aber in der manpage stehen, damit man da mal mehr sieht? Warum machst du MSS Clamping auf einem Rootserver? Kann es sein, dass du da irgendwelche (um das böse S-Wort zu vermeiden...) fertige Skripte nutzt, die du kein bisschen verstanden hast? Wie wäre es, komplett eigene Regeln zu erstellen (sofern man sich überlegt hat, was man mit einem Paketfilter überhaupt erreichen will), die man dann auch versteht?

Re: Firewall blockiert DNS abfragen trotz offenem #53

Posted: 2004-01-19 15:27
by standbye
tue dir und uns nen gefallen und schalt die suse firewall ab!

erklär erst sinnvoll für was du ne firewall brauchst und dann erstell die regeln per hand

...

Re: Firewall blockiert DNS abfragen trotz offenem #53

Posted: 2004-01-19 21:02
by thorsten
ich kann dir http://fwbuilder.sf.net empfehlen - einfacher baust du keine Firewall (einen Linux Desktop vorausgesetzt).

EDIT: In deiner Firewall sind ja gar keine TCP/UDP Packet für Port 53 aufgeführt...

UDP 53: normale DNS Anfragen - für alle freigeben
TCP 53: zonen transfers - nur für die beteiligten DNS-Server freigeben

Aber ich sehe auch keinen Grund eine Firewall auf nem rooty laufen zu lassen.
Entweder du bietest Dienste an und hälst sie aktuell (=sicher) oder du startest die Dienst eben nicht und bist auch sicher.

Eine Ausnahme für eine Firewall wäre evtl. ein nicht sicherer sendmail, den du aus Faulheit nicht patchst, der aber von einem anderen rooty Mails annehmen soll. Sowas _könnte_ man mit iptables regeln. Oder aber natürlich mit (x)inetd

Re: Firewall blockiert DNS abfragen trotz offenem #53

Posted: 2004-01-20 01:02
by dodolin
TCP 53: zonen transfers - nur für die beteiligten DNS-Server freigeben
Nope. TCP 53: normale DNS Anfragen (genau wie auch UDP 53) - für alle freigeben (sofern man einen öffentlichen DNS betreibt)

Re: Firewall blockiert DNS abfragen trotz offenem #53

Posted: 2004-01-20 08:09
by thorsten
laut http://www.msisafaq.de/Anleitungen/Tabe ... rotdef.htm

Code: Select all

Name Beschreibung                                    Definiert von Portnummer Protokolltyp Richtung 
DNS  Query DNS (Domain Name System)                  ISA Server    53         UDP          Senden Empfangen 
DNS  Query Server Domain Name System - Server        ISA Server    53         UDP          Empfangen Senden 
DNS  Zone Transfer DNS Zone Transfer-Protokoll       ISA Server    53         TCP          Ausgehend 
DNS  Zone Transfer Server DNS-Zonentransfer - Server ISA Server    53         TCP          Eingehend
Im Firewall Handbuch von littleidiot.de
DNS-Lookups werden aus Geschwindigkeitsgründen meist über UDP abgewickelt. Wenn bei der Ã?bertragung mit UDP Daten verlorengehen, wird der Lookup-Vorgang mit TCP wiederholt. Die Zonen-Transfers von DNS finden über TCP statt
Ich schalte seit Jahren nur UDP 53 frei und hatte noch nie eine Klage über nicht erreichbare DNS Server.

Re: Firewall blockiert DNS abfragen trotz offenem #53

Posted: 2004-01-20 11:53
by dodolin
Ich schalte seit Jahren nur UDP 53 frei und hatte noch nie eine Klage über nicht erreichbare DNS Server.
Dann warte, bis die erste Anfrage oder Antwort kommt, die größer als 512 (?) Byte ist, und du wirst sehen, warum du dir selbst in den Fuß schießt... BTW: Das ist nicht realitätsfern, ich habe schon öfters von solchen Problemen in Newsgruppen gelesen. Auch bekannte Anbieter wie hotmail und Co. hatten mal eine Zeit lang so viele MX und Aliases, dass das vorkam. Wenn du denen keine Mails mehr senden kannst, wirds lustig...

Auf irgendwelche Firewall-Handbücher würde ich nichts geben. Die ultimative Resource zum Thema sind die RFCs. http://www.faqs.org/rfcs/rfc1123.html
RFC 1123 - Requirements for Internet Hosts - Application and Support
1.2.2 Robustness Principle
[...]

DNS resolvers and recursive servers MUST support UDP, and
SHOULD support TCP, for sending (non-zone-transfer) queries.

DNS servers MUST be able to service UDP queries and SHOULD
be able to service TCP queries.

usw. Dort wird auch erklärt, warum das nötig ist und welche Probleme man bekommt...

Re: Firewall blockiert DNS abfragen trotz offenem #53

Posted: 2004-07-10 13:32
by ddandre
Hallo,

ich hab irgendwie das selbe Problem. Ich kann bei aktiviertem Paketfilter kein DNS auflösen.

hier mein iptable -L

Code: Select all

Chain INPUT (policy DROP)
target     prot opt source               destination
ACCEPT     all  --  anywhere             anywhere
ACCEPT     tcp  --  anywhere             anywhere            tcp dpt:www
ACCEPT     tcp  --  anywhere             anywhere            tcp dpt:ftp
ACCEPT     tcp  --  anywhere             anywhere            tcp dpt:auth
ACCEPT     udp  --  anywhere             anywhere            udp spt:domain
ACCEPT     tcp  --  anywhere             anywhere            tcp spt:domain
ACCEPT     tcp  --  anywhere             anywhere            tcp dpt:smtp
ACCEPT     tcp  --  anywhere             anywhere            tcp dpt:imap2
ACCEPT     tcp  --  anywhere             anywhere            tcp dpt:imaps
ACCEPT     tcp  --  anywhere             anywhere            tcp dpt:pop3
ACCEPT     tcp  --  anywhere             anywhere            tcp dpt:ssh
ACCEPT     icmp --  anywhere             anywhere

Chain FORWARD (policy ACCEPT)
target     prot opt source               destination

Chain OUTPUT (policy DROP)
target     prot opt source               destination
ACCEPT     all  --  anywhere             anywhere
ACCEPT     tcp  --  anywhere             anywhere            tcp spt:www
ACCEPT     tcp  --  anywhere             anywhere            tcp spt:ftp
ACCEPT     tcp  --  anywhere             anywhere            tcp dpt:ftp
ACCEPT     tcp  --  anywhere             anywhere            tcp spt:auth
ACCEPT     udp  --  anywhere             anywhere            udp spt:domain
ACCEPT     tcp  --  anywhere             anywhere            tcp spt:domain
ACCEPT     tcp  --  anywhere             anywhere            tcp spt:smtp
ACCEPT     tcp  --  anywhere             anywhere            tcp dpt:smtp
ACCEPT     tcp  --  anywhere             anywhere            tcp spt:imap2
ACCEPT     tcp  --  anywhere             anywhere            tcp spt:imaps
ACCEPT     udp  --  anywhere             anywhere            udp dpt:ntp
ACCEPT     tcp  --  anywhere             anywhere            tcp spt:ssh
ACCEPT     icmp --  anywhere             anywhere
wäre für Hilfe wirklich Dankbar

Re: Firewall blockiert DNS abfragen trotz offenem #53

Posted: 2004-07-10 21:02
by dodolin
ich hab irgendwie das selbe Problem. Ich kann bei aktiviertem Paketfilter kein DNS auflösen.
Dann schalte deinen Paketfilter ab.

sorry falsch gepostet

Posted: 2004-07-10 23:31
by ddandre
würde den aber gern behalten... gibt es eine andere Möglichkeit?

Re: Firewall blockiert DNS abfragen trotz offenem #53

Posted: 2004-07-12 11:05
by roi
dodolin wrote:Auf irgendwelche Firewall-Handbücher würde ich nichts geben. Die ultimative Resource zum Thema sind die RFCs. http://www.faqs.org/rfcs/rfc1123.html
RFC 1123 - Requirements for Internet Hosts - Application and Support
1.2.2 Robustness Principle
[...]

DNS resolvers and recursive servers MUST support UDP, and
SHOULD support TCP, for sending (non-zone-transfer) queries.

DNS servers MUST be able to service UDP queries and SHOULD
be able to service TCP queries.
usw. Dort wird auch erklärt, warum das nötig ist und welche Probleme man bekommt...
So so interessant. Ich habe bisher nur UDP offen auf meiner Firewall und DNS scheint keine Probleme zu machen. Werde aber gleich mal TCP nachziehen, was soll's.

Roi

Re: Firewall blockiert DNS abfragen trotz offenem #53

Posted: 2004-07-12 16:20
by dodolin
Ich habe bisher nur UDP offen auf meiner Firewall und DNS scheint keine Probleme zu machen.
Das geht so lange gut, bis mal größere Queries bzw. Antworten kommen. Es gab mal Zeiten, da hatte z.B. Yahoo oder AOL so viele MX Einträge, dass das mehr als 512 Byte waren. Leute mit Paketfiltern wie du hatten dann eine Menge Ã?rger und große Probleme, die Ursachen zu lokalisieren...

Re: Firewall blockiert DNS abfragen trotz offenem #53

Posted: 2004-07-12 16:32
by roi
Ich habe bisher nur UDP offen auf meiner Firewall und DNS scheint keine Probleme zu machen.
dodolin wrote:Das geht so lange gut, bis mal größere Queries bzw. Antworten kommen. Es gab mal Zeiten, da hatte z.B. Yahoo oder AOL so viele MX Einträge, dass das mehr als 512 Byte waren. Leute mit Paketfiltern wie du hatten dann eine Menge Ã?rger und große Probleme, die Ursachen zu lokalisieren...
Gut zu wissen. Man lernt nie aus. Ich meine, woher soll man das auch wissen wenn man nicht das RFC gelesen hat? Ich sniff den Verkehr mit, werte das aus und stelle die Firewall entsprechend ein. Und das waren damals wohl nur UDP-Pakete.

Danke fuer die Info.

Re: Firewall blockiert DNS abfragen trotz offenem #53

Posted: 2004-07-12 18:19
by oxygen
Roi wrote:Gut zu wissen. Man lernt nie aus. Ich meine, woher soll man das auch wissen wenn man nicht das RFC gelesen hat? Ich sniff den Verkehr mit, werte das aus und stelle die Firewall entsprechend ein. Und das waren damals wohl nur UDP-Pakete.
Indem man z.b. schaut welche Ports offen sind....
All times are UTC+01:00
Page 1 of 1