ICMP für Name-Server

Bind, PowerDNS
torsten.e
Posts: 10
Joined: 2006-02-28 17:33

ICMP für Name-Server

Post by torsten.e » 2006-06-02 17:02

Wir betreiben 2 öffentliche Nameserver. Damit fr.-Domains über die Server verwaltet werden können, muß ICMP unterstützt werden.
Soweit sogut, jetzt fragt aber unsere Firwall für welche Ports ICMP geöffnet werden soll.

D.h. die für Nameserver muß ICMP "zugelassen" werden. Wenn ich aber ICMP nur für den Port 53 (DNS) öffne, meckert ZoneCheck. Hat jemand eine Ahnung wie das mit ICMP und een DNS-Servern richtig eingestellt werden muß

Danke

Torsten.E

Roger Wilco
Administrator
Administrator
Posts: 5924
Joined: 2004-05-23 12:53

Re: ICMP für Name-Server

Post by Roger Wilco » 2006-06-02 17:25

ICMP kennt keine "Ports".
-> de.wikipedia.org/wiki/ICMP

torsten.e
Posts: 10
Joined: 2006-02-28 17:33

ICMP kennt keine Ports

Post by torsten.e » 2006-06-02 17:35

Das ist mir "eigentlich" auch klar. Nur gebe ich auf der Firewall ICMP für Port 53 frei klappen der NameServer Check nicht.

Gebe ich im Portbereich 1 bis 65500 ein, klappt der Test, somit steht doch ICMP irgenwie mit Ports in Zusammenhang.

Und einen Port-Bereich MUSS ich definitiv eingeben, da ich es sonst nicht konfigurieren kann.
SonicWall Pro 1260

Gruß

Torsten

flo
Posts: 2223
Joined: 2002-07-28 13:02
Location: Berlin

Re: ICMP kennt keine Ports

Post by flo » 2006-06-02 20:47

Torsten.E wrote:Gebe ich im Portbereich 1 bis 65500 ein, klappt der Test, somit steht doch ICMP irgenwie mit Ports in Zusammenhang.
Weil dann wahrscheinlich der Filter komplett deaktiviert ist - schau doch mal ob es dort einen Punkt "ping" gibt oder ähnliches. Eventuell kannst Du ja auch auch statt UDP oder TCP noch etwas anderes anwählen und im Gerät ist das dann so gelöst.

flo.

ephigenie
Posts: 68
Joined: 2006-01-12 17:01

Re: ICMP für Name-Server

Post by ephigenie » 2006-06-03 12:45

Aus dem Manual :
Enabling Ping
By default, your SonicWALL does not respond to ping requests from the Internet. This Rule
allows ping requests from your ISP servers to your SonicWALL.
1. Click Add to launch the Add Rule window.
2. Select Allow from the Action menu.
3. Select Ping from the Service menu.
4. Select WAN from the Source Ethernet menu.
5. Enter the starting IP address of the ISP network in the Source Address Range Begin
field and the ending IP address of the ISP network in the Source Address Range End
field.
6. Select LAN from the Destination Ethernet menu.
7. Since the intent is to allow a ping only to the SonicWALL, enter the SonicWALL LAN IP
Address in the Destination Address Range Begin field.
8. Click the Options tab.
9. Select Always from the Apply this Rule menu to ensure continuous enforcement.
10. Click OK.
klar - das in deinem Fall nicht die IP des SonicWall's selber sondern die deiner DNS-Server als Destination eingetragen werden sollte.

icebreaker
Posts: 33
Joined: 2006-05-13 19:02

Re: ICMP für Name-Server

Post by icebreaker » 2006-06-18 20:27

Roger Wilco wrote:ICMP kennt keine "Ports".
-> de.wikipedia.org/wiki/ICMP
ICMP ist ein Protokoll und kennt/nutzt keine Ports, da es sich um ein Kontrolprotokoll handelt. Du solltest Port 53 für TCP/UDP freischalten !

Gruß, Ice

flo
Posts: 2223
Joined: 2002-07-28 13:02
Location: Berlin

Re: ICMP für Name-Server

Post by flo » 2006-06-18 21:03

Wieso? Das Problem war nicht, daß er nicht auf die Nameserver gelangen konnte, sondern daß die Firewall keinen Ping darauf zuließ.

flo.

semaphore
Posts: 20
Joined: 2004-04-26 06:54

Re: ICMP für Name-Server

Post by semaphore » 2006-06-23 23:24

flo wrote:Wieso? Das Problem war nicht, daß er nicht auf die Nameserver gelangen konnte, sondern daß die Firewall keinen Ping darauf zuließ.

flo.
Hat der Nameserver eine öffentliche IP-Adresse oder machst du Port-Forwarding?

Besser wäre noch, wenn du kurz die Netzwerkkonfiguration schreiben könntest.

Gruß,

Sem

flo
Posts: 2223
Joined: 2002-07-28 13:02
Location: Berlin

Re: ICMP für Name-Server

Post by flo » 2006-06-24 00:10

semaphore wrote:Hat der Nameserver eine öffentliche IP-Adresse oder machst du Port-Forwarding?
Beides, aber ich bin nicht der OP ;-)

Problem ist, daß die Nameserver hinter der Firewall nciht per ICMP (Ping) erreichbar waren, dies aber außer dem reinen "Namensdienst" die Registry zur Validierung der Nameserver braucht.

flo.