Postfix Fehler bei der Namensauflösung

[mǃck]

Hi alle zusammen,

ich hab ein Problem mit meinem Postfix und das treibt mich so langsam an den Rand der Verzweiflung :(

Wenn ich versuche über Squirrelmail eine Mail zu versenden dann kommt in der /var/log/mail.log folgender Fehler :

Code: Select all

Jun 29 19:31:39 h917724 postfix/smtp[15918]: 408B08C8204: to=<user@domain.de>, relay=none, delay=0, status=deferred (Host or domain name not found. Name service error for name=domain.de type=MX: Host not found, try again)

Auf dem selben Server habe ich noch eine iptables Firewall laufen die wie folgt aussieht :

Code: Select all

#
#       Alle bestehenden Regeln löschen
#

 iptables -F INPUT
 iptables -F OUTPUT
 iptables -F FORWARD

 echo "Initialisiere Firewall ...";

#
#       Per Default Zugriff komplett verbieten
#

 iptables -P INPUT DROP
 iptables -P OUTPUT DROP
 iptables -P FORWARD DROP

#
#       Interne Loopbackschnittstelle freischalten
#

 iptables -A INPUT -i lo -j ACCEPT
 iptables -A OUTPUT -o lo -j ACCEPT

#
#       INPUT Zugriffsregeln
#

 iptables -A INPUT -i eth0 -s 81.169.163.104 -p udp --destination-port 53 -j ACCEPT
 iptables -A INPUT -i eth0 -s 81.169.163.106 -p udp --destination-port 53 -j ACCEPT
 iptables -A INPUT -i eth0 -s 0.0.0.0/0 -p tcp --destination-port 25 -j ACCEPT
 iptables -A INPUT -i eth0 -s 0.0.0.0/0 -p tcp --destination-port 80 -j ACCEPT
 iptables -A INPUT -i eth0 -s 0.0.0.0/0 -p tcp --destination-port 443 -j ACCEPT
 iptables -A INPUT -i eth0 -s 0.0.0.0/0 -p tcp --destination-port 995 -j ACCEPT
 iptables -A INPUT -p tcp ! --syn -j ACCEPT

#
#       OUTPUT Zugriffsregeln
#

 iptables -A OUTPUT -o eth0 -d 81.169.163.104 -p udp --destination-port 53 -j ACCEPT
 iptables -A OUTPUT -o eth0 -d 81.169.163.106 -p udp --destination-port 53 -j ACCEPT
 iptables -A OUTPUT -o eth0 -d 0.0.0.0/0 -p tcp --destination-port 25 -j ACCEPT
 iptables -A OUTPUT -o eth0 -d 0.0.0.0/0 -p tcp --destination-port 80 -j ACCEPT
 iptables -A OUTPUT -o eth0 -d 0.0.0.0/0 -p tcp --destination-port 443 -j ACCEPT
 iptables -A OUTPUT -o eth0 -d 0.0.0.0/0 -p tcp --destination-port 995 -j ACCEPT
 iptables -A OUTPUT -p tcp ! --syn -j ACCEPT

Hat jemand eine Ahnung wie ich diesem Problem endlich zu leibe rücken kann ?

Würde mich über Hilfe freuen !!!

Gruß
m!Ck

[flo]

iptables -A INPUT -i eth0 -s 81.169.163.104 -p udp --destination-port 53 -j ACCEPT
iptables -A INPUT -i eth0 -s 81.169.163.106 -p udp --destination-port 53 -j ACCEPT

Möchtest Du TCP aus einem bestimmten Grund nicht mit aufnehmen?

flo.

[mǃck]

ich dachte bis dato das die namensauflösung nur über udp läuft, deswegen hab ich die tcp verbindungen geblockt ?
sollte ich die zulassen ?

[Roger Wilco]

Du solltest den Paketfilter generell deaktivieren. Er bringt dir bei dieser Konfiguration keinen Vorteil.

[mǃck]

hmm das ein Paketfilter auf Rootservern sinnlos ist hab ich hier schon öfter gelesen, allerdings verstehe ich nicht ganz wieso. Schließlich stellt er doch im Grunde den letzten Wall vor dem System dar. Und ein nicht gesichertes System muss doch einen Angreifer schon fast anlocken oder liege ich da faslch ?

[duergner]

<predigt-modus>Wenn auf einem Port kein Dienst lauscht dann bringt es auch nichts diesen Port zusaetzlich nich durch iptables zu blocken. Es kann sogar zu einem zusaetzlichen Risiko fuehren wenn iptables einen Bug hat</predigt-modus>

[mǃck]

hmm das klingt natürlich auch wieder logisch. :roll:

[wgot]

Hallo,

hmm das ein Paketfilter auf Rootservern sinnlos ist hab ich hier schon öfter gelesen, allerdings verstehe ich nicht ganz wieso. Schließlich stellt er doch im Grunde den letzten Wall vor dem System dar.

eben nicht, weil er nicht vor dem System sitzt (sondern auf dem System).

DNS läuft über Port 53 UDP und TCP.

Gruß, Wolfgang

[flo]

eben nicht, weil er nicht vor dem System sitzt (sondern auf dem System).

Ports (=Dienste) sind ja generell nur dann angreifbar, wenn das betreffende Programm eine Sicherheitslücke bietet - von Brutefoce auf Passwörtern mal ganz abgesehen.

Der Paket-"Filter" reicht das, was er bekommt, an die entsprechenden Programme weiter, mit anderen Worten, Sicherheitslücken, die im Programm sitzen, bekommst Du durch eine "dumme" Firewall nicht raus, es kann sogar sein, daß im iptables eine Lücke ist, die derjenige dann erst recht ausnutzt.

Bezüglich Apache wäre hier mod_security zu nennen, das ja _vor_ dem Durchreichen an diverse Module die Eingabedaten nach Patterns durchcheckt. Insofern trifft hinten dann auch nur gefilteter Input ein. Nachteil: Wenn sicher, dann schweinelahm und die Gefahr eines "false positive" ist bei der Anfangskonfig recht hoch - so viel kann man gar nicht testen, um Einschränkungen im Betrieb zu vermeiden.

flo.

P.S.: @ duergner: Predigt-Mode überlesen ;-)

[wgot]

Hallo,

Der Paket-"Filter" reicht das, was er bekommt, an die entsprechenden Programme weiter, mit anderen Worten, Sicherheitslücken, die im Programm sitzen, bekommst Du durch eine "dumme" Firewall nicht raus

natürlich. Die Firewall-Gläubigen sperren ja auch nicht die genutzten Ports sondern die ungenutzten, sie wollen also verhindern daß ein Einbrecher auf den ungenutzten Ports zusätzliche Dienste einrichtet.

Diese Funktion könnte ein Paketfilter tatsächlich übernehmen, dafür müßte es aber vor dem Server auf einem separaten System laufen, auf dem Server nützt er nichts denn wer weit genug eingedrungen ist um Dienste zu installieren der kann auch die Firewall manipulieren.

Natürlich bringt auch der vorgeschaltete Paketfilter nicht viel weil ein geknackter Server ohnehin neu aufgesetzt werden muß.

Paketfilter-Firewall auf dem Server hat die gleiche Wirkung wie eine Tablette Valium - der Admin ist beruhigt. :oops:

Gruß, Wolfgang

[duergner]

Theoretisch mag er schon was bringen. Angenommen ich kann $MALWARE auf dem System mittels PHP installieren habe es aber nicht geschafft, root-Rechte zu erlangen dann koennte man somit verhindern, dass Verbindungen an Ports > 1024 angenommen werden. Den einzigen Vorteil den ich allerdings hier erkennen kann ist, dass ich vielleicht nicht unnoetigen Traffic habe nachdem das Teil installiert wurde. Nach spaetestens einer Stunde sollte das ganze dann aber eh im Traffic-Reporting zu Buche schlagen (mal angenommen der Server hat in etwa eine stabile Trafficverteilung) und danach muss ich die Kiste eh neu aufsetzen.

Wird $MALWARE dazu verwendet Angriffe auf andere Systeme zu fahren ist der ganze Ansatz hinfaellig, da man das ja auf diese Weise nicht verhindern kann.

Wenn $MALWARE root-Rechte erlangen kann bring es auch absolut nichts mehr da man dann einfach eine neue iptables Regel erstellen kann.

Sprich der Vorteil ist eigentlich icht wirklich vorhanden.

[herrchen]

Hat jemand eine Ahnung wie ich diesem Problem endlich zu leibe rücken kann ?

du lässt die antwortpakete des servers nicht zu.
der quellport der anfrage ist >1024 und auf diesen port kommt die antwort.
du brauchst etwas in der art:

Code: Select all

iptables -I INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT

ob der paketfilter hier wirklich sinn macht, ist wohl "glaubensfrage" ...

herrchen

ps. UDP port 53 in der INPUT-chain brauchst du nur, wenn du selbst einen nameserver betreibst.

[herrchen]

ich dachte bis dato das die namensauflösung nur über udp läuft

*meistens* wird UDP reichen.
TCP ist aber für zonentransfers zwingend erforderlich.

herrchen