sslug-teknik team mailing list archive

[henrik@xxxxxxxxxx (Henrik St�)]

In <200007081342.PAA27744@xxxxxxxxxxx> Rasmus Andersen <rasmus@xxxxxxx> writes:

>Paa min firewall koerer jeg dnscache som intern dnsserver for mit
>lokalnet. Naar den skal spoerge ud i verden allokerer den en retur-
>port (aabenbart) uden at konsultere /proc/sys/net/ipv4/ip_local_port_range.
>Resultatet er, at en stribe svar fra omverdenen stoeder ind i min
>firewall foer svaret kommer igennem. En klart utilfredsstillende
>loesning.

Klart. Hvis du starter dnscache efter at du har sat
ip_local_port_range op, så er det på grænsen til en "bug" i
dnscache. I al fald en klart uhensigtsmæssig opførsel.

>Hvordan kommer jeg uden om det? Goer jeg noget galt? Har jeg ikke
>laest paa lektien?

Uden at kende dine firewall regler præcist er det svært at sige.  Men
det er slet ikke utænkeligt, at et program kan opføre sig så fjollet
at det selv bestemmer hvilken port, det vil bruge - i stedet for blot
at bede OS (Linux) om en ledig port. wu-ftp gør det samme (gav mig en
del hovedbrud med at få ftp-serveren på sslug til at køre - det
lykkedes kun med at rette i sourcen).
-- 
Henrik Storner      | "Crackers thrive on code secrecy. Cockcroaches breed 
<henrik@xxxxxxxxxx> |  in the dark. It's time to let the sunlight in."
                    |  
                    |          Eric S. Raymond, re. the Frontpage backdoor