sslug-teknik team mailing list archive

["Matthew Klestrup" <matthew@xxxxxxxxxxxx>]

Hej alle

Jeg har en lokal Bind 9.1.3 (ikke registreret name server) kørende på en Linux 2.4.7 box som bl.a. også er web- og mailserver. Jeg vil naturligvis gerne beskytte boxen med iptables, men idet bind startes med named brugeren, så ligger afsende-porten ikke fast på 53 men på vilkårlige porte over 1024, som så typisk IKKE er åbne p.g.a. reglerne i iptables. Jeg har derfor forsøgt at konfigurere bind til at bruge en bestemt port med linien "query-source address * port 1053" i named.conf, men efter genstart af daemonen, kan jeg se i /var/log/messages, at bind forgæves fortsat vil sende retursvar på en port der ikke er åben - og klienten får aldrig opløst sin adresse. Hvis jeg specifikt åbner den næste port med iptables (altså en port højere end den som der sidst blev forsøgt på), så får klienten svar på sin forespørgsel.

Jeg vil helst ikke åbne mere end nødvendigt med iptables, så spørgsmålet er, hvorfor jeg ikke kan "tvinge" bind til kun at bruge port 1053 til at sende svar retur. Er der nogen der har oplevet det samme?

Mvh
Matthew Klestrup