sslug-teknik team mailing list archive

[Henrik "St�" <henrik@xxxxxxx>]

"query-source-port" er til brug for BIND's egne forespørgsler,
f.eks. når den skal håndtere en rekursiv query ved selv at
forespørge ud mod andre DNS servere.

Så vidt jeg ved går alle svar på forespørgsler ud med
source-port 53, og destination-port = den port som forespørgslen
ankom fra.

Men hvorfor bruger du ikke bare state-matching regler i din firewall ?
Altså (ikke testet, men burde virke):
  iptables -A INPUT -m state --state NEW -p udp -dport 53 -j ACCEPT
  iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
  iptables -A OUTPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
og nix weiter ...


Henrik


In <004701c24c76$cd112520$6d011eac@dogbert> "Matthew Klestrup" <matthew@xxxxxxxxxxxx> writes:

>Jeg har en lokal Bind 9.1.3 (ikke registreret name server) k=F8rende =
>p=E5 en Linux 2.4.7 box som bl.a. ogs=E5 er web- og mailserver. Jeg vil =
>naturligvis gerne beskytte boxen med iptables, men idet bind startes med =
>named brugeren, s=E5 ligger afsende-porten ikke fast p=E5 53 men p=E5 =
>vilk=E5rlige porte over 1024, som s=E5 typisk IKKE er =E5bne p.g.a. =
>reglerne i iptables. Jeg har derfor fors=F8gt at konfigurere bind til at =
>bruge en bestemt port med linien "query-source address * port 1053" i =
>named.conf, men efter genstart af daemonen, kan jeg se i =
>/var/log/messages, at bind forg=E6ves fortsat vil sende retursvar p=E5 =
>en port der ikke er =E5ben - og klienten f=E5r aldrig opl=F8st sin =
>adresse. Hvis jeg specifikt =E5bner den n=E6ste port med iptables =
>(alts=E5 en port h=F8jere end den som der sidst blev fors=F8gt p=E5), =
>s=E5 f=E5r klienten svar p=E5 sin foresp=F8rgsel.

>Jeg vil helst ikke =E5bne mere end n=F8dvendigt med iptables, s=E5 =
>sp=F8rgsm=E5let er, hvorfor jeg ikke kan "tvinge" bind til kun at bruge =
>port 1053 til at sende svar retur. Er der nogen der har oplevet det =
>samme?
-- 
Henrik Storner <henrik@xxxxxxx>