sslug-teknik team mailing list archive

Thread
Date

Re: Iptables p�n bind name server

To: sslug-teknik@xxxxxxxx
From: "Matthew Klestrup" <matthew@xxxxxxxxxxxx>
Date: Tue, 27 Aug 2002 17:04:07 +0200
Delivered-to: mailing list sslug-teknik@xxxxxxxx
Mailing-list: contact sslug-teknik-help@xxxxxxxx; run by ezmlm
Newsgroups: sslug.teknik
Organization: SSLUG

Hej Henrik

Tak for hjælpen. Det virkede bortset fra en mindre detalje: Det
hedder --dport 53 og ikke -dport 53 :-)

Matthew

"Henrik Størner" <henrik@xxxxxxx> skrev i en meddelelse
news:akbhuk$u17$1@xxxxxxxxxxxx...
> "query-source-port" er til brug for BIND's egne forespørgsler,
> f.eks. når den skal håndtere en rekursiv query ved selv at
> forespørge ud mod andre DNS servere.
>
> Så vidt jeg ved går alle svar på forespørgsler ud med
> source-port 53, og destination-port = den port som forespørgslen
> ankom fra.
>
> Men hvorfor bruger du ikke bare state-matching regler i din firewall ?
> Altså (ikke testet, men burde virke):
>   iptables -A INPUT -m state --state NEW -p udp -dport 53 -j ACCEPT
>   iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
>   iptables -A OUTPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
> og nix weiter ...
>
>
> Henrik
>
>
> In <004701c24c76$cd112520$6d011eac@dogbert> "Matthew Klestrup"
<matthew@xxxxxxxxxxxx> writes:
>
> >Jeg har en lokal Bind 9.1.3 (ikke registreret name server) k=F8rende =
> >p=E5 en Linux 2.4.7 box som bl.a. ogs=E5 er web- og mailserver. Jeg vil =
> >naturligvis gerne beskytte boxen med iptables, men idet bind startes med
=
> >named brugeren, s=E5 ligger afsende-porten ikke fast p=E5 53 men p=E5 =
> >vilk=E5rlige porte over 1024, som s=E5 typisk IKKE er =E5bne p.g.a. =
> >reglerne i iptables. Jeg har derfor fors=F8gt at konfigurere bind til at
=
> >bruge en bestemt port med linien "query-source address * port 1053" i =
> >named.conf, men efter genstart af daemonen, kan jeg se i =
> >/var/log/messages, at bind forg=E6ves fortsat vil sende retursvar p=E5 =
> >en port der ikke er =E5ben - og klienten f=E5r aldrig opl=F8st sin =
> >adresse. Hvis jeg specifikt =E5bner den n=E6ste port med iptables =
> >(alts=E5 en port h=F8jere end den som der sidst blev fors=F8gt p=E5), =
> >s=E5 f=E5r klienten svar p=E5 sin foresp=F8rgsel.
>
> >Jeg vil helst ikke =E5bne mere end n=F8dvendigt med iptables, s=E5 =
> >sp=F8rgsm=E5let er, hvorfor jeg ikke kan "tvinge" bind til kun at bruge =
> >port 1053 til at sende svar retur. Er der nogen der har oplevet det =
> >samme?
> --
> Henrik Storner <henrik@xxxxxxx>
>
>
>

References

Iptables på en bind name server
From: Matthew Klestrup, 2002-08-25
Re: Iptables på en bind name server
From: St�, 2002-08-25