* Claudius Hubig <[EMAIL PROTECTED]> wrote: > Jan Luehr <[EMAIL PROTECTED]> wrote: > >ja hallo erstmal,... > > > >Am Sonntag, 18. Dezember 2005 11:11 schrieb Claudius Hubig: > > > >> Hallo Liste, > >> > >> ich bin zur Zeit dabei, zu versuchen, mein Netzwerk mittels iptables > >> abzudichten. Dazu bin ich nach > >> http://www.online-tutorials.net/internet-netzwerk/iptables-tutorial/tutoria > >>ls-t-29-214.html vorgegangen, habe jetzt jedoch ein Problem mit der > >> Namenauflösung. > >> > >> "ping IP" funktioniert problemlos, während bspw. "ping google.de" nur einen > >> "unknown host" meldet. > >> > >> Das zugehörige Script sieht folgendermaßen aus: > >> > >> #!/bin/bash > >> IPTABLES=/sbin/iptables > >> EXT_DEV=eth1 > >> INT_NET=192.168.0.0/24 > >> #Ports to Forward > >> FORWARD_1_TCP="21,22,25,53,80,110,119,443,1716,1717,1718,1719" > >> FORWARD_2_TCP="2341,2342,5050,5190,5222,6667,6668,8000,8080" > >> FORWARD_UDP="53,1716,1717,1718,1719" > >[...] > > > >> /sbin/iptables -t filter -A INPUT -p udp -m multiport > >> --dport $INPUT_UDP -j ACCEPT echo "Input Rules were set" > > Das kam bei dir so an? - Entschuldige bitte. > > >Müsste es hier nicht eher sport heißen? > > Mhm, ja, mit sport geht es - aber warum? Ich meine da kommt ja was > "Rein", das auf einen bestimmten Port will. Dieser ist doch "53", oder? > Der Sourceport dürfte da doch keine Rolle spielen. *verwirrtsei* - Da > werde ich auf alle Fälle nochmal was zu nachlesen - aber es geht ja > jetzt, danke :)
Über das ACCEPT im OUTPUT-Table für Ziel-Port UDP/53 gingen die DNS-Anfragen zwar raus (von einem unpriviligierten Quell-Port >1024), die Antworten vom entfernten Port UDP/53 zurück an Deinen lokalen unpriviligierten Quell-Port UDP/>1024 kamen jedoch nicht mehr durch die Regeln Deines INPUT-Tables zurück. Mit Deinen aktuellen Regeln musst Du jeglichen Rückverkehr ebenfalls erlauben. Die Regel von Jan hat dies nun für DNS ermöglicht, mache es Dir hier einfacher und nimm eine Zeile a la iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT in Deinen INPUT-Table auf. Die erlaubt jeglichen Rückverkehr für ausgehende Verbindungen (insofern iptables mit dem Protokoll klarkommt, für FTP muss z.B. noch conntrack_ftp als Modul hinzugeladen werden). > >Generell musst du aber aufpassen, nicht alles, was von sport 53 kommt > >hereinzulassen ;) > > Joa, aber ob ich den jetzt noch extra öffne, wenn ich den Rest > "abschließe" oder er sowieso offen ist, weil da der named drauf > lauscht, dürfte doch eigentlich egal sein, oder? ;) ?? - sebastian
