On Mon, May 21, 2001 at 07:26:57PM +0200, Christian Schmidt wrote:
> for NS in `/usr/local/bin/resolv-list`;do
> $IPCHAINS -A input -s $NS 53 -d $LOCALIP 1024: -i $ISDN \
> -p udp -j ACCEPT
> $IPCHAINS -A input -s $NS 53 -d $LOCALIP 1024: -i $ISDN \
> -p tcp -j ACCEPT
> done
Hm. TCP brauchst Du nicht f�r DNS, es sei denn, Du machst
Zonentransfers. Wenn Du welche machst, dann gehen die aber von Dir aus.
Sollten andere Zonen von Dir holen wollen (was ich nicht glaube), mu�t
Du 53/tcp reinlassen.
Aber wir reden sicherlich von 53/udp, also von dem, was Deine Kiste von
anderen wissen will.
Neuere BINDs nehmen willk�rliche Source-Ports. Das ist nicht immer
praktisch, weil Du die vorher nicht wei�t und auch damit kein UDP
reinlassen kannst auf diese Ports. Aber - in /etc/bind/named.conf
gibt es eine (auskommentierte) Zeile: ``query-source address * port
53''. Wenn Du diese Zeile aktivierst und dann
ipchains -s 0/0 domain -d $LOCALIP domain -p udp -j ACCEPT
in Deinen Rules hast, kann es funktionieren. Die -s 0/0 domain --Angabe
ist ziemlich f�r die Katz, das kann jeder faken, aber es macht nat�rlich
einen guten Eindruck ;-)
OOoch, ich sehe gerade, das war garnicht die Antwort auf Deine Frage.
Aber es _ist_ die Antwort auf Deine Frage, wenn bei Dir lokal ein BIND
l�uft (und in /etc/resolv.conf ein ``nameserver 0.0.0.0'' steht.)
Um Deine Frage wirklich zu beantworten, solltest Du mal als letzte Rule
ein
ipchains -A input -j DENY -l
eintragen und uns dann zeigen, was dort drin steht, nachdem Du versucht
hast, auf Rechner au�erhalb Deines Netzes zu pingen...
Best regards from Dresden/Germany
Viele Gruesse aus Dresden
Heiko Schlittermann
--
SCHLITTERMANN --------------------- internet & unix support -
<a href="http://debian.schlittermann.de/";> Debian 2.x CD </a>
Heiko Schlittermann HS12-RIPE finger:[EMAIL PROTECTED] -
pgp: A1 7D F6 7B 69 73 48 35 E1 DE 21 A7 A8 9A 77 92 -------
gpg: CC19 0FE2 073B AEA1 5C11 37DD 347D 73DC FF56 BA6D -----
--
-----------------------------------------------------------
Um sich aus der Liste auszutragen schicken Sie bitte eine
E-Mail an [EMAIL PROTECTED] die im Subject
"unsubscribe <deine_email_adresse>" enthaelt.
Bei Problemen bitte eine Mail an: [EMAIL PROTECTED]
-----------------------------------------------------------
848 eingetragene Mitglieder in dieser Liste.
