> for NS in `/usr/local/bin/resolv-list`;do
> $IPCHAINS -A input -s $NS 53 -d $LOCALIP 1024: -i $ISDN \
> -p udp -j ACCEPT
> $IPCHAINS -A input -s $NS 53 -d $LOCALIP 1024: -i $ISDN \
> -p tcp -j ACCEPT
> done
Die Regel heisst:
Alles was vom DNS-Port kommt (TCP und UDP) lass durch die input-Chain an den
lokalen Prozess ran.
Das sind also die Antworten des DNS-Servers.
Wie sieht es denn mit den Anfragen aus ??? Die m�ssen erst mal durch die
output-chain durchkommen.
Die /var/log/messages hilft da immer weiter wenn an die Standard-Policy -l
dranh�ngst, und auch tcpdump ist da nicht schlecht.
Die Regel sollte ungef�hr so aussehen:
ipchains -A output -s $LOCALIP 1024: -d $NS 53 -i $ISDN -p tcp -j ACCEPT
BTW: Wenn die Regeln wirklich so in der "Linux User" standen ist das
wirklich zum heulen. Die zweite Regel �ffnet ja ein riesiges
Sicherheitsloch. Da kann doch jeder mal vom Port 53 aus eine Vebindung zu
einem lokalen Prozess aufbauen, vorausgesetzt, er hat die richtige IP
gespooft.
Also Klartext: Es fehlt die Unterdr�ckung des Syn-Bits (! -y).
HTH
Harald
--
-----------------------------------------------------------
Um sich aus der Liste auszutragen schicken Sie bitte eine
E-Mail an [EMAIL PROTECTED] die im Subject
"unsubscribe <deine_email_adresse>" enthaelt.
Bei Problemen bitte eine Mail an: [EMAIL PROTECTED]
-----------------------------------------------------------
849 eingetragene Mitglieder in dieser Liste.
