On Tue, May 22, 2001 at 10:55:43AM +0200, Harald Witt wrote:
Bitte den Vorredner leben lassen...;-)
> Christian Schmidt schrieb:
> > for NS in `/usr/local/bin/resolv-list`;do
> > $IPCHAINS -A input -s $NS 53 -d $LOCALIP 1024: -i $ISDN \
> > -p udp -j ACCEPT
> > $IPCHAINS -A input -s $NS 53 -d $LOCALIP 1024: -i $ISDN \
> > -p tcp -j ACCEPT
> > done
>
> Die Regel heisst:
> Alles was vom DNS-Port kommt (TCP und UDP) lass durch die input-Chain an den
> lokalen Prozess ran.
> Das sind also die Antworten des DNS-Servers.
Yup.
> Wie sieht es denn mit den Anfragen aus ??? Die m�ssen erst mal durch die
> output-chain durchkommen.
Meine Output-Policy steht bzw. stand auf ACCEPT.
> Die /var/log/messages hilft da immer weiter wenn an die Standard-Policy -l
> dranh�ngst, und auch tcpdump ist da nicht schlecht.
> Die Regel sollte ungef�hr so aussehen:
> ipchains -A output -s $LOCALIP 1024: -d $NS 53 -i $ISDN -p tcp -j ACCEPT
>
> BTW: Wenn die Regeln wirklich so in der "Linux User" standen ist das
> wirklich zum heulen. Die zweite Regel �ffnet ja ein riesiges
> Sicherheitsloch. Da kann doch jeder mal vom Port 53 aus eine Vebindung zu
> einem lokalen Prozess aufbauen, vorausgesetzt, er hat die richtige IP
> gespooft.
> Also Klartext: Es fehlt die Unterdr�ckung des Syn-Bits (! -y).
ACK. Ich werde den zust�ndigen Redakteuren wohl mal eine Mail schreiben und
um Aufkl�rung bitten.
Gru� & Dank,
Christian
--
Christian Schmidt
[EMAIL PROTECTED]
--
-----------------------------------------------------------
Um sich aus der Liste auszutragen schicken Sie bitte eine
E-Mail an [EMAIL PROTECTED] die im Subject
"unsubscribe <deine_email_adresse>" enthaelt.
Bei Problemen bitte eine Mail an: [EMAIL PROTECTED]
-----------------------------------------------------------
849 eingetragene Mitglieder in dieser Liste.
