> for NS in `/usr/local/bin/resolv-list`;do > $IPCHAINS -A input -s $NS 53 -d $LOCALIP 1024: -i $ISDN \ > -p udp -j ACCEPT > $IPCHAINS -A input -s $NS 53 -d $LOCALIP 1024: -i $ISDN \ > -p tcp -j ACCEPT > done
Die Regel heisst: Alles was vom DNS-Port kommt (TCP und UDP) lass durch die input-Chain an den lokalen Prozess ran. Das sind also die Antworten des DNS-Servers. Wie sieht es denn mit den Anfragen aus ??? Die müssen erst mal durch die output-chain durchkommen. Die /var/log/messages hilft da immer weiter wenn an die Standard-Policy -l dranhängst, und auch tcpdump ist da nicht schlecht. Die Regel sollte ungefähr so aussehen: ipchains -A output -s $LOCALIP 1024: -d $NS 53 -i $ISDN -p tcp -j ACCEPT BTW: Wenn die Regeln wirklich so in der "Linux User" standen ist das wirklich zum heulen. Die zweite Regel öffnet ja ein riesiges Sicherheitsloch. Da kann doch jeder mal vom Port 53 aus eine Vebindung zu einem lokalen Prozess aufbauen, vorausgesetzt, er hat die richtige IP gespooft. Also Klartext: Es fehlt die Unterdrückung des Syn-Bits (! -y). HTH Harald -- ----------------------------------------------------------- Um sich aus der Liste auszutragen schicken Sie bitte eine E-Mail an [EMAIL PROTECTED] die im Subject "unsubscribe <deine_email_adresse>" enthaelt. Bei Problemen bitte eine Mail an: [EMAIL PROTECTED] ----------------------------------------------------------- 849 eingetragene Mitglieder in dieser Liste.
