On Tue, May 22, 2001 at 10:55:43AM +0200, Harald Witt wrote: Bitte den Vorredner leben lassen...;-)
> Christian Schmidt schrieb: > > for NS in `/usr/local/bin/resolv-list`;do > > $IPCHAINS -A input -s $NS 53 -d $LOCALIP 1024: -i $ISDN \ > > -p udp -j ACCEPT > > $IPCHAINS -A input -s $NS 53 -d $LOCALIP 1024: -i $ISDN \ > > -p tcp -j ACCEPT > > done > > Die Regel heisst: > Alles was vom DNS-Port kommt (TCP und UDP) lass durch die input-Chain an den > lokalen Prozess ran. > Das sind also die Antworten des DNS-Servers. Yup. > Wie sieht es denn mit den Anfragen aus ??? Die müssen erst mal durch die > output-chain durchkommen. Meine Output-Policy steht bzw. stand auf ACCEPT. > Die /var/log/messages hilft da immer weiter wenn an die Standard-Policy -l > dranhängst, und auch tcpdump ist da nicht schlecht. > Die Regel sollte ungefähr so aussehen: > ipchains -A output -s $LOCALIP 1024: -d $NS 53 -i $ISDN -p tcp -j ACCEPT > > BTW: Wenn die Regeln wirklich so in der "Linux User" standen ist das > wirklich zum heulen. Die zweite Regel öffnet ja ein riesiges > Sicherheitsloch. Da kann doch jeder mal vom Port 53 aus eine Vebindung zu > einem lokalen Prozess aufbauen, vorausgesetzt, er hat die richtige IP > gespooft. > Also Klartext: Es fehlt die Unterdrückung des Syn-Bits (! -y). ACK. Ich werde den zuständigen Redakteuren wohl mal eine Mail schreiben und um Aufklärung bitten. Gruß & Dank, Christian -- Christian Schmidt [EMAIL PROTECTED] -- ----------------------------------------------------------- Um sich aus der Liste auszutragen schicken Sie bitte eine E-Mail an [EMAIL PROTECTED] die im Subject "unsubscribe <deine_email_adresse>" enthaelt. Bei Problemen bitte eine Mail an: [EMAIL PROTECTED] ----------------------------------------------------------- 849 eingetragene Mitglieder in dieser Liste.
