Re: [S.u.S.E. ISDN] Firewall macht NAMED funktionslos

Tue, 16 Feb 1999 17:41:48 -0500 

On Tue, Feb 16, 1999 at 05:12:45PM -0000, David Schwaninger wrote:
> Die default-Policy fuer Input- und Output-Rules steht auf deny.
> 
> Und so versuche ich DNS-Anfragen zuzulassen:
> ipfwadm -I -a accept -P udp -W ippp0 -S <Provider-DNS-IP> 53
> ipfwadm -I -a accept -P tcp -W ippp0 -S <Provider-DNS-IP> 53
> ipfwadm -O -a accept -P udp -W ippp0 -D <Provider-DNS-IP> 53
> ipfwadm -O -a accept -P tcp -W ippp0 -D <Provider-DNS-IP> 53
> ipfwadm -I -a accept -P udp -W eth0 -S 192.168.4.0/24 53
> ipfwadm -I -a accept -P tcp -W eth0 -S 192.168.4.0/24 53
> ipfwadm -O -a accept -P udp -W eth0 -D 192.168.4.0/24 53
> ipfwadm -O -a accept -P tcp -W eth0 -D 192.168.4.0/24 53
> 
> Der Nameserver des Providers funktioniert mit "nslookup www.suse.de
> <Provider-DNS-IP>" jederzeit problemlos.
> 
> Es muss wohl so sein, dass ich etwas uebereifrig auch irgendwas sperre, was
> wohl notwendig ist, denn wenn ich die default-Policy auf accept lasse, geht
> alles problemlos.
> 
> Es stehen keine Fehlermeldungen darueber in /var/log/messages.

Tip: lass was reinschreiben.

Ich setze immer default-policy auf accept und verbiete dann alles was
nicht erlaubt ist, dabei dann schalter "-o" angeben und man sieht jede
Verletzung in messages, das sollte man ja sowieso checken koennen.

Bsp:     
    $IPFWADM -I -f
    $IPFWADM -I -p accept
    $IPFWADM -I -a accept -P tcp -S 0/0 -D $MYIP1 $DNS -W ippp0
    $IPFWADM -I -a accept -P udp -S 0/0 -D $MYIP1 $DNS -W ippp0
[..]
    $IPFWADM -I -a deny -o -P tcp -S 0/0 -D $MYFULLIP1 1:1023 -W ippp0
    $IPFWADM -I -a deny -o -P udp -S 0/0 -D $MYFULLIP1 1:1023 -W ippp0


Der Grund bei Dir ist vermutlich, dass Du auch die Ports ueber 1024 sperrst,
die fuer die Antworten benutzt werden.

-- 

        Klaus Franken, [EMAIL PROTECTED]

------------------------------------------------------------
                   D O N ' T       P A N I C !!!
------------------------------------------------------------
LINUX-ISDN-HOWTO:          http://www.franken.de/users/klaus 
------------------------------------------------------------
-
To unsubscribe from this list please send a mail to [EMAIL PROTECTED] with
'unsubscribe suse-isdn' in its body.

Antwort per Email an