[BSD] named jail + ipfilter

[Andras]

Udv Lista

A kovetkezo problemara keresem a megoldast:

Van egy 4.9-es FreeBSD gepem, amin jail-ben fut egy bind.
Ipfilter tuzfal vedi a rendszert.

Ha tavolrol kerek egy infot a name szervertol, akkor a
tuzfal blokkol, viszont latom, hogy vannak szerverek, akik
megis tudnak lekerdezni.

A kovetkezo ide vonatkozo szabalyok elnek az ipfilterben
(sorrendben):

#block all by default
block in log all

# DNS
pass in quick on fxp0 proto tcp from any to any port = 53
flags S keep state
pass in quick on fxp0 proto udp from any to any port = 53
flags S keep state

Egy kulso 53 portscan azzt mutatja, hogy nyitva van a tcp es
az udp port is.

Az erdekes a dologban az, hogy mas szolgaltatasok is futnak
mas jailben, de azok ugyanezen szintaktikaval tokeletesen
mukodnek. Az egyetlen kulonbseg (szerintem) az, hogy a named
UDP portot nyit a kommunikaciohoz, de ezt en is engedem neki.

Ha a tuzfalat kilovom, akkor minden ok, tehat talan nem
named beli beallitasi problema van, bar gyanus volt, mivel
vannak helyek, akik tudtak kerdezni es valaszt is kaptak.

ipfstat -hi parancsra latom, hogy a block in log all sor
talalatai folyamatosan novekszenek. A pass sor viszont nem
(kiveve azt a par szervert, akik megis tudnak lekerdezni).

Mar megszoktam, hogy ipfiltert csak en hasznalok, de azert
remelem tud valaki segiteni :)

Kosz

Andras