[BSD] named jail + ipfilter

Adam Szilveszter adam at hif.hu
2004. Ápr. 21., Sze, 16:37:09 CEST 

Szia!

Andras wrote:

> A kovetkezo problemara keresem a megoldast:

Na most segits egy kicsit. Mit szeretnel? Azt, hogy a tuzfal ellenere is 
le lehessen kivulrol is kerdezni a DNS szervert, vagy eppen azt, hogy ne 
lehessen? A leveled tobbszori elolvasasa utan hajlok arra, hogy az 
elsot, es az a problema, hogy a tuzfal blokkol, de nem lehetek benne 
biztos...

> Ha tavolrol kerek egy infot a name szervertol, akkor a
> tuzfal blokkol, viszont latom, hogy vannak szerverek, akik
> megis tudnak lekerdezni.
> 
> A kovetkezo ide vonatkozo szabalyok elnek az ipfilterben
> (sorrendben):
> 
> #block all by default
> block in log all
> 
> # DNS
> pass in quick on fxp0 proto tcp from any to any port = 53
> flags S keep state
> pass in quick on fxp0 proto udp from any to any port = 53
> flags S keep state
> 
> Egy kulso 53 portscan azzt mutatja, hogy nyitva van a tcp es
> az udp port is.

<...>

> Ha a tuzfalat kilovom, akkor minden ok, tehat talan nem
> named beli beallitasi problema van, bar gyanus volt, mivel
> vannak helyek, akik tudtak kerdezni es valaszt is kaptak.
> 
> ipfstat -hi parancsra latom, hogy a block in log all sor
> talalatai folyamatosan novekszenek. A pass sor viszont nem
> (kiveve azt a par szervert, akik megis tudnak lekerdezni).

Es mi lenne, ha a teszteles celjabol beallitanal a megfelelo szabalyokra 
logolast, majd a logokat ipmon segitsegevel kiertekelned? Ipfilter 
eseten en igy szoktam hibat keresni, meg persze tcpdump/ethereal 
hasznalataval. Jelen esetben a DNS logjait is segitsegul hivnam.

A szabalyok elso ranezesre jok, de lehet az, hogy a valaszt nem kapok pl 
nem az fxp0 interface-n erkeznek? Mert akkor ugye nekik semmi. Valoban a 
te szerveredtol kapnak valaszt es nem valahonnan mashonnan? Ha biztos, 
hogy toled, akkor milyen tipusu lekeredezesek sikeresek? Melyek nem? 
Autoritativ zonara vonatkozo keresek mennek es esetleg a tobbi nem? stb. 
Ebben segit a logolas. Plusz en biztos azt csinalnam, hogy az 53-as 
portra csak a DNS IP-jere engednem a forgalmat, hiszen mashova minek 
kellene? Most elvileg a tuzfalad minden SYN csomagot atenged, amit 
akarhonnan akarhova kuldenek csak az a lenyeg, hogy TCP/UDP53-as 
port*ra* menjen. Ezert pl elvileg egy masik DNS szerver is valaszolhat 
az ennek alapjan kimeno csomagokra...

Udv:
Sz.

További információk a(z) BSD levelezőlistáról