[BSD] named jail + ipfilter

Potoczky Andras andras007 at freemail.hu
2004. Ápr. 21., Sze, 18:03:43 CEST 

Szia

> Na most segits egy kicsit. Mit szeretnel? Azt, hogy a tuzfal ellenere is 
> le lehessen kivulrol is kerdezni a DNS szervert, vagy eppen azt, hogy ne 
> lehessen? A leveled tobbszori elolvasasa utan hajlok arra, hogy az 
> elsot, es az a problema, hogy a tuzfal blokkol, de nem lehetek benne 
> biztos...

Bocs, lehet hulyen fogalmaztam. Azt szeternem, hogy a geprol 
lekerdezheto legyen a DNS szerver.

> Es mi lenne, ha a teszteles celjabol beallitanal a megfelelo szabalyokra 
> logolast, majd a logokat ipmon segitsegevel kiertekelned? Ipfilter 
> eseten en igy szoktam hibat keresni, meg persze tcpdump/ethereal 
> hasznalataval. Jelen esetben a DNS logjait is segitsegul hivnam.

Ipmon megy es abban nezegettem, hogy kit hol miert blokkol.
Kozben arra rajottem, hogy csak tevedes volt, hogy valaki is le tudja 
kerni a DNS-t. Valojaban nem tudja senki, tehat az ipfilter mindent eldob.

> A szabalyok elso ranezesre jok, de lehet az, hogy a valaszt nem kapok pl 
> nem az fxp0 interface-n erkeznek? Mert akkor ugye nekik semmi. Valoban a 
> te szerveredtol kapnak valaszt es nem valahonnan mashonnan? Ha biztos, 
> hogy toled, akkor milyen tipusu lekeredezesek sikeresek? Melyek nem? 

Csak egy fxp0 van a gepben. Ez egy co-loc gep. Nem NAT-ol, csak a jaileknek,

> Autoritativ zonara vonatkozo keresek mennek es esetleg a tobbi nem? stb. 
> Ebben segit a logolas. Plusz en biztos azt csinalnam, hogy az 53-as 
> portra csak a DNS IP-jere engednem a forgalmat, hiszen mashova minek 
> kellene?

Arra gondolsz, hogy mindenfele forgalmat az 53-as porton toljak at a 
jail-be? Ez megvan.

Adok par blokk sort az ipmon kimenetebol:

21/04/2004 17:55:25.307166 fxp0 @0:1 b 193.224.x.x,4386 -> 127.0.0.20,53 
PR udp len 20 54 IN
21/04/2004 17:55:25.307131 @11 NAT:RDR 127.0.0.20,53 <- -> 195.70.x.x,53 
[193.224.x.x,4386]

A beidezet log magyarazata:
193.224.x.x - ahonnan probaltam
127.0.0.20 - a jail IP-je a gepen (lo0)
195.70.x.x - a szerver IP cime (tehat csak 1 van, co-loc gep)

A tuzfalban meg van sok mas block es pass, amik elvileg masra 
vonatkoznak, de mikozben nezem es probalom, az ipfstat az elso sorra, 
vagyis a block in log all sorra mar eldobja ezt a kerest.
Ugyanez ugyanigy jail eseteben a mail pl megy gond nelkul ugy, hogy 
ugyanilyen pass szintaktikaval atengedem es egy rdr sor tovabbitja a 
jail fele.


Koszi

Andras

További információk a(z) BSD levelezőlistáról