Caching DNS und Firewall2 mit Squid, Suse 7.3, Konfiguration Firewall
Hallo meine Firewall2 erlaubt keine Antwort des T-Online-Nameservers Woran kann dies liegen ? Danke für eine Antwort Folgende Konfiguration: Suse 7.3 als Firewall mit DNS und Proxy (birne) IntDev eth0 192.168.1.7 Netzmakse 255.255.255.0 Extdev ippp0 dial-On-demand T-Online Nameserver als Forwarder zu T-Online Nameserver 194.25.2.129 Squid für Anfragen auf Port 80 Squid funktioniert ohne Firewall ohne Probleme Firewall wie beschrieben konfiguriert: FW_SERVICES_EXT_TCP="domain www" FW_SERVICES_EXT_UDP="domain" FW_SERVICES_EXT_IP="" FW_SERVICES_DMZ_TCP="" FW_SERVICES_DMZ_UDP="" FW_SERVICES_DMZ_IP="" FW_SERVICES_INT_TCP="www domain 3128" FW_SERVICES_INT_UDP="domain 3128" FW_SERVICES_INT_ip="" Highports sind geöffnet FW_ALLOW_INCOMING_HIGHPORTS_TCP="yes" FW_ALLOW_INCOMING_HIGHPORTS_UDP="yes" Services geschützt und DNS freigegeben FW_SERVICE_AUTODETECT="yes" FW_SERVICE_DNS="yes" FW_SERVICE_SQUID="yes" (notwendige Parameter für fw in squid.conf gesetzt) Masquerading aktiviert ? bei nutzung Squid vielleicht gar nicht notwendig ? FW_ROUTE="yes" FW_MASQUERADE="yes" FW_MASQ_DEV="$FW_DEV_EXT" (ippp0) Wie muss der Firewall konfiguriert sein, um Antworten auf DNS-Anfragen zu erhalten ? Bei einer Anfrage aus dem internen Netz (Browser, z.b. www.suse.de) bekomme ich in den MEssages folgende Meldung: Jul 25 08:27:28 birne kernel: SuSE-FW-UNALLOWED-TARGETIN=ippp0 OUT= MAC= SRC=194.25.2.129 DST=217.4.67.216 LEN=40 TOS=0x10 PREC=0x00 TTL=60 ID=24504 PROTO=UDP SPT=53 DPT=53 LEN=20 wobei src der T-Online Nameserver und dst die (dynam. IP) von ippp0 ist. Offensichtlich läßt die Firewall UDP-Pakete zum Port 53 nicht durch, obwohl FW_Service_DNS auf yes steht und FW_SERVICES_EXT_UDP="domain" aktiv ist. Wo ist das Problem ? Wieso wird der externe Nameserver abgewiesen ? -- Mit freundlichen Grüssen Harsing Treppenideen GmbH i.V. Tobias Ritter mailto:t.ritter@treppenideen.de Besuchen Sie uns auf unserer Internet-Seite ! Harsing Treppenideen GmbH Wernigeröder Str. 5 38855 Minsleben /Stadt Wernigerode Tel: 03943/54100 Fax. 03943/541018 e-Mail: info@treppenideen.de URL: www.treppenideen.de --- / (R) DIN EN ISO 9001:2000 --- / _ __ _ _ -D-I-N- | | / | | \ | | |\ | | |V | |--| |__| | _/ \ | | \ | | __ | S | | | | | | \ __| | | \| |_ _\ | B| \ -- T r e p p e n i d e e n Z-E-R-T \ ---
Tobias Ritter schrieb:
Hallo
meine Firewall2 erlaubt keine Antwort des T-Online-Nameservers Woran kann dies liegen ?
Danke für eine Antwort
Die Nameserver müssen in der /etc/resolve.conf stehen. Sonst geht nichts nameserver xxx.xxx.xxx.001 nameserver yyy.yyy.yyy.001 usw. die gehen dann alle, sondt keiner. -- Mit freundlichen Grüßen Frank Jäschke Mail : fje-admin@tpnet.de oder (Internetservice Frank.Jaeschke@deteline.de DeTeLine GmbH Teleport Bitterfeld)
On Fri, 2002-07-26 at 11:28, Frank Jäschke wrote:
Die Nameserver müssen in der /etc/resolve.conf stehen. Sonst geht nichts nameserver xxx.xxx.xxx.001 nameserver yyy.yyy.yyy.001 usw. die gehen dann alle, sondt keiner.
Wenn er allerdings einen Caching-DNS aufbauen will, muss er die Tee-Online DNS in seine named.conf als forwarder eintragen. und localhost in die resolv.conf. In der rc.config ungefaehr so: change_resolv_dyn="no" change_named_dyn="yes" Wobei ich nicht so genau weiss ob dyn. named bei 7.3 schon von SuSE unterstuetz wurde. Bei 8.0 geht das ganz locker. Aber such mal im Archiv z.B.: Mehrere DNS abfragen -- Mit freundlichen Grüßen ______________________ InnoSoft GmbH Marcel Schmedes E-Mail : sm@cemag.de Tel.: ++49-5151-989977 ______________________
participants (3)
-
Frank Jäschke -
harsing_treppenideen@t-online.de -
Marcel Schmedes