Am Fre, 31 Mär 2000 schrieb Marc Schiffbauer:
Waldemar Brodkorb wrote:
IMHO ist jeder Netzwerkdienst auf einer Firewall ein Risiko. Ich wuerde DNS daher auf den Server hinter der FW stellen.
Aber ich muß doch dann trotzdem den Port 53 für den DNS freischalten damit der Server die Anfragen an den ISP-DNS durchläßt.
Ob er nur Port 53 fuer DNS durchlaesst, oder selbst ein DNS ist, ist aber noch ein grosser Unterschied, oder?
Aber kein großer oder? Wenn ich sowieso nur die IP-Adressen von meinem ISP anfrage. (forward only) Und zusätzlich keine Anfragen von außen zu lasse. (allow-query,listen on) Und dann noch als chroot, ich denke nicht das es die Sache in irgendeiner Weise unsicherer macht, dann auch auf der Firewall einen Caching-DNS zu haben oder?
Ich würde zum jetzigen Zeitpunkt auf dem Server einen DNS-Server der für die Home-Domain zuständig ist installieren und den Caching-DNS auf der Firewall abfragt, wenn es um fremde Domains geht. Der Caching-DNS auf dem Firewall soll dann in ein /chroot-Verzeichnis installiert werden.
ist auf jeden Fall sicherer.
Das sollte doch AFAIK keinen Nachteil in Bezug auf Sicherheit einbringen. Oder ? Port 53 muß so oder so für die IP-Nummern des ISP-DNS freigeschaltet werden.
Wie definierst Du Nachteil? Das kommt immer drauf an, in welchem Umfeld die Firewall laeuft. (und wie paranoid der Admin ist ;-) )
Du kennst mich doch, Marc, ich bin sehr paranoid :-)) Ich möchte das halt nur mal korrekt durchexercieren! Und ich finde das in Sicherheitssachen die Details sehr wichtig sind.
Aber im ernst: Wenns so sicher sein soll wie eben moeglich, dann wuerde ich, wie gesagt, sonst nix drauf machen.
Ja ?
Gibt es eigentlich noch weitere Informationen zu chroot, nicht nur in Kombination mit bind ? RTFM erwünscht. :-)
weis nix ;)
Schade :-( -- MfG Waldemar Brodkorb Linux rulez! --------------------------------------------------------------------- To unsubscribe, e-mail: suse-linux-unsubscribe@suse.com For additional commands, e-mail: suse-linux-help@suse.com