Mailinglist Archive: opensuse-de (4731 mails)
| < Previous | Next > |
Re: Firewallkonfiguration jetzt mit Configeinträgen
- From: Gerhard Feiner <lists@xxxxxxxxxxxxxx>
- Date: Thu, 26 Jul 2001 13:49:17 +0200
- Message-id: <01072613491704.00891@devel>
On Thursday 26 July 2001 13:20, Andreas Koenecke wrote:
> * Donnerstag, 26. Juli 2001 um 11:24 (+0200) schrieb Erhard Schwenk:
> > Zur Erkl?rung:
> > BIND verwendet sowohl TCP als auch UDP zum ?bertragen von Requests
> > _und_ Antworten. Im Prinzip wird ab einer bestimmten Antwortgr??e
> > auf UDP umgeschaltet, weil dieses Protokoll in dem Fall wohl
> > effizienter sein soll als TCP.
So stimmt es. Nur eins noch: Wieso sollte eine DNS-Anfrage groesser
als 512byte werden? Da muss dann schon einer am Paket gefummelt haben.
In der Praxis reicht es voellig aus, UDP zuzulassen.
> Umgekehrt: NS-Abfragen werden normalerweise über UDP durchgeführt.
> Nur wenn die Antworten grösser als 512 Byte sind, wird TCP benutzt
> (Oder eben bei Zone-Transfers).
>
> > und interessanterweise kommt zumindest mit ipchains auch ab
> > und an ein SYN-Paket vom Forwarder zur?ck an den TCP-Port.
>
> Vielleicht will der Forwarder einen Zone-Transfer initiieren? Wenn
> man keinen "offiziellen" NS unterhält, sollte der lokale Port 53 für
> Pakete, die von "außen" kommen, völlig geblockt werden.
>
> > Deshalb sollte man TCP und UDP Port 53 von und zu den in der
> > named.conf eingetragenen Forwardern ?ffnen.
> > [ ... ]
> > Sonst kann es passieren, da? sporadisch DNS-Requests schiefgehen -
> > gibt dann lustige Effekte.
>
> ACK.
>
> Gruß
>
> Andreas
--
/"\
\ / ASCII Ribbon Campaign
x Say NO to HTML in email and news !!
/ \
> * Donnerstag, 26. Juli 2001 um 11:24 (+0200) schrieb Erhard Schwenk:
> > Zur Erkl?rung:
> > BIND verwendet sowohl TCP als auch UDP zum ?bertragen von Requests
> > _und_ Antworten. Im Prinzip wird ab einer bestimmten Antwortgr??e
> > auf UDP umgeschaltet, weil dieses Protokoll in dem Fall wohl
> > effizienter sein soll als TCP.
So stimmt es. Nur eins noch: Wieso sollte eine DNS-Anfrage groesser
als 512byte werden? Da muss dann schon einer am Paket gefummelt haben.
In der Praxis reicht es voellig aus, UDP zuzulassen.
> Umgekehrt: NS-Abfragen werden normalerweise über UDP durchgeführt.
> Nur wenn die Antworten grösser als 512 Byte sind, wird TCP benutzt
> (Oder eben bei Zone-Transfers).
>
> > und interessanterweise kommt zumindest mit ipchains auch ab
> > und an ein SYN-Paket vom Forwarder zur?ck an den TCP-Port.
>
> Vielleicht will der Forwarder einen Zone-Transfer initiieren? Wenn
> man keinen "offiziellen" NS unterhält, sollte der lokale Port 53 für
> Pakete, die von "außen" kommen, völlig geblockt werden.
>
> > Deshalb sollte man TCP und UDP Port 53 von und zu den in der
> > named.conf eingetragenen Forwardern ?ffnen.
> > [ ... ]
> > Sonst kann es passieren, da? sporadisch DNS-Requests schiefgehen -
> > gibt dann lustige Effekte.
>
> ACK.
>
> Gruß
>
> Andreas
--
/"\
\ / ASCII Ribbon Campaign
x Say NO to HTML in email and news !!
/ \
| < Previous | Next > |