orm@doc-tcpip.org

Erstellt: November 1999 - Letzte Modifikation: November 2003

[ Main | Local ]


DNS und Firewalls


Paket Filter Firewalls - Hier wird eine Routing Entscheidung auf der Ebene des Transport Protokolls und der Netzwerk-Ebene getroffen (bezogen auf den TCP/IP Stack, im OSI Modell wäre das die Schicht 3 und 4). Es wird also aufgrund folgender Kriterien entschieden: Transport-Protokoll, Quell- und Ziel-Adresse, Ziel-Port.

Das ist im Fall von Bind4 alles in Ordnung, da sich die Server über den Port 53 unterhalten, und die Clients von einem dynamischen Port auf den Port 53 senden, und der Server die Antwort vom Port 53 auf den dynamischen Port sendet. Wenn man also schlau ist, dann packt man hinter den Firewall einen Slave Server als Forwarder und macht nur Port 53 für diesen Server auf. Direkte Auflösung für alle Clients fällt wegen der vielen involvierten Ports natürlich aus.

Im Fall von Bind8 ist das nicht mehr so einfach, weil der Server bei Anfragen zwischen Servern und bei Zonen-Transfers auch von unprivilegierten, also dynamischen Ports sendet - und die Antwort am Firewall hängen bleibt.

Abhilfe schafft unter Bind8 das Option-Statement query-source. Hiermit kann man dem Server einen Port vorgeben, über den er seine Zonentransfers auf seiner (der Clientseite!) abwickeln soll. Default ist ein beliebiger Port als Quellport, und das bringt Firewalls zum stolpern. Das Statement sähe dann so aus (das Ganze im Options-Container):
query-source address IP remote-Server port 53;

Man kann sowohl die Adresse wie auch den Port mit einem Wildcard (*) für alle möglichen unpriviligierten Ports und Adressen freigeben (der Default entspricht query-source address * port * ;). Das hier erwähnte Verhalten entspricht bis Bind9 nur für UDP. TCP Transfers laufen immer von einem unpriviligierten Port.

Die Filterregeln

Die Filterregeln für einen NS, der Namen im lokalen Netz auflöst und Anfragen aus dem lokalen Netz nach Adressen im Internet bedient, sind in folgender Tabelle aufgeführt:

 
.           Source IP    Port            Dest. IP    Dest. Port
Inbound     inter. Netz  > 1023 tcp/udp  NS IP       53 tcp/udp
Client                   

Outbound    NS IP        53 tcp/udp      inter. Netz > 1023 tcp/udp
Client                 

Outbound    NS IP        53 tcp/udp      any         53 tcp/udp
rec. Anfragen            > 1023 tcp/udp 

Inbound     any          53 tcp/udp      NS IP       53 tcp/udp
rec. Anworten                                        > 1023 tcp/udp 

[ Main | Local ]

[ Allgemein | UNIX | AIX | TCP-IP | TCP | ROUTING | DNS | NTP | NFS | FreeBSD | Linux | SMTP | Tracing | GPS ]

Copyright 2001-2014 by Orm Hager - Es gilt die GPL
Feedback bitte an: Orm Hager (orm@doc-tcpip.org )