[Fli4l_dev] Warnung von der Telekom
Gotthard Anger
papierkorb at ekmd.de
Di Okt 27 08:59:40 CET 2015
Morjens
Am 26.10.2015 um 21:14 schrieb Christoph Schulz:
> Das dürfte nur der Fall sein, wenn du Port 53 nach außen hin öffnest. Das
> war bei mir auch zeitweise der Fall, weil ich über einen NS-Record woanders
> auf meinen fli4l verwiesen habe und der für eine Domäne dann authoritativ
> tätig werden sollte. Das hat leider jedoch auch alle anderen Abfragen
> erlaubt. Deshalb baute ich überhaupt das Ganze mit DNS_AUTHORITATIVE ein, um
> den Anwendungsfall abzudecken.
Port 53 ist tatsächlich offen, siehe mein Posting an Stefan Sauer
>
> Du hast wirklich keine Regel der Form
>
> PF_INPUT_x='tmpl:dns ACCEPT'
PF_INPUT_POLICY='REJECT'
PF_INPUT_ACCEPT_DEF='yes'
PF_INPUT_LOG='no'
PF_INPUT_LOG_LIMIT='3/minute:5'
PF_INPUT_REJ_LIMIT='1/second:5'
PF_INPUT_UDP_REJ_LIMIT='1/second:5'
PF_INPUT_N='7'
PF_INPUT_1='210.41.224.0/20 REJECT'
PF_INPUT_2='60.30.32.0/24 REJECT'
PF_INPUT_3='125.64.16.0/24 REJECT'
PF_INPUT_4='121.10.140.124 REJECT'
PF_INPUT_5='IP_NET_1 ACCEPT'
PF_INPUT_6='tmpl:samba REJECT NOLOG'
PF_INPUT_7='any 80 ACCEPT'
PF_FORWARD_POLICY='ACCEPT'
PF_FORWARD_ACCEPT_DEF='yes'
PF_FORWARD_LOG='no'
PF_FORWARD_LOG_LIMIT='3/minute:5'
PF_FORWARD_REJ_LIMIT='1/second:5'
PF_FORWARD_UDP_REJ_LIMIT='1/second:5'
PF_FORWARD_N='2'
PF_FORWARD_1='tmpl:samba DROP'
PF_FORWARD_2='IP_NET_1 ACCEPT'
PF_POSTROUTING_N='1'
PF_POSTROUTING_1='IP_NET_1 MASQUERADE'
>
> Du kannst es ja auch einfach ausprobieren, wenn du Zugriff auf einen Rechner
> außerhalb deines Netzwerks hast: Einfach via "dig" versuchen, den DNS-Dienst
> auf deinem fli4l anzusprechen. Beispiel:
> Bei dir dürfte, da du vermutlich keine Domäne über deinen fli4l verwaltest,
> in keinem Falle eine gültige Antwort herauskommen, weder für externe
> (google.de o.ä.) noch interne (fli4l at lan o.ä.) Namen.
; <<>> DiG 9.9.7 <<>> google.de @a.b.c.d
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 53167
;; flags: qr rd ra; QUERY: 1, ANSWER: 4, AUTHORITY: 0, ADDITIONAL: 0
;; QUESTION SECTION:
;google.de. IN A
;; ANSWER SECTION:
google.de. 26 IN A 173.194.113.143
google.de. 26 IN A 173.194.113.151
google.de. 26 IN A 173.194.113.152
google.de. 26 IN A 173.194.113.159
;; Query time: 49 msec
;; SERVER: 79.214.164.121#53(79.214.164.121)
;; WHEN: Tue Oct 27 08:59:35 MEZ 2015
;; MSG SIZE rcvd: 91
also kommt da was zurück :-((
mfg
Go
--
Gotthard Anger
Anwenderbetreuung, Netzwerkadministration
Landeskirchenamt der EKM
Mehr Informationen über die Mailingliste Fli4l_dev