(Gelöst) RootServer und Firewall

    Hi, all


    Ich stell mal hier die Frage, weil denke das es jemanden gibt der uns weiter Helfen kann!?


    Kumpel hat einen RootServer und wenn er die FW dicht macht geht DNS-Auflösung nicht mehr, wir haben und die Tage damit rumgeschlagen und google sowas von gequält, sind immer nur auf Port 35 gestoßen, aber denke ich ist Interessant wenn man selber einen DNS-Server betreibt, oder?


    Naja es soll nur die Auflösung der Hostnamen klappen und die Dienste erreichbar sein die auf ihm Laufen, aber kriegen es nicht gebacken!


    Wer kann Helfen



    Mfg SVen

    Moin moin,


    zunächst, DNS läuft über Port 53. Von wo funktionieren DNS-Anfragen denn nicht? Um den Server erreichbar zu machen, müssen die Ports für die Dienste von der FW auf den Server weitergeleitet werden.


    Gruß


    Merten

    SilverStone SST-LC10B-E mit Kram drin damit läuft.
    yaVDR 0.4

    Ein bischen mehr information hätte es schon sein können,
    Betriebssystem, Firewall...
    aber Raten wir mal:
    Bei den meisten Firewalls ist es so, das bestimmte
    Dienste besondere beachtung benötigen. Oft wird
    daher "nicht nur" port 53 aktiviert, sondern eine
    Funktion wie "DNS aktivieren" benötigt. Danach würde
    ich zuerst suchen. Wenn Das bei Deiner FW nicht der
    Fall ist, schau die die "Highports" an die nutzt der DNS
    auch. Oft kann man "Highports öffnen".


    Aber, warum willst Du überhaupt auf einem Rootserver
    einen eigenen DNS?


    Grüße


    Badabum

    ---
    ctvdr 3.06 mit Tobi´s vdr 1.3.45 mit 1 x Siemens dvb-C 8) (inkl. analog Modul ;(), Haupauge Nova-T (neu, 9002) 8), Skystar2 dvb-t 8)

    Hallo, und danke erstmal für eure Antworten, ging ja echt fix


    Ok, hab ich mich nicht gründlich genug ausgedrückt, hole ich nach


    -OS ist SuSE 9.3 auf dem Root
    -FW die orginale von SuSE (Yast)


    Ich möchte keinen DNS-Server betreiben, sondern der Root soll DNS Auflösen können -> ping google.de klappt nicht wenn FW dicht ist, Port 53 tcp und udp zum Test ist auf


    DNS Server auf dem Root läuft auch keiner wozu auch!
    Hoffe habe nun rübergebracht wo das Prob ist


    Mfg SVen

    Zitat

    -OS ist SuSE 9.3 auf dem Root
    -FW die orginale von SuSE (Yast)


    Sind das zwei Rechner oder hängt der Server direkt am Netz?

    SilverStone SST-LC10B-E mit Kram drin damit läuft.
    yaVDR 0.4

    wenn in der resolf.conf die ip des servers
    (also die eigene IP) stehen sollte, du aber
    keinen dns server (bind) aktiviert hast, klappt
    das vermutlich nur mit diesem komischen "dns cache daemon"
    (oder so ähnlich) von suse. trag in die resolf.conf
    den dns server des hosters ein dann wird das ganze wohl
    funktionieren, auch mit firewall.


    aber, nur geraten.
    ansonsten, cat auf resolf.conf und hier posten.


    Grüße
    Badabum

    ---
    ctvdr 3.06 mit Tobi´s vdr 1.3.45 mit 1 x Siemens dvb-C 8) (inkl. analog Modul ;(), Haupauge Nova-T (neu, 9002) 8), Skystar2 dvb-t 8)

    Einmal editiert, zuletzt von badabum ()

    Also eine Firewall auf einem Rootserver der direkt im Netz hängt sehe ich eh als unsinnig an.


    Auf einem Rootserver sollten nur die Dineste laufen die man anbieten will und diese muss man letztendlich auch in der Firewall freigeben. Wenn also diese Dienste einen Fehler enthalten, hilft letztendlich die Firewall auch nicht.


    Und der Traffic wird sowiso schon vor der "Firewall" gemessen.

    TV VDR: GigaByte 965DS3, Intel C2D 2,4GHz, 1GB RAM, HD Ext, 2x TT PCI S-3200 DVB-S2, ATI Radeon HD2600, VDR 1.6.0-HDTV, Gentoo 2007.1, Kernel 2.6.24
    TV VDR: AOpen 945 GTM-VHL, Intel C2D-M 1,83GHz, 2GB RAM, HD Ext, 1x TT PCI S-3200 DVB-S2, Intel GMA950, VDR 1.6.0-HDTV, Gentoo 2007.1, Kernel 2.6.24
    VDR Server: Supermicro 370DE6, 2x Intel P3 866 MHz, 2GB RAM, TT-DVB-s Rev. 1.3, TT S1100 budget, KNC1 budget, TT S1401, 2x 500GB WD HDs, 1x 9GB U160 SCSI

    wenn in der resolv.conf IP des RootServer drinn stehen würde, wird ja auch ab abgeschlteter FW keine Nameauflösung klappen, ist ja wohl logisch, wie schon mehrfach erwähnt das funzt ja!
    Und ich hatte auch Probs mit dem FTP-Server, er wollte nicht starten weil in der hosts NICHT die IP vom RootServer drinn stand, hab ich auch mal Home gehabt, daher wuste ich was zu tun ist, aber DNS-Auflösen klappt wie gesagt NUR NICHT wenn die FW an ist!


    Aber was soll Bind damit zu tun haben, mit dem Cachen, hab schon mal was darüber gelesen, ist das des Rätzels Lösung?


    Mfg SVen

    Zitat

    Original von s.krueger


    Warm Unsinn, damit jeder Hacker leichtes Spiel hat?


    Wieso leichtes Spiel?! "Firewall" macht nicht automatisch sicher, besonders wenn man nicht weiß, was man da überhaupt filtert (und was nicht)...


    Du installierst/aktivierst auf dem Rechner einfach nur die Dienste, die er auch anbieten soll. Deren Ports müsstest Du im Paketfilter eh freigeben. Alle anderen Ports sind geschlossen und Linux sagt beim Zugriff darauf von sich aus: "hier gibt's nix" ... also ist da auch nichts, was angreifbar wäre.


    Jetzt kann man dasselbe (welche Dienste laufen und sollen erreichbar (= "ungeschützt") sein, welche Ports sind eh geschlossen, sollen aber trotzdem noch gefiltert werden?) nochmal mit iptables abbilden ... und sich dabei selber in den Fuß schießen wenn man nicht aufpasst.


    Wichtig ist die korrekte und sichere Konfiguration der laufenden Dienste (-> sichere Passwörter, ssh Login für root deaktivieren oder nur per PublicKey, ...), das kann Dir die Firewall nicht abnehmen.


    Mit iptables lässt sich natürlich noch mehr anstellen als reine Portfilterung, aber das hast Du vermutlich eh noch nicht vor ...

    Ok, danke Jungs!
    Wir haben rausgefunden was es ist, die Orgi-Scripte der SuSE-FW!


    Wir haben ein par nette Scripte für iptables gefunden und uns selber was gebastelt, filtern dann Porte und haben eh alle Dienste die nicht gebraucht werden deaktiviert!


    Und es ist in der Tat so, wo kein Dienst kein offener Port, also alles aus was nicht brauch.


    Nameauflösung klappt und Dienste bedienen wie sie sollen, aber muß noch gefeilt werden an dem Script!


    Ach ja sind in einem vServer-Forum fündig geworden...


    Nochmal danke, Tehma abgehakt und gelöst! :)


    Mfgb SVen

Jetzt mitmachen!

Sie haben noch kein Benutzerkonto auf unserer Seite? Registrieren Sie sich kostenlos und nehmen Sie an unserer Community teil!

Benutzerkonto erstellen Anmelden