• Willkommen im Linux Club - dem deutschsprachigen Supportforum für GNU/Linux. Registriere dich kostenlos, um alle Inhalte zu sehen und Fragen zu stellen.

firewall2 blockt dns-abrufe

neue kleine denksportaufgabe.
aufgebaute rechner-umgebung:

externe router-box zum internet

dahinter firewall2-linux-server

dahinter interner server mit:
- www für internet und intranet
- dns und dhcp nur für intranet

------------------------------------
gewollte config:
1. alle rechner des intranet sollen (fast) alles im internet erreichen (mit dhcp und dns vom internen server)
2. die firewall soll port 80 forwarden auf den internen server, alles andere blocken; es soll also auch der dns-dienst von außen geblockt werden !

config der firewall2 (nur die relevanten eintröge):
FW_DEV_EXT="eth1"
FW_DEV_INT="eth0"
FW_ROUTE="yes"
FW_MASQUERADE="no" (denn dies macht eh der externe router)
FW_PROTECT_FROM_INTERNAL="no"
FW_AUTOPROTECT_SERVICES="yes"
# folgende dienste sollen vom inter ins intranet erreichbar sein
FW_SERVICES_EXT_TCP="80"
# folgende dienste sollen vom intra ins internet erreichbar sein
FW_SERVICES_INT_TCP="80 443 22 23 53"
FW_SERVICES_INT_UDP="53 80"
FW_ALLOW_INCOMING_HIGHPORTS_TCP="yes"
FW_ALLOW_INCOMING_HIGHPORTS_UDP="yes"
FW_SERVICE_AUTODETECT="yes"
# folgende einträge="no", da dienste auf internem server laufen, und nicht auf der firewall
FW_SERVICE_DNS="no"
FW_SERVICE_DHCLIENT="no"
# folgende ip ist der interne server mit www
FW_FORWARD="0/0,192.168.1.1,tcp,80"

mit obigen einstellungen läßt die firewall dns-anfragen vom internen server nicht durch:
SuSE-FW-DROP-DEFAULT ....... PROTO=UDP SPT=33188 DPT=53

warum? wo liegt der denkfehler?
 
OP
D

deppdoedel

Newbie
@carsten:
FW_SERVICE_DNS="yes"
ergebnis beim starten der firewall:
... no DNS Server found ...

da ja auf der firewall selbst auch kein dns läuft, sondern diese nur für interne rechner diesen dienst (port) durchreichen soll

eintrag auf der firewall in named.conf eingefügt (den nameserver von totline):
# You can insert further zone records for your own domains below.
server 217.237.149.161 {
bogus yes;
};

leider selbes ergebnis:
SuSE-FW-DROP-DEFAULT IN=eth0 OUT=eth1 .... PROTO=UDP SPT=33188 DPT=53

bitte schau dir noch mal genau die rechner-konstellation an.

@wenf.
volle zustimmung.


weitere ideen?
 
Hy,

OK, wer lesen kann ist klar im Vorteil :oops:

Mal so aus dem Handgelenk: Wie sind denn die Routen auf der FW? Ggfs. auch hier ein Masq.?
Bzw. andersrum: geht nur DNS nicht und ping auf IP geht? Mal zum eingrenzen...
 
OP
D

deppdoedel

Newbie
routen auf der fw:
2.x zum externen router
1.x zum internen netz
default gw ist der externe router
kein masq., denn dies macht ja dann der externe router

dns wird abgeblockt mit
SuSE-FW-DROP-DEFAULT IN=eth0 OUT=eth1 .... PROTO=UDP SPT=33188 DPT=53

obwohl
FW_SERVICES_INT_UDP="53 80 33188"

ping auf ip teste ich gleich noch.

ideen?
 
OP
D

deppdoedel

Newbie
ping auf ip im inTERnet geht auch nicht. 100%loss

was hier aber wirklich sehr, sehr seltsam anmutet, habe ich bereits im letzten post geschrieben:

trotz eintrag
FW_SERVICES_INT_UDP="53 80 33188"

kommt die fehlermeldung
... SuSE-FW-DROP-DEFAULT IN=eth0 OUT=eth1 .... PROTO=UDP SPT=33188 DPT=53 ...

was soll das?
 
OP
D

deppdoedel

Newbie
habe mal spaßeshalber folgendes konfiguriert:

FW_SERVICES_INT_UDP="domain syslog 137:33900"

ergbnis:

... SuSE-FW-DROP-DEFAULT IN=eth0 OUT=eth1 .... PROTO=UDP SPT=33188 DPT=53 ...

schon recht seltsam.
hat die susefirewall2 da nun einen bug?
bei wem funktioniert sie eigentlich einwandfrei?
 
Oben