DNS Port vom LAN ins WAN offen lassen ? |
||
---|---|---|
#0
| ||
04.04.2005, 10:50
Member
Beiträge: 14 |
||
|
||
04.04.2005, 12:59
Member
Beiträge: 5291 |
#2
Zitat
Diese Abfrage wird vorzugsweise auf 53/udp durchgeführt, 53/tcp ist möglich aber nicht standard. Das heißt du müßtest dann beide Ports sperrren. Frage ist nur wozu das gut sein soll? Zitat
Du musst ihn offen lassen weil der DNS Server bei public auflösungen gezwungen sein wird die forwarders sprich andere DNS Server (die deines ISP zb.) zu befragen. Warum willst du den Port denn eigentlich blocken? __________ E-Mail: therion at ninth-art dot de IRC: megatherion @ Freenode |
|
|
||
04.04.2005, 13:34
Member
Themenstarter Beiträge: 14 |
#3
Unser Grundprinzip ist " Alles was nicht explizit erlaubt ist, ist verboten" !
Darum möchte ich den DNS Port zu machen wenn nicht nötig! Aber ich kapiere immer noch nicht, warum dei NAmensauflösung trotz der Sperrung des DNS Ports geht! THX |
|
|
||
04.04.2005, 13:53
Member
Beiträge: 5291 |
#4
Zitat
Hast du beide ports gesperrt udp und tcp 53? Ansonsten vielleicht ne Fehlkonfiguration weiß ja nicht um welche Firewall es sich handelt. __________ E-Mail: therion at ninth-art dot de IRC: megatherion @ Freenode |
|
|
||
04.04.2005, 14:03
Member
Themenstarter Beiträge: 14 |
#5
Habe nochmals nslookup ausgeführt auf irgendeine Seite.
Zuerst zeigt es mir den Namen der Firewall an und dann die Webseite also etwa so: (nur ein Beispiel) Name: firewall5.local Adresse: 10.10.10.1 nicht autorisierte Antwort: Name: www.google.ch Adresse: 128.155.46.55 Also habe ich meinen DNS Eintrag überprüft und gesehen, dass dort die IP meiner Firewall drin stand! Wenn ich jetzt den externen DNS Server eintrage geht nslookup nicht mehr ! Nun ist die Frage, ob es besser ist den DNS Port von INNEN nach Aussen zu schliessen, dafür bei jedem Client den DNS Eintrag ändern auf die IP der Firewall oder den Port einfach zu öffnen!? Ich glaube ich öffne ihn!Gibt weniger Arbeit ! Danke für deine Hilfe! THX Dieser Beitrag wurde am 04.04.2005 um 14:16 Uhr von securewall editiert.
|
|
|
||
04.04.2005, 14:22
Member
Beiträge: 5291 |
#6
Zitat
Naja ist doch schon ein bisschen Paranoid - ich weiß ja nicht theoretisch können dann alle clients auf einen entfernten Server zugreifen der 53 tcp/udp anbietet - da muss ja kein DNS Server drauf sein - klar besteht die möglichkeit aber es ist höchst wahrscheinlich. Das musst selber wissen wenn du da eine Gefahr siehst dann kannst du natürlich deinen internen DNS Server nutzen und nur für diesen den port entblocken. __________ E-Mail: therion at ninth-art dot de IRC: megatherion @ Freenode |
|
|
||
Ich komme einfach nicht weiter. Ich hoffe, dass jemand von euch mir helfen kann.
Ich habe eine Firewall bei der von INnen nach Aussen alles gesperrt ist ausser HTTP, HTTPS, FTP, DNS.
Ich habe bei einem Client im LAN als DNS Server einen externen Server angegeben. Nun ist ja habe ich mal der DNS Port von INNEN nach AUSSEN gesperrt aber ich kann trotzdem ins Internet und auch nslookup ausführen.
Ich habe aber gedacht, dass der Client jedesmal wenn er ins Internet geht eine Abfrage über den DNS Port an den DNS Server macht.
Warum geht es dann trotzdem?
Dann muss ich ja den DNS Port gar nicht von INNEN nach AUSSEN offen lassen!?
In einem anderen Netz habe ich einen internen DNS Server und die Clients haben den internen DNS in den EInstellungen als Server eingestellt. Wie sieht es dann dort aus?
Muss ich dort den Port auch nicht offen lassen?
Kann mir jemand helfen, den ich weiss nicht, ob ich ihn offen lassen muss von INNEN nach AUSSEN oder nicht!
THX THX THX