Bastille und Port 53

Dieses Thema im Forum "Installation und Konfiguration" wurde erstellt von Quest, 1. Dez. 2011.

  1. Quest

    Quest Member

    Hallo zusammen,
    ich beschreibe erst mal vorweg meine Serverstruktur.
    Ich habe einen alten Rootserver bei Hetzner gemietet auf dem ich alle Webseiten in 4 openVZ-Container umgezogen habe, die allesamt mit ISPC3 laufen.
    Das hat soweit alles wunderbar funktioniert.

    Vor ein paar Tagen habe ich mir einen neuen EX4 bei Hetzner geholt, ihn als openVZ-Server aufgesetzt, als V-Server in ISPC3 eingegliedert und die 4 schon vorhandenen Container dorthin umgezogen.
    Dadurch haben sich die IP-Adressen der Container geändert, weil ich ein anderes Subnetz bekommen habe.

    Das Problem ist jetzt:
    Die Systeme in den Containern kommen nicht mehr auf Port 53 nach draußen! Sämtliche DNS Requests laufen auf Timeout.
    Der DNS von Google beispielsweise lässt sich aber problemlos pingen.

    Flushe ich allerdings die IPTable mit /etc/init.d/bastille-firewall stop, dann funktioniert wieder alles einwandfrei.
    Nach einem /etc/init.d/bastille-firewall start ist Port 53 wieder dicht.

    Wie kann dieses Problem behoben werden? Wo kann ich mit der Fehlersuche weiter ansetzen?

    Im Bugtracker habe ich Ticket FS#1513 gesehen, Thema UFW Firewall. Vielleicht würde diese das Problem lösen.
    Ist diese jetzt integriert? Wie kann ich Bastille durch diese ersetzen?

    Folgende Regeln wurden von Bastille erstellt:
    Code:
    # iptables -L
    Chain INPUT (policy DROP)
    target     prot opt source               destination
    DROP       tcp  --  anywhere             loopback/8
    ACCEPT     all  --  anywhere             anywhere
    DROP       all  --  224.0.0.0/4          anywhere
    PUB_IN     all  --  anywhere             anywhere
    PUB_IN     all  --  anywhere             anywhere
    PUB_IN     all  --  anywhere             anywhere
    PUB_IN     all  --  anywhere             anywhere
    DROP       all  --  anywhere             anywhere
    
    Chain FORWARD (policy DROP)
    target     prot opt source               destination
    DROP       all  --  anywhere             anywhere
    
    Chain OUTPUT (policy ACCEPT)
    target     prot opt source               destination
    PUB_OUT    all  --  anywhere             anywhere
    PUB_OUT    all  --  anywhere             anywhere
    PUB_OUT    all  --  anywhere             anywhere
    PUB_OUT    all  --  anywhere             anywhere
    
    Chain INT_IN (0 references)
    target     prot opt source               destination
    ACCEPT     icmp --  anywhere             anywhere
    DROP       all  --  anywhere             anywhere
    
    Chain INT_OUT (0 references)
    target     prot opt source               destination
    ACCEPT     icmp --  anywhere             anywhere
    ACCEPT     all  --  anywhere             anywhere
    
    Chain PAROLE (7 references)
    target     prot opt source               destination
    ACCEPT     all  --  anywhere             anywhere
    
    Chain PUB_IN (4 references)
    target     prot opt source               destination
    ACCEPT     icmp --  anywhere             anywhere            icmp destination-unreachable
    ACCEPT     icmp --  anywhere             anywhere            icmp echo-reply
    ACCEPT     icmp --  anywhere             anywhere            icmp time-exceeded
    ACCEPT     icmp --  anywhere             anywhere            icmp echo-request
    PAROLE     tcp  --  anywhere             anywhere            tcp dpt:ssh
    PAROLE     tcp  --  anywhere             anywhere            tcp dpt:domain
    PAROLE     tcp  --  anywhere             anywhere            tcp dpt:www
    PAROLE     tcp  --  anywhere             anywhere            tcp dpt:https
    PAROLE     tcp  --  anywhere             anywhere            tcp dpt:mysql
    PAROLE     tcp  --  anywhere             anywhere            tcp dpt:http-alt
    PAROLE     tcp  --  anywhere             anywhere            tcp dpt:tproxy
    ACCEPT     udp  --  anywhere             anywhere            udp dpt:domain
    ACCEPT     udp  --  anywhere             anywhere            udp dpt:mysql
    DROP       icmp --  anywhere             anywhere
    DROP       all  --  anywhere             anywhere
    
    Chain PUB_OUT (4 references)
    target     prot opt source               destination
    ACCEPT     all  --  anywhere             anywhere
    
     
  2. Till

    Till Administrator

    das wird ein problem mit openvz sein, möglicherweise ein Bug im verwendeten opennvz kernel. Denn bei Dir scheinen sich ja iptables rules in einer VM auf die anderen vm's bzw. den Host auszuwirken.

    Wenn Du Deinen Server nach dem perfect setup installiert ahst, dann laufen nur Dienste die erreichbr sein sollen. Eine Firewall bringt Dir in dem Fall keinerlei Zusatznutzen. Die Firewall braiucht nur aktiviert zu werden, denn Du Dienste auf Deinem Server gestartet hast die sich an das externe Interface binden aber trotzdem nicht von außen erreichbar sein sollen. Dies ist normalerweise auf einem ISP System nicht der Fall, daher kannst Du die Firewall deaktivuert lassen.

    Die würde das Problem nicht lösen denn sie verwendet ganauso iptables wie auch die bastille firewall und ufw ist auch nicht integriert (siehe roadmap und release notes).
     
  3. Quest

    Quest Member

    ... so habe ich das gar nicht gesehen.
    Ich hatte angenommen, dass es grundsätzlich nicht verkehrt wäre einen Firewall-Eintrag für jeden Server anzulegen.
    Danke für das Feedback.
     

Diese Seite empfehlen