Firewall verhindert Domainauflösung

Dieses Thema im Forum "Installation und Konfiguration" wurde erstellt von BliccZ, 8. Okt. 2013.

  1. BliccZ

    BliccZ New Member

    Hallo,

    ich habe die ISPConfig Firewall folgendermaßen eingestellt:

    Offene TCP-Ports:
    20,21,22,25,53,80,110,143,443,587,993,995,3306,8080,8081,10000,41144,30033,10011,40110:40210

    Offene UDP-Ports:
    53,3306,9987,2010

    Exakt die gleiche Konfiguration verwende ich momentan auch noch auf meinem alten Server.

    Iptables -S gibt folgendes aus:

    Code:
    -P INPUT DROP
    -P FORWARD DROP
    -P OUTPUT ACCEPT
    -N INT_IN
    -N INT_OUT
    -N PAROLE
    -N PUB_IN
    -N PUB_OUT
    -N fail2ban-dovecot-pop3imap
    -N fail2ban-pureftpd
    -N fail2ban-sasl
    -N fail2ban-ssh
    -A INPUT -d 127.0.0.0/8 ! -i lo -p tcp -j DROP
    -A INPUT -i lo -j ACCEPT
    -A INPUT -s 224.0.0.0/4 -j DROP
    -A INPUT -i eth+ -j PUB_IN
    -A INPUT -i ppp+ -j PUB_IN
    -A INPUT -i slip+ -j PUB_IN
    -A INPUT -i venet+ -j PUB_IN
    -A INPUT -i bond+ -j PUB_IN
    -A INPUT -j DROP
    -A FORWARD -j DROP
    -A OUTPUT -o eth+ -j PUB_OUT
    -A OUTPUT -o ppp+ -j PUB_OUT
    -A OUTPUT -o slip+ -j PUB_OUT
    -A OUTPUT -o venet+ -j PUB_OUT
    -A OUTPUT -o bond+ -j PUB_OUT
    -A INT_IN -p icmp -j ACCEPT
    -A INT_IN -j DROP
    -A INT_OUT -p icmp -j ACCEPT
    -A INT_OUT -j ACCEPT
    -A PAROLE -j ACCEPT
    -A PUB_IN -p icmp -m icmp --icmp-type 3 -j ACCEPT
    -A PUB_IN -p icmp -m icmp --icmp-type 0 -j ACCEPT
    -A PUB_IN -p icmp -m icmp --icmp-type 11 -j ACCEPT
    -A PUB_IN -p icmp -m icmp --icmp-type 8 -j ACCEPT
    -A PUB_IN -p tcp -m tcp --dport 20 -j PAROLE
    -A PUB_IN -p tcp -m tcp --dport 22 -j PAROLE
    -A PUB_IN -p tcp -m tcp --dport 25 -j PAROLE
    -A PUB_IN -p tcp -m tcp --dport 53 -j PAROLE
    -A PUB_IN -p tcp -m tcp --dport 80 -j PAROLE
    -A PUB_IN -p tcp -m tcp --dport 110 -j PAROLE
    -A PUB_IN -p tcp -m tcp --dport 143 -j PAROLE
    -A PUB_IN -p tcp -m tcp --dport 443 -j PAROLE
    -A PUB_IN -p tcp -m tcp --dport 587 -j PAROLE
    -A PUB_IN -p tcp -m tcp --dport 993 -j PAROLE
    -A PUB_IN -p tcp -m tcp --dport 995 -j PAROLE
    -A PUB_IN -p tcp -m tcp --dport 3306 -j PAROLE
    -A PUB_IN -p tcp -m tcp --dport 8080 -j PAROLE
    -A PUB_IN -p tcp -m tcp --dport 8081 -j PAROLE
    -A PUB_IN -p tcp -m tcp --dport 10000 -j PAROLE
    -A PUB_IN -p tcp -m tcp --dport 63000 -j PAROLE
    -A PUB_IN -p tcp -m tcp --dport 64000 -j PAROLE
    -A PUB_IN -p tcp -m tcp --dport 41144 -j PAROLE
    -A PUB_IN -p tcp -m tcp --dport 30033 -j PAROLE
    -A PUB_IN -p tcp -m tcp --dport 10011 -j PAROLE
    -A PUB_IN -p tcp -m tcp --dport 40110:40210 -j PAROLE
    -A PUB_IN -p udp -m udp --dport 53 -j ACCEPT
    -A PUB_IN -p udp -m udp --dport 3306 -j ACCEPT
    -A PUB_IN -p udp -m udp --dport 9987 -j ACCEPT
    -A PUB_IN -p udp -m udp --dport 2010 -j ACCEPT
    -A PUB_IN -p icmp -j DROP
    -A PUB_IN -j DROP
    -A PUB_OUT -j ACCEPT
    -A fail2ban-dovecot-pop3imap -j RETURN
    -A fail2ban-pureftpd -j RETURN
    -A fail2ban-sasl -j RETURN
    -A fail2ban-ssh -j RETURN
    Der Zugriff auf SSH, FTP, HTTP, HTTPS und so weiter von außen klappt einwandfrei, allerdings kann ich von meiner SSH-Konsole aus keine Domains auflösen.... Dachte das läge an Port 53, aber der ist ja eigentlich offen.

    Grüße
    Marius
     
  2. Till

    Till Administrator

    das hat mit der Firewall nichts zu tun, denn die Firewall blockiert ja nur eingehende Verbindungen, nicht ausgehende.

    Wenn die Namensauflösung auf der shell nicht geht dann stimmen die nameserver in /etc/resolv.conf nicht. Trag dort mal die google nameserver ein:

    8.8.8.8
    8.8.4.4
     
  3. BliccZ

    BliccZ New Member

    die Resolv.conf sieht schon entsprechend aus. Wenn ich die Firewall-Regeln lösche, kann ich sofort wieder problemlos Domains auflösen. Wenn ich die Firewall jedoch einschalte, führt apt-get update zum Beispiel ins leere und ich kann auch gar nichts anpingen.
     
  4. Till

    Till Administrator

    Hast Du vielleicht 2 firewalls installiert? Die ispconfg firewall blockt keinen ausgehenden traffic.
     
  5. BliccZ

    BliccZ New Member

  6. Till

    Till Administrator

    Es muss aber noch etwas anderes im Bereich iptables laufe,sonst würde dns ja gehen.

    Du brauchst übrigens keine Firewallw enn Du den Server nach perfect setup aufgesetzt hast, denn dann laufen nur Dienste deren Ports Du sowieso öffnen müsstest. Eine Firewall bringt Dir daher keine zusätzliche Sicheheit, sie verlangsamt lediglich Deinen Netzwerkverkehr.
     

Diese Seite empfehlen