Filtrovaci politika
Petr Soucek
petr na ryston.cz
Neděle Květen 21 18:49:46 CEST 2000
Mila Kuchta wrote:
> > na vnejsi strane prichozi pakety:
> > UDP zdrojovy port 53, cilovy port 53
> > a TCP zdrojovy port 53, cilovy port > 1023
>
> TCP bych nepovoloval, pokud nechcete provozovat zonove prenosy. UDP povolit
> samozrejme musite.
>
TCP neni jenom na zonove prenosy, vsechny dotazy na DNS mohou byt i tcp
protokolem, obcas je to nutne pro velke odpovedi.
> > V prirucce WinRoute PRO se naopak povoluje
> > UDP zdrojovy 53, cilovy 53
> > UDP zdrojovy 53, cilovy > 1024
> >
> > A pokud pocitac nastavim podle knizky Firewally (tedy TCP), tak mi DNS
> > nefungovalo.
> >
> > Je v ni tedy chyba ?
Pokud je to napsano takhle, tak ano.
Pokud se nepletu, tak normalni dotaz klienta na dns server je z portu
>1023 na port 53 protokolem UDP nebo TCP.
Dotaz z dns serveru na dns server je u bindu 8.?? stejny, tedy z
vysokych cisel portu, u starsich verzi bindu nebo je-li to nastaveno v
konfiguraci, je zdrojovy port dotazu 53.
Zonovy prenos (AXFR) se provadi vyhradne pomoci TCP.
Pokud laborujete s firewally, tak doporucuji jednak tcpdump na sledovani
provozu, jednak vsechny zahazovane pakety logovat (tusim -L) - to
okamzite uvidite, kvuli cemu asi neco prestalo fungovat.
Petr Soucek
Další informace o konferenci Linux