named otvira port>1024? (delsi)

Ing. Pavel PaJaSoft Janousek janousek na fonet.cz
Středa Červen 5 08:54:44 CEST 2002


Honza Rezab wrote:
> 
> Nejsem žádnej odborník, ale nedávno jsem se také pokoušel rozjet name
> server.
> V literatuře se píše:
> 
> QUERY-SOURCE
> Potřebuje-li server kontaktovat jiný DNS server, vybere si k tomu
> libovolnou z IP adres a také zvolí náhodně jakékoli vysoké číslo portu (
> v rozmezí 1024 až 65535 ) Chcete-li toto nastavení upřesnit, aby bylo
> například možné pouštět komunikaci DNS serverů přes firewall, použijte
> nastavení query-source. Tak můžete určit přesné odchoží adresu (
> proměnná adresa) a také číslo portu ( proměnná port ). Stzačí-li vám
> zadat explicitné pouze jednu z těchto hodnot, můžete tu druhou nahradit
> hvězdičkou. Pak můžete použít například tento zápis: query-source
> address * port 53; Tad se určí, že veškeré dotazy se budou posílat s
> libovolné IP adresy, kterou má server k dispozici, ale bude se využívat
> výhradně port 53.
> 
> Já používám přesně tento zápis a funguje to. Na firewallu mám povolen
> port 53 UDP.
> Velice dobrá literatura je Administartce systému linux od Steva Shaha.
> Vydala to Grada.

	Nerikam, ze nemate pravdu, nicmene nez tyto vopicarny, neni jednodussi
na firewallu povolit komunikaci, ktera z vnejsku nema SYN flag =>
iniciator spojeni je stroj za firewallem? Pak Vam muzou byt query-source
docela ukradene a mate funkcni konfiguraci. Porty mensi nez 1024 (only
for root processes) jsou prezivajici historicka zalezitost, mnoho
daemonu se rootovych prav rychle zbavuje a presto komunikuje na nizkych
portech. Namatkou bind pod uzivatelem named, Apache pod nobody apod.

-----------------------------------------------------------------------
Ing. Pavel Janousek (PaJaSoft)                 FoNet, spol. s r. o.
Vyvoj software, Intranet / Internet          Sokolova 67, 619 00 Brno
E-mail: mailto:Janousek na FoNet.Cz             Tel.: +420  5  4324 4749
SMS:    mailto:P.Janousek na SMS.Paegas.Cz      Fax.: +420  5  4324 4751
WWW:    http://WWW.FoNet.Cz/               E-mail: mailto:Info na FoNet.Cz
-----------------------------------------------------------------------


Další informace o konferenci Linux