Den Tue, 19 Jun 2001 17:35:54 +0200 skrev Henrik Bøgh:
>Lasse Reichstein Nielsen (lrn@harald.daimi.au.dk) expressed in
><yo2r8wgfs0j.fsf@harald.daimi.au.dk>:
>
>[...]
>
>> Nej tak, kun hvis du faktisk har en grund til at have en DNS server
>> kørende (og hvis du er i tvivl, så har du ikke). Det er et godt råd
>> at lukke alt og kun åbne efter behov, og indgående forbindelser er
>> der næppe brug for ud over de services du selv ved du har startet,
>> altså kun http (port 80).
>
>Mine erfaringer med ipchains/iptables i Linux siger mig altså at det er
>dumt at blokere for tcp port 53 selvom jeg ikke har en DNS-server kørende.
>Jeg har en gang fået at vide at det _kunne_ skyldes at store DNS-opslag som
>giver store svar (f.eks.
www.microsoft.com eller
www.netscape.com) for en
>kort bemærkning åbner en tcpforbindelse fra DNS-serveren til klienten på
>port 53. Jeg kender ikke DNS-protokollen specielt godt så jeg har ikke fået
>det bekræftet (og jeg gidder ikke glane en eller anden RFC igennem :))
>Jeg har sidenda altid sat iptables op til at acceptere alt på port 53
>udp/tcp (og da jeg ikke har en DNSdeamon kørende alligevel er der næppe den
>store risiko ved det).
Problemet med DNS, er at det er UDP-trafik FRA port 53, til en port
>=1024 (undtagen visse versioner af windows der bruger 137), så den
eneste fornuftige løsning på en stateless firewall er at åbne for
trafik fra port 53 på EN BESTEMT NAMESERVER (eller rettere to).
Hvis man har stateful inspection, så er det bare at åbne for
"established" (og evt "related").
Og hvis der ikke er noget der lytter på en port, så behøver den port i
princippet ikke en firewall - det skulle da lige være hvis man vil være
sikker hvis nu man en dag skulle få startet noget op der lytter på
porten...
Mvh
Kent
--
Running Windows on a Pentium is like having a brand new Porsche but only
be able to drive backwards with the handbrake on.
(Unknown source)