© 1995-2013 by The FreeBSD Project. All rights reserved.URL: http://lists.de.freebsd.org
Moin,
--On Donnerstag, 9. September 2004 17:50 Uhr +0200 Widmer Hannes <h.widmer(at)cybernet.ch> wrote:
> erlaube auf wan udp von allen ips/ jeder Port --> dnsserver 53
> erlaube von opt1 udp dnsserver 53 --> jedermann/jederport ....
Welcher DNS-Server laeuft bei Dir in welcher Konfiguration?
Kannst Du ausschliessen, dass Dein DNS-Server andere Quell-
ports als 53 benutzt? (Aktuelle binds tun dies naemlich, so-
fern man dies nicht explizit unterbindet.)
> mein dnsserver udp port 53 --connect to ---> anderer dnsserver, udp
> 53 und dies wird geblockt .... keine ahnung warum .. aber dies ist
> ja mit den regeln oben schon erlaubt...
sicher, dass der Ausgangsport 53 ist? Zeig den tcpdump.
> habe versucht mehr infos in der doku zu finden aber diese
> ist unvollständig ... google half mir da auch nicht
huch? Was ist an der ipfw(2) Dokumentation unvollstaendig?
Das Problem ist ja losgeloest vom User-Interface zum Ein-
richten der Regelsaetze zu betrachten.
Achso, ... der exakte Regelsatz waere auch durchaus wichtig.
> P.S. was ratet ihr mehr?.... (Public IP (firewall) - Nat - (Server) Private) IP oder
> Public IP (firewall) - Bridge- Public lan(trusted)
Du meinst den Betrieb oeffentlich zugaenglicher Dienste
in einer DMZ (am "opt1" Interface)? Ich wuerde Dienste
immer nur dann hinter einer NAT-Maschinerie betreiben,
wenn ich explizit dazu gezwungen wuerde.
Ich wuerde die klassische Konfiguration bevorzugen: die
Rechner in der DMZ bekommen oeffentliche Adressen und
zwischen Internet und DMZ steht ein paketfilternder
Router.
-Andreas
To Unsubscribe: send mail to majordomo(at)de.FreeBSD.org
with "unsubscribe de-bsd-questions" in the body of the message
Received on Thu 09 Sep 2004 - 20:00:06 CEST