Bastille und Port 53

[Quest]

Hallo zusammen,
ich beschreibe erst mal vorweg meine Serverstruktur.
Ich habe einen alten Rootserver bei Hetzner gemietet auf dem ich alle Webseiten in 4 openVZ-Container umgezogen habe, die allesamt mit ISPC3 laufen.
Das hat soweit alles wunderbar funktioniert.

Vor ein paar Tagen habe ich mir einen neuen EX4 bei Hetzner geholt, ihn als openVZ-Server aufgesetzt, als V-Server in ISPC3 eingegliedert und die 4 schon vorhandenen Container dorthin umgezogen.
Dadurch haben sich die IP-Adressen der Container geändert, weil ich ein anderes Subnetz bekommen habe.

Das Problem ist jetzt:
Die Systeme in den Containern kommen nicht mehr auf Port 53 nach draußen! Sämtliche DNS Requests laufen auf Timeout.
Der DNS von Google beispielsweise lässt sich aber problemlos pingen.

Flushe ich allerdings die IPTable mit /etc/init.d/bastille-firewall stop, dann funktioniert wieder alles einwandfrei.
Nach einem /etc/init.d/bastille-firewall start ist Port 53 wieder dicht.

Wie kann dieses Problem behoben werden? Wo kann ich mit der Fehlersuche weiter ansetzen?

Im Bugtracker habe ich Ticket FS#1513 gesehen, Thema UFW Firewall. Vielleicht würde diese das Problem lösen.
Ist diese jetzt integriert? Wie kann ich Bastille durch diese ersetzen?

Folgende Regeln wurden von Bastille erstellt:

# iptables -L
Chain INPUT (policy DROP)
target     prot opt source               destination
DROP       tcp  --  anywhere             loopback/8
ACCEPT     all  --  anywhere             anywhere
DROP       all  --  224.0.0.0/4          anywhere
PUB_IN     all  --  anywhere             anywhere
PUB_IN     all  --  anywhere             anywhere
PUB_IN     all  --  anywhere             anywhere
PUB_IN     all  --  anywhere             anywhere
DROP       all  --  anywhere             anywhere

Chain FORWARD (policy DROP)
target     prot opt source               destination
DROP       all  --  anywhere             anywhere

Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination
PUB_OUT    all  --  anywhere             anywhere
PUB_OUT    all  --  anywhere             anywhere
PUB_OUT    all  --  anywhere             anywhere
PUB_OUT    all  --  anywhere             anywhere

Chain INT_IN (0 references)
target     prot opt source               destination
ACCEPT     icmp --  anywhere             anywhere
DROP       all  --  anywhere             anywhere

Chain INT_OUT (0 references)
target     prot opt source               destination
ACCEPT     icmp --  anywhere             anywhere
ACCEPT     all  --  anywhere             anywhere

Chain PAROLE (7 references)
target     prot opt source               destination
ACCEPT     all  --  anywhere             anywhere

Chain PUB_IN (4 references)
target     prot opt source               destination
ACCEPT     icmp --  anywhere             anywhere            icmp destination-unreachable
ACCEPT     icmp --  anywhere             anywhere            icmp echo-reply
ACCEPT     icmp --  anywhere             anywhere            icmp time-exceeded
ACCEPT     icmp --  anywhere             anywhere            icmp echo-request
PAROLE     tcp  --  anywhere             anywhere            tcp dpt:ssh
PAROLE     tcp  --  anywhere             anywhere            tcp dpt:domain
PAROLE     tcp  --  anywhere             anywhere            tcp dpt:www
PAROLE     tcp  --  anywhere             anywhere            tcp dpt:https
PAROLE     tcp  --  anywhere             anywhere            tcp dpt:mysql
PAROLE     tcp  --  anywhere             anywhere            tcp dpt:http-alt
PAROLE     tcp  --  anywhere             anywhere            tcp dpt:tproxy
ACCEPT     udp  --  anywhere             anywhere            udp dpt:domain
ACCEPT     udp  --  anywhere             anywhere            udp dpt:mysql
DROP       icmp --  anywhere             anywhere
DROP       all  --  anywhere             anywhere

Chain PUB_OUT (4 references)
target     prot opt source               destination
ACCEPT     all  --  anywhere             anywhere

 

[Till]

Wie kann dieses Problem behoben werden? Wo kann ich mit der Fehlersuche weiter ansetzen?

das wird ein problem mit openvz sein, möglicherweise ein Bug im verwendeten opennvz kernel. Denn bei Dir scheinen sich ja iptables rules in einer VM auf die anderen vm's bzw. den Host auszuwirken.

Wenn Du Deinen Server nach dem perfect setup installiert ahst, dann laufen nur Dienste die erreichbr sein sollen. Eine Firewall bringt Dir in dem Fall keinerlei Zusatznutzen. Die Firewall braiucht nur aktiviert zu werden, denn Du Dienste auf Deinem Server gestartet hast die sich an das externe Interface binden aber trotzdem nicht von außen erreichbar sein sollen. Dies ist normalerweise auf einem ISP System nicht der Fall, daher kannst Du die Firewall deaktivuert lassen.

Im Bugtracker habe ich Ticket FS#1513 gesehen, Thema UFW Firewall. Vielleicht würde diese das Problem lösen.
Ist diese jetzt integriert? Wie kann ich Bastille durch diese ersetzen?

Die würde das Problem nicht lösen denn sie verwendet ganauso iptables wie auch die bastille firewall und ufw ist auch nicht integriert (siehe roadmap und release notes).

 

[Quest]

Wenn Du Deinen Server nach dem perfect setup installiert ahst, dann laufen nur Dienste die erreichbr sein sollen. Eine Firewall bringt Dir in dem Fall keinerlei Zusatznutzen. Die Firewall braiucht nur aktiviert zu werden, denn Du Dienste auf Deinem Server gestartet hast die sich an das externe Interface binden aber trotzdem nicht von außen erreichbar sein sollen. Dies ist normalerweise auf einem ISP System nicht der Fall, daher kannst Du die Firewall deaktivuert lassen.

... so habe ich das gar nicht gesehen.
Ich hatte angenommen, dass es grundsätzlich nicht verkehrt wäre einen Firewall-Eintrag für jeden Server anzulegen.
Danke für das Feedback.