Firewall verhindert Domainauflösung

BliccZ

New Member
Hallo,

ich habe die ISPConfig Firewall folgendermaßen eingestellt:

Offene TCP-Ports:
20,21,22,25,53,80,110,143,443,587,993,995,3306,8080,8081,10000,41144,30033,10011,40110:40210

Offene UDP-Ports:
53,3306,9987,2010

Exakt die gleiche Konfiguration verwende ich momentan auch noch auf meinem alten Server.

Iptables -S gibt folgendes aus:

Code:
-P INPUT DROP
-P FORWARD DROP
-P OUTPUT ACCEPT
-N INT_IN
-N INT_OUT
-N PAROLE
-N PUB_IN
-N PUB_OUT
-N fail2ban-dovecot-pop3imap
-N fail2ban-pureftpd
-N fail2ban-sasl
-N fail2ban-ssh
-A INPUT -d 127.0.0.0/8 ! -i lo -p tcp -j DROP
-A INPUT -i lo -j ACCEPT
-A INPUT -s 224.0.0.0/4 -j DROP
-A INPUT -i eth+ -j PUB_IN
-A INPUT -i ppp+ -j PUB_IN
-A INPUT -i slip+ -j PUB_IN
-A INPUT -i venet+ -j PUB_IN
-A INPUT -i bond+ -j PUB_IN
-A INPUT -j DROP
-A FORWARD -j DROP
-A OUTPUT -o eth+ -j PUB_OUT
-A OUTPUT -o ppp+ -j PUB_OUT
-A OUTPUT -o slip+ -j PUB_OUT
-A OUTPUT -o venet+ -j PUB_OUT
-A OUTPUT -o bond+ -j PUB_OUT
-A INT_IN -p icmp -j ACCEPT
-A INT_IN -j DROP
-A INT_OUT -p icmp -j ACCEPT
-A INT_OUT -j ACCEPT
-A PAROLE -j ACCEPT
-A PUB_IN -p icmp -m icmp --icmp-type 3 -j ACCEPT
-A PUB_IN -p icmp -m icmp --icmp-type 0 -j ACCEPT
-A PUB_IN -p icmp -m icmp --icmp-type 11 -j ACCEPT
-A PUB_IN -p icmp -m icmp --icmp-type 8 -j ACCEPT
-A PUB_IN -p tcp -m tcp --dport 20 -j PAROLE
-A PUB_IN -p tcp -m tcp --dport 22 -j PAROLE
-A PUB_IN -p tcp -m tcp --dport 25 -j PAROLE
-A PUB_IN -p tcp -m tcp --dport 53 -j PAROLE
-A PUB_IN -p tcp -m tcp --dport 80 -j PAROLE
-A PUB_IN -p tcp -m tcp --dport 110 -j PAROLE
-A PUB_IN -p tcp -m tcp --dport 143 -j PAROLE
-A PUB_IN -p tcp -m tcp --dport 443 -j PAROLE
-A PUB_IN -p tcp -m tcp --dport 587 -j PAROLE
-A PUB_IN -p tcp -m tcp --dport 993 -j PAROLE
-A PUB_IN -p tcp -m tcp --dport 995 -j PAROLE
-A PUB_IN -p tcp -m tcp --dport 3306 -j PAROLE
-A PUB_IN -p tcp -m tcp --dport 8080 -j PAROLE
-A PUB_IN -p tcp -m tcp --dport 8081 -j PAROLE
-A PUB_IN -p tcp -m tcp --dport 10000 -j PAROLE
-A PUB_IN -p tcp -m tcp --dport 63000 -j PAROLE
-A PUB_IN -p tcp -m tcp --dport 64000 -j PAROLE
-A PUB_IN -p tcp -m tcp --dport 41144 -j PAROLE
-A PUB_IN -p tcp -m tcp --dport 30033 -j PAROLE
-A PUB_IN -p tcp -m tcp --dport 10011 -j PAROLE
-A PUB_IN -p tcp -m tcp --dport 40110:40210 -j PAROLE
-A PUB_IN -p udp -m udp --dport 53 -j ACCEPT
-A PUB_IN -p udp -m udp --dport 3306 -j ACCEPT
-A PUB_IN -p udp -m udp --dport 9987 -j ACCEPT
-A PUB_IN -p udp -m udp --dport 2010 -j ACCEPT
-A PUB_IN -p icmp -j DROP
-A PUB_IN -j DROP
-A PUB_OUT -j ACCEPT
-A fail2ban-dovecot-pop3imap -j RETURN
-A fail2ban-pureftpd -j RETURN
-A fail2ban-sasl -j RETURN
-A fail2ban-ssh -j RETURN

Der Zugriff auf SSH, FTP, HTTP, HTTPS und so weiter von außen klappt einwandfrei, allerdings kann ich von meiner SSH-Konsole aus keine Domains auflösen.... Dachte das läge an Port 53, aber der ist ja eigentlich offen.

Grüße
Marius
 

Till

Administrator
Der Zugriff auf SSH, FTP, HTTP, HTTPS und so weiter von außen klappt einwandfrei, allerdings kann ich von meiner SSH-Konsole aus keine Domains auflösen.... Dachte das läge an Port 53, aber der ist ja eigentlich offen.

das hat mit der Firewall nichts zu tun, denn die Firewall blockiert ja nur eingehende Verbindungen, nicht ausgehende.

Wenn die Namensauflösung auf der shell nicht geht dann stimmen die nameserver in /etc/resolv.conf nicht. Trag dort mal die google nameserver ein:

8.8.8.8
8.8.4.4
 

BliccZ

New Member
die Resolv.conf sieht schon entsprechend aus. Wenn ich die Firewall-Regeln lösche, kann ich sofort wieder problemlos Domains auflösen. Wenn ich die Firewall jedoch einschalte, führt apt-get update zum Beispiel ins leere und ich kann auch gar nichts anpingen.
 

Till

Administrator
Hast Du vielleicht 2 firewalls installiert? Die ispconfg firewall blockt keinen ausgehenden traffic.
 

Till

Administrator
Es muss aber noch etwas anderes im Bereich iptables laufe,sonst würde dns ja gehen.

Du brauchst übrigens keine Firewallw enn Du den Server nach perfect setup aufgesetzt hast, denn dann laufen nur Dienste deren Ports Du sowieso öffnen müsstest. Eine Firewall bringt Dir daher keine zusätzliche Sicheheit, sie verlangsamt lediglich Deinen Netzwerkverkehr.
 

Werbung

Top