Shorewall/Bind9 - keine Queries von aussen

[Saxenpower]

Hi,
ich habe einen DNS-Server Bind9 als VM auf einem Host laufen. Auf dem Host läuft die Shorewall. Wenn ich ein

Code: Alles auswählen

 dig @192.109.24.84 www.germany.com

; <<>> DiG 9.10.3-P4-Debian <<>> @192.109.24.84 www.germany.com
; (1 server found)
;; global options: +cmd
;; connection timed out; no servers could be reached

absetze, bekomme ich einen Timeout. Hänge ich die VM direkt an die externe IP-Adresse wird die Query durchgeführt.
Hier meine Shorewalleinstellungen

Code: Alles auswählen

shorewall show zones
Shorewall 5.0.15.6 Zones at neckar - Wed Sep 19 15:16:31 CEST 2018

fw (firewall)
net (ipv4)
   vmbr0:0.0.0.0/0
loc (ipv4)
   vmbr1:0.0.0.0/0

Code: Alles auswählen

 shorewall show policies
Shorewall 5.0.15.6 Policies at neckar - Wed Sep 19 15:17:26 CEST 2018

fw      =>      net     ACCEPT using chain fw-net
fw      =>      loc     ACCEPT using chain fw-loc
net     =>      fw      DROP using chain net-fw
net     =>      loc     DROP using chain net-loc
loc     =>      fw      REJECT using chain loc-fw
loc     =>      net     ACCEPT using chain loc-net

rules für DNS

Code: Alles auswählen

DNS(ACCEPT)     net             $FW
DNS(ACCEPT)     $FW             net

DNS(ACCEPT)     loc:192.168.1.1 $FW
DNS(ACCEPT)     $FW             loc:192.168.1.1

DNS(ACCEPT)     loc             $FW
DNS(ACCEPT)     $FW             loc

DNS(ACCEPT)     net             loc:192.168.1.70
DNS(ACCEPT)     loc:192.168.1.70 net

DNS(ACCEPT)     net             loc:192.168.1.75
DNS(ACCEPT)     loc:192.168.1.75 net

DNS(ACCEPT)     net             loc:192.168.1.84
DNS(ACCEPT)     loc:192.168.1.84 net

Code: Alles auswählen

shorewall show loc-net 
Shorewall 5.0.15.6 Chain loc-net at neckar - Wed Sep 19 15:19:12 CEST 2018

Counters reset Wed Sep 19 15:11:46 CEST 2018

Chain loc-net (1 references)
 pkts bytes target     prot opt in     out     source               destination         
 2662 2650K ACCEPT     all  --  *      *       0.0.0.0/0            0.0.0.0/0            ctstate RELATED,ESTABLISHED
 1015 79609 ACCEPT     udp  --  *      *       192.168.1.70         0.0.0.0/0            udp dpt:53 /* DNS */
    0     0 ACCEPT     tcp  --  *      *       192.168.1.70         0.0.0.0/0            tcp dpt:53 /* DNS */
    0     0 ACCEPT     udp  --  *      *       192.168.1.75         0.0.0.0/0            udp dpt:53 /* DNS */
    0     0 ACCEPT     tcp  --  *      *       192.168.1.75         0.0.0.0/0            tcp dpt:53 /* DNS */

und

Code: Alles auswählen

shorewall show net-loc 
Shorewall 5.0.15.6 Chain net-loc at neckar - Wed Sep 19 15:20:07 CEST 2018

Counters reset Wed Sep 19 15:11:46 CEST 2018

Chain net-loc (1 references)
 pkts bytes target     prot opt in     out     source               destination         
 3966  752K ACCEPT     all  --  *      *       0.0.0.0/0            0.0.0.0/0            ctstate RELATED,ESTABLISHED
    0     0 ACCEPT     udp  --  *      *       0.0.0.0/0            192.168.1.70         udp dpt:53 /* DNS */
    0     0 ACCEPT     tcp  --  *      *       0.0.0.0/0            192.168.1.70         tcp dpt:53 /* DNS */
    0     0 ACCEPT     udp  --  *      *       0.0.0.0/0            192.168.1.75         udp dpt:53 /* DNS */
    0     0 ACCEPT     tcp  --  *      *       0.0.0.0/0            192.168.1.75         tcp dpt:53 /* DNS */
    0     0 ACCEPT     udp  --  *      *       0.0.0.0/0            192.168.1.84         udp dpt:53 /* DNS */
    0     0 ACCEPT     tcp  --  *      *       0.0.0.0/0            192.168.1.84         tcp dpt:53 /* DNS */

Das gleiche Ergebnis habe ich, wenn ich dig @192.168.1.84 www.germany.com von einer internen anderen VM absetze. Wobei

Code: Alles auswählen

dig @127.0.0.1 www.germany.com

auf dem Bind-Server wieder klappt.

Was habe ich bei der Firewall übersehen?

Gruß
Saxenpower

[Saxenpower]

Der Fehler lag weniger in der Firewall. Ich hatte in der name.conf.options vergessen den listen-Parameter auf

Code: Alles auswählen

listen { 127.0.0.1; 192.168.1.84; };

zu setzen. Dort stand noch die externe IP-Adresse drin.