iptables und DNS

[jochen35]

Hallo,

ich habe einen vServer mit Debian 7.3 und Plesk 11.5. Aufgrund meiner aktuellen iptables Konfiguration gibt es ein Problem mit der DNS-Auflösung, was ich mir jedoch nicht erkären kann:

Code: Alles auswählen

root@v12345>ping www.google.de
ping: unknown host www.google.de

Die iptables Konfiguration sieht wie folgt aus

Code: Alles auswählen

Chain INPUT (policy DROP)
target     prot opt source               destination
VZ_INPUT   all  --  anywhere             anywhere
ACCEPT     icmp --  anywhere             anywhere

Chain FORWARD (policy DROP)
target     prot opt source               destination
VZ_FORWARD  all  --  anywhere             anywhere

Chain OUTPUT (policy DROP)
target     prot opt source               destination
VZ_OUTPUT  all  --  anywhere             anywhere
ACCEPT     icmp --  anywhere             anywhere

Chain VZ_FORWARD (1 references)
target     prot opt source               destination

Chain VZ_INPUT (1 references)
target     prot opt source               destination
ACCEPT     tcp  --  anywhere             anywhere             tcp dpt:http
ACCEPT     tcp  --  anywhere             anywhere             tcp dpt:ssh
ACCEPT     tcp  --  anywhere             anywhere             tcp dpt:smtp
ACCEPT     tcp  --  anywhere             anywhere             tcp dpt:pop3
ACCEPT     tcp  --  anywhere             anywhere             tcp dpt:domain
ACCEPT     udp  --  anywhere             anywhere             udp dpt:domain
ACCEPT     tcp  --  anywhere             anywhere             tcp dpt:8880
ACCEPT     tcp  --  anywhere             anywhere             tcp dpt:8443
ACCEPT     tcp  --  localhost            localhost
ACCEPT     udp  --  localhost            localhost

Chain VZ_OUTPUT (1 references)
target     prot opt source               destination
ACCEPT     tcp  --  anywhere             anywhere             tcp spt:http
ACCEPT     tcp  --  anywhere             anywhere             tcp spt:ssh
ACCEPT     tcp  --  anywhere             anywhere             tcp spt:smtp
ACCEPT     tcp  --  anywhere             anywhere             tcp spt:pop3
ACCEPT     tcp  --  anywhere             anywhere             tcp spt:domain
ACCEPT     udp  --  anywhere             anywhere             udp spt:domain
ACCEPT     tcp  --  anywhere             anywhere             tcp spt:8880
ACCEPT     tcp  --  anywhere             anywhere             tcp spt:8443
ACCEPT     tcp  --  localhost            localhost
ACCEPT     udp  --  localhost            localhost

Was habe ich übersehen?

Gruß
Jochen

[debnuxer]

Poste doch mal den Inhalt vom Iptables-Script und /etc/resolv.conf.

[peschmae]

Deine Output-Chain erlaubt soweit ich das sehe UDP und TCP-Traffic *vom* DNS-Port (53). DNS-Anfragen werden allerdings von einem *beliebigen* Port aus gesendet mit Zielport 53, das ist in deinen Regeln nicht erlaubt.

Ditto für die Antwort - die kommt dann von einem Server von UDP/TCP Port 53 an den Port zurück von dem sie gesendet wurde, daher der Bedarf für eine stateful Firewall und die Regel

Code: Alles auswählen

iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT

die die meisten irgendwo mit einbauen. Wobei ESTABLISHED und RELATED nur bei TCP relativ klar definiert sind - es wurden SYN/ACK Pakete ausgetauscht und eine Verbindung aufgebaut; bei UDP hingegen läuft das meist über timeouts (du hast in den letzten 30 Sekunden ein Paket gesendet, also besteht für IPTables eine Verbindung und ankommende Pakete werden akzeptiert)...

Kann aber auch sein, dass ich da was übersehen habe in deinem Output - ich gucke die IPTables-Regeln selten in der Form an...

MfG Peschmä

[dufty2]

Deine Output-Chain erlaubt soweit ich das sehe UDP und TCP-Traffic *vom* DNS-Port (53). DNS-Anfragen werden allerdings von einem *beliebigen* Port aus gesendet mit Zielport 53, das ist in deinen Regeln nicht erlaubt.

Das ist richtig, aber nicht hinreichend. Es könnte sein (da wir seine /etc/resolv.conf nicht kennen), dass er ein DNS-Server (auf localhost) eingerichtet hat und von dort aus die requests nach außen startet.

[peschmae]

Auch ein lokaler DNS Server kommuniziert mit anderen DNS Servern über deren Port 53, lokale Pakete werden in der obigen Konfiguration akzeptiert - das würde also gar nichts ändern....

[dufty2]

Auch ein lokaler DNS Server kommuniziert mit anderen DNS Servern über deren Port 53, lokale Pakete werden in der obigen Konfiguration akzeptiert - das würde also gar nichts ändern....

Nö, ich zitiere die gute alte Zeit:

This can cause problems with packet-filtering firewalls that are configured to allow name server-to-name server traffic but not resolver-to-name server traffic, because they typically expect name server-to-name server traffic to originate from port 53 and terminate at port 53.

<snip>

options { query-source address * port 53; };

tells BIND to use port 53 as the source port for queries sent from all local network interfaces.

[peschmae]

Ja wenn das so konfiguriert wäre würde das sogar funktionieren, wenn es denn täte