Potential in Firewallskript

[linuxdxs]

Hallo Forum, ich habe hier einen Teil meines Firewallskriptes, zur Unleitung und Absicherung des DNS. Wo seht Ihr nocht Potential

iptables -t nat -A PREROUTING -i eth0 -s 10.0.0.0/24 -p udp --dport 53 -j DNAT --to-destination 10.0.0.5
iptables -t nat -A PREROUTING -i eth0 -s 10.0.0.0/24 -p tcp --dport 53 -j DNAT --to-destination 10.0.0.5
iptables -A INPUT -i eth0 -p udp -s 10.0.0.0/24 --dport 53 -j ACCEPT
iptables -A INPUT -i eth0 -p tcp -s 10.0.0.0/24 --dport 53 -j ACCEPT
iptables -A OUTPUT -o eth0 -p udp -s 10.0.0.5 --sport 53 -j ACCEPT
iptables -A OUTPUT -o eth0 -p tcp -s 10.0.0.5 --sport 53 -j ACCEPT
iptables -A OUTPUT -o dsl0 -p udp --dport 53 -j ACCEPT
iptables -A OUTPUT -o dsl0 -p tcp --dport 53 -j ACCEPT
iptables -A INPUT -i dsl0 -p udp --sport 53 -j ACCEPT
iptables -A INPUT -i dsl0 -p tcp --sport 53 -j ACCEPT
iptables -A FORWARD -p udp --dport 53 -j dns_deny
iptables -A FORWARD -p tcp --dport 53 -j dns_deny
iptables -A FORWARD -p udp --sport 53 -j dns_deny
iptables -A FORWARD -p tcp --sport 53 -j dns_deny

Vielen Dank im voraus

 

[linuxdxs]

Hallo Board, zu obigen FW-Skript habe ich noch ein kleines Problem und weis nicht wie ich es lösen kann. Wenn ich aus dem Netz versuche einen Namen mit "nslookup" aufzulösen kommt folgende Fehlermeldung

;; connection timed out; no servers could be reached

Wenn ich aber z.B.

nslookup www.xxiwasxx.de 10.1.1.5

eingebe, also mit Angabe des Servers, funktioniert es einwandfrei. Meiner Meinung funktioniert die Umleitung nicht. Ich finde aber keinen Fehler bei obigen Skript. Könnt Ihr mir helfen?

 

[Gr1mwalk3r]

Hmm Verbesserungen sind schwierig ohne dein gesamtes Netzwerk zu kennen .. Mit nur einem Auszug deines Scripts sowieso ..

Dein nslookup funktioniert ja jedenfalls:

#iptables -A INPUT -p udp --source-port 53 -j ACCEPT

Wenn du jetzt nslookup startest musst du als Argument deinen Server angeben .. ?

Gib mal deiner resolv.conf notwendige Nameserver Einträge dann sollte es eigentlich ohne Angabe des Servers funktionieren ..

 

[linuxdxs]

Meine Vorstellung war folgende: Egal welchen Nameserver der PC anspricht, die Pakete werden immer auf den voreingestellten Server umgeleitet.