[pf]: Named von außen zugänglich machen

[Josen]

Hallo!
Da ich auch eine kleine interne Zone betreibe und die gerne mit meinem Master für die Haupt-Domain abgleichen möchte muss ich die Kommunikation meines Nameservers nach außen ermöglichen.

Realiseren wollte ich das mit:

pass in quick on $ext_if proto {udp, tcp} to port 53

Das funktioniert jedoch nicht. Der TCP-Port ist nicht offen. Im syslog finde ich jede Stunde folgenden Eintrag:

Apr 20 16:23:01 eris named[4069]: could not listen on UDP socket: permission denied
Apr 20 16:23:01 eris named[4069]: creating IPv4 interface tun0 failed; interface ignored

Soweit ich weiß versucht named jede Stunde nach neuen Interfaces zu suchen und sich dort einzubinden. Dies schlägt hier fehlt, obwohl es erlaubt worden ist.



Warum?


-Falk

 

[kith]

koenntest du evt das aussehen deines netzes etwas beschreiben?
-laeuft named HINTER der fw, oder AUF der fw?
-wie sieht der rest deiner pf.conf aus?
-fehlermeldung bei named-xfer(8)?
-funktioniert der zonefetch wenn du die rules flushed?
-blablayadayada

ps. ich verstehe das mal so, dass du einen hidden primary betreiben willst?

 

[Josen]

Hallo!

Mein Netzwerk (zumindest der Teil, der wichtig ist) sieht so aus:

INTERNET <--tun0-->FIREWALL <--Prozess auf Firewall--> named

Und

INTERNET <--tun0--><--gif0-->FIREWALL <--Prozess auf Firewall--> named

Mein Ruleset ist folgendermaßen:

##### MACROS #####
ext_if=tun0
ext_ip=213.146.116.123
int_if=rl0
gif_if=gif0

outback = "{ 213.146.167.21 }"

basisdienste = "{ 80, 443, 21, 22, 23 }"
p2pdienste = "{4461, 4462}"
ipv6basisdienste = "{ 80, 443, 22, 25 }"
##### TABLES #####


##### TRAFFIC NORMALIZATION #####
scrub in all



##### Translation #####
nat on tun0 from 192.168.1.0/24 to any -> $ext_ip


##### Packet Filtering #####
antispoof log for tun0
antispoof log for rl0
pass in on $ext_if  proto tcp from any to port 22
pass in quick on $ext_if proto {udp, tcp} to port 53
pass in on $ext_if proto tcp from any to port 80
pass proto {tcp, udp} from $int_if to any
# Unsere IPv6 Rules
pass in on $gif_if inet6 from fe80::/10 to any
pass out on $gif_if inet6 from fe80::/10 to any
pass in on $gif_if inet6 proto tcp from any to any port $ipv6basisdienste

Das Gerät soll nicht als hidden-primary laufen: Ganz im Gegenteil. Es ist der primäre Nameserver für int.x2n.de. Sub-Domain ist bereits delegiert und funktioniert auch (im LAN). Der named-Przess läuft auf der Firewall.

-Falk

 

[Kaeptn]

Original geschrieben von Josen
Hallo!
[.....]
pass in quick on $ext_if proto {udp, tcp} to port 53
pass in on $ext_if proto tcp from any to port 80
pass proto {tcp, udp} from $int_if to any
[/code]

[...]

-Falk

Du erlaubst outbound Traffic nur wenn er originär von rl0 kommt und setzt keinen State für eingehende domain Verbindungen, daher kann named nicht anworten. Entweder eine out-rule oder stateful!

-Kaeptn

 

[CW]

Nimm einen keep state, so wie es Kaeptn vorgeschlagen hat.

Dann "weiß" der pf, dass bestimmte Pakete die "Gesichtskotrolle" bereits hinter sich hatten

Und schnapp dir meine PF-FAQ aus der Downoload-Section ... kann dir (hoffentlich) nützlich sein.

Und VOR ALLEM --> die original PF-FAQ von openbsd.org

 

[kith]

es sind keine block rules drinne... ist dann nicht sowieso default allow stance?

 

[Ice]

EDIT: Sorry, habs schon gecheckt!

 

[Josen]

Hallo Leute!
Nachdem mich kith gestern im IRC angesprochen hatte will ich euch unsere geistigen Auswürfe nicht vorenthalten:

1.) Nein, ich bin kein Verrückter Mensch: Ich habe keine block-rules, da ich die Firewall erst aufbaue.

2.) Ich weiß, was intern und extern ist und warum das eine nicht so ist, wie das andere.


Ich will die Firewall erst langsam testen, bevor sie meine Linux (Debian) Maschine ersetzen wird. Deshalb habe ich auch keine block-rules und deshalb läuft die Maschine auch nur im securelevel 1.

Abgesehen daovn haben wir festgestellt, dass ich keine Ahnung habe, wie ich das Ports-System dazu bringen kann nicht immer zuerst IPv6-Adressen zu versuchen bevor es zu IPv4 zurückfällt. Deshalb kann ich 'named-xfer' wohl nie installieren und (welche Funktion hat named-xfer überhaupt?) und habe auch die Absicht mein Nameserver-Admin leben ohne Software aus den ports zu bewältigen.

Achja: Nein, der named läuft nicht auf einem Server hinter der Firewall, sondern auf der Firewall selbst. Dazu kommt auch noch, dass es sich nicht wie angegeben um einen hidden-primary handelt, sondern dass das System eine echte (Sub-) Domain zu verwalten hat.


Und nochwas: Fühlt euch von meiner Philosophie-Lehrerin gegrüßt...Informatik und Mathematik gehören teilweise zum unteren Begehrungsvermögen


-Falk