Hallo,
On Mon, Nov 19, 2001 at 09:51:49PM +0100, Konrad Rosenbaum wrote:
- bohre Loecher in TCP rein a) wenn Du von aussen per ssh ran willst oeffne Port 22 b) wenn Du Freunden Zugriff auf HTTP(S) geben willst oeffne Port 80
(443) c) etc.
Und ganz wichtig: Lass TCP port 53 offen, weil AFAIK alle grossen DNS-Antworten darĂ¼ber laufen.
waere mir neu.
Wie auch immer, es wird nur der remote Port 53 gebraucht und der kommt durch, wenn mit --syn gefiltert wird. Wuerdest Du den lokalen offen lassen waere das eine Zugangsmoeglichkeit zu Deinem lokalen DNS-server, was ja kaum gewollt sein kann.
Wenn ich das mit DNS ueber TCP richtig verstanden habe, wird immer erst per UDP versucht, eine Namensaufloesung zu erreichen. Wenn der Antwortende der Meinung ist, die Antwort waere zu gross fuer ein UDP-Packet, schickt er eine entsprechende Fehlermeldung zurueck. Daraufhin oeffnet der Fragende eine TCP-Verbindung und schickt die Anfrage ueber diese und die Antwort kommt darauf zurueck. Solange Du also von aussen keine DNS-Anfragen ermoeglichen willst, brauchst Du auf 53 keine TCP-Verbindungen zu erlauben, Hauptsache die eigene Maschine kann nach aussen telefonieren.
Holger