投稿日:2003年08月01日 作成鷹の巣

No.11498 外部から調べてポート53番が開いていないのに正引き出来てしまう。



外部から調べてポート53番が開いていないのに正引き出来てしまう。

No.11498 投稿時間:2003年08月01日(Fri) 18:42 投稿者名:DNS URL:

今まで、ダイナミックDNSを利用して、各種サーバーを構築していましたが
最近、固定IPを2個取得して、DNSサーバーを自前で構築致しました、環境は
ルーターは使用しなくて、RedHatLinux9.0を使用し、Rp-PPPoEを使用して
/etc/pppディレクトリのfirewall-masqファイルを少しだけ編集しました、
以下の様に。
http://www.zdnet.co.jp/help/howto/linux/0007master/08/06.htmlを参考に
ipchains -A input -i $EXTIF -d $ANY 53 -p udp -j ACCEPT
ipchains -A input -i $EXTIF -d $ANY 53 -p tcp -j ACCEPT
そして、iptablesを編集して
-A INPUT -i ppp0 -p TCP --dport 53 -j ACCEPT
-A INPUT -i ppp0 -p UDP --dport 53 -j ACCEPT
が、なぜか、ポートスキャナーで
( http://home.att.ne.jp/banana/akatsuki/soft/knocker/index.html )
、外部から、自IPに向けてTCP:53番が開いているか調べたらこれがまた、何故か
開いてませんのです!、がしかし、http://www.tti.co.jp/nslookup/ で調べると
値がきちんと帰ってきます、勿論外部から、自ドメインへアクセスすればHPは表示
されるのですが(DNSサーバーのIPアドレスとWEBサーバーのIPアドレスは違います)
、これが自分の立てたプライマリーDNSサーバーによって表示出来た
のか?、仮物のプロバイダのセカンダリーDNSで表示された物なのか、盲目検討も付
きません、こんな事ってあるのでしょうか?、また、こんな状態で良いのでしょうか?
何方か宜しく御願い致します。


firewall-masqを使いたいなら、iptablesに書き換える。

No.11503 投稿時間:2003年08月01日(Fri) 21:36 投稿者名:stranger URL:

> 今まで、ダイナミックDNSを利用して、各種サーバーを構築していましたが
> 最近、固定IPを2個取得して、DNSサーバーを自前で構築致しました、環境は
> ルーターは使用しなくて、RedHatLinux9.0を使用し、Rp-PPPoEを使用して
> /etc/pppディレクトリのfirewall-masqファイルを少しだけ編集しました、
> 以下の様に。
> http://www.zdnet.co.jp/help/howto/linux/0007master/08/06.htmlを参考に
> ipchains -A input -i $EXTIF -d $ANY 53 -p udp -j ACCEPT
> ipchains -A input -i $EXTIF -d $ANY 53 -p tcp -j ACCEPT
> そして、iptablesを編集して
> -A INPUT -i ppp0 -p TCP --dport 53 -j ACCEPT
> -A INPUT -i ppp0 -p UDP --dport 53 -j ACCEPT
> が、なぜか、ポートスキャナーで
> ( http://home.att.ne.jp/banana/akatsuki/soft/knocker/index.html )
> 、外部から、自IPに向けてTCP:53番が開いているか調べたらこれがまた、何故か
> 開いてませんのです!、がしかし、http://www.tti.co.jp/nslookup/ で調べると
> 値がきちんと帰ってきます、勿論外部から、自ドメインへアクセスすればHPは表示
> されるのですが(DNSサーバーのIPアドレスとWEBサーバーのIPアドレスは違います)
> 、これが自分の立てたプライマリーDNSサーバーによって表示出来た
> のか?、仮物のプロバイダのセカンダリーDNSで表示された物なのか、盲目検討も付
> きません、こんな事ってあるのでしょうか?、また、こんな状態で良いのでしょうか?
> 何方か宜しく御願い致します。

基本的なこと
redhat9にはipchainsは入っていないと思うし、ipchainsとiptablesは両立しません
firewall-masqを使いたいなら、iptablesに書き換える
チェックのし方
# ipchains -L -n ←コマンドが無いと言われる?
# iptables -L -n
DNSのチェーンが表示されると思う、表示仕切れない場合
# iptables -L -n | less
ただし、デフォルトでは全てACCEPTの設定なのでなんでも受け付けてしまいます
DNSのチェーンだけ作っても意味がありません ここに書いてないだけと思いますが!

DNSのチェックのし方
# dig ns.hogehoge.com ←自分のnameサーバー名
# dig @aaa.bbb.ccc.ddd ns.hogehoge.com ←aaa.bbb.ccc.dddは自分のnameサーバーのグローバルIPアドレス
# dig @www.xxx.yyy.zzz ns.hogehoge.com ←www.xxx.yyy.zzzは2nd.name.serverのIPアドレス
これでまともに答えが返ってくれば正常だと思う

rp-pppoeのsetupを変更しないと自動的にresolv.confの中身がプロバイダのアドレスになると思います
resolv.confを確認しましょ

まともに動くこととセキュリティは別なので、不正アクセスされても気づかないことのないように!


|目次|掲示板|過去ログ目次|▲頁先頭|