Bind 9 & firewall

Mon Sep 22 12:52:52 EEST 2008

On Mon, 22 Sep 2008 11:05:09 +0300, Antonis Christofides <anthony at itia.ntua.gr> wrote:
> Μπορείτε να μου εξηγήσετε τι πρέπει να κάνω στο firewall για να
> δουλεύει καλά το bind 9 γιατί έχω καταμπερδευτεί; Αυτή τη στιγμή
> επιτρέπει incoming μόνο στο port 53. Τι είναι αυτά τα udp 32768 κλπ.
> στα οποία ακούει ο named;

Το BIND χρησιμοποιεί ένα random `high' port, για να στέλνει αιτήσεις
μέσω UDP σε άλλους name servers.

Αυτό το port συνήθως είναι τυχαίο, αλλά μπορείς να το ρυθμίσεις να είναι
πάντα το ίδιο αν αυτό σε κάνει να αισθάνεσαι καλύτερα:

    options {
        query-source address * port 53;
    };

Πριν κάνεις κάτι τέτοιο όμως, καλό είναι να διαβάσεις για το DNS flaw
του φετινού καλοκαιριού:

    http://www.snort.org/vrt/docs/white_papers/DNS_Vulnerability.pdf 
    http://unixwiz.net/techtips/iguide-kaminsky-dns-vuln.html
    http://en.wikipedia.org/wiki/Dan_Kaminsky
    http://www.circleid.com/posts/87143_dns_not_a_guessing_game/

Για να δουλεύει σωστά το DNS μπορείς να χρησιμοποιήσεις ένα από τα δύο
παρακάτ, ή και τα δύο:

    (1) Stateful UDP κανόνες, που επιτρέπουν traffic προς UDP:*:53

        Έτσι ότι ξεκινάει ως DNS query από εσένα _ΠΡΟΣ_ κάποιο nam
        server που ακούει στο port UDP:53 θα παίζει, επειδή εσύ έκανες
        το αρχικό UCP send() και δημιουργήθηκε το αντίστοιχο state table
        entry για να περνάνε προσωρινά οι απαντήσεις.

    (2) Αν το named τρέχει στο ίδιο μηχάνημα με το firewall, και αν
        έχεις uid matching στους κανόνες του firewall, μπορείς να βάλεις
        ένα ακόμα περιορισμό.  Τα πακέτ που απευθύνονται προς udp:*:53
        και tcp:*:53 θα περνάνε (και θα δημιουργούν state entries), αλλά
        ΜΟΝΟ αν τα έχει στείλει το UID του bind.