IPCOP DNS DMZ

Das Forum rund um Sicherheitsfragen (Antivirus, Firewall, Spamschutz). Diese Forum wird auch von IPCop.at verwendet.
Forumsregeln
Das Forum rund um Sicherheitsfragen (Antivirus, Firewall, Spamschutz). Diese Forum wird auch von IPCop.at

IPCOP DNS DMZ

Beitragvon Thomas » So 27 Apr, 2003 21:55

Hallo zusammen

Ich habe IPCOP v 1.2 (inkl. allen Patches) seit einiger Zeit am laufen. Nun möchte ich auf meinem Server (W2K) in der DMZ eine sekundäre DNS Zone einrichten. Ich habe bereits den Port 53 als Schlupfloch konfiguriert. Leider funktioniert die synchronisation in die DMZ aber immer nocht nicht. Der DNS in der DMZ wechselt bei jeder Anfrage den Quell-Port. Hat da jemand einen Tipp, was ich da falsch mache?

Gruss Thomas
Thomas
 

RE: IPCOP DNS DMZ

Beitragvon §§§ » Mo 28 Apr, 2003 16:23

DNS bei Windows:

Quellports: von 1024 bis 5000
Zielport: 53
§§§
 

RE: IPCOP DNS DMZ

Beitragvon Thomas » Di 29 Apr, 2003 14:09

Danke fĂĽr die Antwort. Aber wenn ich fĂĽr alle diese Ports ein DMZ Schlupfloch konfigurieren muss, dann kann ich die Firewall gerade sogut ausser Betrieb nehmen.

Ist es nicht so, dass ich normalerweise aus dem LAN in die DMZ replizieren kann. Sprich vom primären DNS Server (LAN) auf den sekundären DNS Server (DMZ). Dann würde der Port 53 reichen. Oder muss vom sekundären DNS immer noch eine Antwort gesendet werden. Das ganze läuft ja eigentlich über UDP und das läuft ja ohne Bestätigungspackete.

Gruss Thomas
Thomas
 

RE: IPCOP DNS DMZ

Beitragvon §§§ » Di 29 Apr, 2003 23:18

>> Aber wenn ich fĂĽr alle diese Ports ein DMZ Schlupfloch konfigurieren muss, dann kann ich die Firewall gerade sogut ausser Betrieb nehmen.

nein, nur das nicht !

also ein firewall zu konfigurieren ist nicht einfach u. das ist ja die kunst solche einstellungen so zu treffen, dass das risiko ziemlich gering wird. ein gewisses restrisiko wird immer bleiben. die einzige 100prozentige sicherheit ist nur dann gewährleistet, in dem man die verbindung zum internet trennt. das trifft aber für alle wege vom lan (+dmz) ins internet u. vom internet ins lan (+dmz) zu.

du wirst auch beobachten können das z.b. bei windows rechnern beim surfen über einen proxy die ports vom client ebenso zwischen 1024 - 5000 sind u. das ziel port z.b. 80 ist. das kommt davon, das man das portsystem in mehrere gruppen eingeteilt hat, sogenannte standards. das betrifft sowohl quell "sendenden" port u. die ziel "empfangenden" ports.
welchen quellbereich jeder einzelne betriebssystemhersteller dann wirklich verwendet ist "ihm ĂĽberlassen", solange er im bereich des standards ist. es gibt z.b. unterschiede zwischen windows u. linux, also der quellbereich bei linux ist anders. (ist nicht ĂĽberall so, es gibt auch ĂĽbereinstimmungen zwischen diesen)

das man einen sogenannten quellbereich bei gewissen diensten (z.b. http) wählt hat schon seinen grund.

Die "well known Ports" haben den Adressierungsbereich 0 bis 1023
Die "registered ports" haben den Adressierungsbereich 1024 bis 49151
Die "dynamic and/or private ports" haben den Adressierungsbereich 49152 bis 65535

>> Oder muss vom sekundären DNS immer noch eine Antwort gesendet werden.

durch dns werden zwei arten von netzaktivitäten verursacht: sogenannte lookups u. zonentransfers.

lookups sind zwischen clients u. server

anfragen u. antworten zwischen server:
um festzustellen, wann ein zonentransfer stattfindet, muß der sekundär server in der lage sein, reguläre dns-anfragen an den primären server zu stellen, od. von diesem ein benachrichtigung bekommen. sogenannte dns notifys. also in beiden richtungen.

>> Das ganze läuft ja eigentlich über UDP und ..............

dns kann sowohl ĂĽber tcp als auch ĂĽber udp gehen.

hier ein interessanter link:
http://www.netz-sicherheits.de/Info_zum ... ports.html
§§§
 

RE: IPCOP DNS DMZ

Beitragvon Thomas » Sa 03 Mai, 2003 14:34

Hallo

Gibt es da einen Befehl, um nicht jeden einzelnen Eintrag von Hand eintippen zu mĂĽssen (dauert ja wochen)

Gruss Thomas
Thomas
 


ZurĂĽck zu ANTIVIRUS & SECURITY

Wer ist online?

Mitglieder in diesem Forum: 0 Mitglieder und 2 Gäste

cron