Linux Firewall mit ipchains

DNS-Auflösung für intern

Damit die Clients für DNS-Anfragen keine Verbindung ins Internet aufbauen müssen, sollten Sie auf der Firewall auch einen Caching-DNS-Server installieren. Achten Sie darauf, dass der Server nur an der internen bzw. loopback-Schnittstelle aktiv ist, damit er unter keinen Umständen von außen benutzbar ist. Dies erreichen Sie beispielsweise bei named (BIND) durch die Konfigurationsoption "listen-on{127.0.0.1;192.168.1.1;};". Die entsprechenden Portfilterregeln lauten dann:

# intern -> DNS auf Firewall (UDP)
ipchains -A input -i eth0 -p udp -s 192.168.1.0/24 1024: -d 192.168.1.1 53 -j ACCEPT
# Antwort erlauben
ipchains -A output -i eth0 -p udp -s 192.168.1.1 53 -d 192.168.1.0/24 1024: -j ACCEPT
# intern -> DNS auf Firewall (TCP)
ipchains -A input -i eth0 -p tcp -s 192.168.1.0/24 1024: -d 192.168.1.1 53 -j ACCEPT
# Antwort erlauben
ipchains -A output -i eth0 -p tcp -s 192.168.1.1 53 -d 192.168.1.0/24 1024: ! -y -j ACCEPT