Heimnetzwerke - WIFI, LAN, Router und Co 16.472 Themen, 80.546 Beiträge

Ports für DNS Auflösung ? (Services.exe)

PandoraX / 9 Antworten / Flachansicht Nickles

Hi ho,

ich habe ein Problem, daß mich noch in den Wahnsinn treibt.

Seit kurzem habe ich mir eine Firewall installiert (Tiny Firewall). Ich habe versucht alles so gut wie es geht einzuschränken, aber aus der services.exe (ich habe w2k) werde ich nicht ganz schlau.

Ich brauche diese Datei nur um DNS Auflösungen durchzuführen (Port 53, soweit ich weiß). Also habe ich die Regel eingestellt, daß dieses Programm alles über Port 53 machen darf (für incomming, als auch outgoing). Für simple DNS lookups müßte das doch reichen, oder ?

Hatte ich zumindest gedacht. Er sendet auf Port 53 was raus (OK darf er ja), aber der Nameserver sendet auf irgendeinem Port (1000 - 3000 ungefähr) was zurück.

Jetzt endlich die Frage: Ist es richtig, daß die Nameserver sich den Antwortsports selber aussuchen ? (Kann ich mir nicht vorstellen, denn dann müsste ich alle incoming Ports erlauben, was nicht so prickelnd ist)

Wer hat dieses Problem auch schon gehabt, bzw. eine Lösung dafür.

Gruß
PandoraX

bei Antwort benachrichtigen
xafford PandoraX „Ports für DNS Auflösung ? (Services.exe)“
Optionen

ja und nein..ja, es stimmt, daß irgendein port genommen wird um zu kommunizieren und nein, du mußt nicht alle incoming freigeben. du unterliegst auch einem irrtum wenn du denkst dein rechner sendet die anfrage vom eigenen port 53 aus, dein rechner sendet auf einem beliebigen port raus, aber auf port 53 des servers, dabei ist zu beachten, daß sowohl tcp als auch udp genutzt wird von dns.
jede firewall ist zumindest ein statefull packet filter, es sei denn es handelt sich nur um einen portblocker (sorry, mit tiny hab ich keinerlei erfahrungen). ein statefull packet filter analysiert die einkommenden ip-pakete durch ihren header, in dem quellip, zielip ausgangsport, zielport und noch einiges mehr enthalten ist.
kurze erklärung..dein rechner schickt ne dns anfrage raus an port 53 eine dsn-servers mit gesetztem syn-bit und bittet um eine verbindung auf...der server sendet zurück mit den syn-ack bit und bietet einen kommunilationsport an, deine firewall sieht das paket, liest, daß sie von der ip kommt an die gesendet wurde von port soundso an port 53 und lässt das paket als antwort durch, dein os liest das paket, akzieptiert den angebotenen port (im normalfall) und schickt ein paket mit dem gesetzten ack-bit wieder an den dns zurück, deine firewall analysiert wieder und hält diesen socket offen.
ungefähr so läuft das ganze in den meisten fällen, aber eben nicht in allen ;o)

Pauschalurteile sind immer falsch!!!
bei Antwort benachrichtigen