Guest User!

You are not Sophos Staff.

Thread Info
  • State Not Answered
  • Replies 4 replies
  • Subscribers 0 subscribers
  • Views 603 views
  • Users 0 members are here
Options
Suggested

BIND9 and Filters

Jon Morby
I've spent the last 24 hours or so trying to work out why a vast portion of the internet couldn't get mail through to me since I installed an Astaro box in front of the last corner of my network (I'm now totally ASL protected  [:)]

To cut a long story short, I finally realised that the cause was actually the filter rule permitting Any to Name Servers for DNS ... where DNS is statically configured to be

TCP/UDP 1024:65535 53

Since the introduction of Bind 8, BIND now defaults to a source port of 53 (or at least can be configured as such)....

Hence, the ASL box was catching any DNS requests from port 53 as they were outside the 1024:65535 bracket ....

I've created a new service called BIND TCP/UDP 0:65535 53 ... and mail is once again flowing.

Think this might be worth fixing in an update rsn  [:)]

Cheers guys ... fantastic product never the less  [:)]
Parents
  • 0
    That could potentially be a bad thing.

    Make sure that this line is NOT in your named.conf:

    query-source 53;

    The reason the rule says 1024:65535 53 is so that BIND does not use a privileged port for talking to resolvers. This is especially wanted in a setting where you use a chroot() jail for BIND. The reason is that you want to run BIND as a non-privileged user in which case you can't bind to a socket 
  • 0 in reply to Alexander Stade
    Try telling that to the x million people out there who are running BIND configured that way.

    Note, it's INBOUND not OUTBOUND that's the problem ... and I can't control the inbound  [:)]

    besides, bind can run as a non priviledged user (-u) so it's swings and roundabouts.
Reply Children
Unfiltered HTML