Firewall, CPU-Auslastung und SSH
Volker Gueth
vgueth at uni-bielefeld.de
Mon Sep 16 11:10:02 CEST 2002
On Mon, Sep 16, 2002 at 10:57:58AM +0200, Markus Wigge wrote:
> Tag,
>
> > Kann's sein, daß der sshd versucht, die IP-Adresse des ssh-Clients
> > aufzulösen und dabei das Problem sieht, nicht auf seine konfigurierten
> > DNS-Server zugreifen zu können?
> Also DNS-Probleme im Zusammenhang mit SSH sind mir zu genüge bekannt,
> fallen aber in diesem Fall raus. Wenn ich nur die Reihenfolge der Regeln
> ändere (SSH-Regeln als 1.) habe ich schließlich keine Verzögerung mehr.
> und DNS ist von any zu any erlaubt.
>
> Bei der Gelegenheit, wofür wird bei DNS TCP benötigt? oder reicht es
> auch aus nur UDP/53 durchzulassen, bin froh über jede Regel die
> rausfliegt...
Zonetransfers und Anfragen, die nicht in einem Packet beantwortet
werden. Mir ist im Moment keine Seite bekannt, die so viel Daten
sendet, es könnte aber vorkommen.
Da es auch DNS-Server gibt, die keine TCP-Anfragen können (maradns)
ist das Risiko wohl nicht so hoch, wenn Du es sperrst. Falls
allerdings doch Fehler auftauchen denkt man an sowas immer zuletzt.
Bye Volker
More information about the Linux
mailing list