Ich will nichts hosten. Ich will wissen, wenn man angeblich http service auf DNS legen kann, ob das nicht ein Problem gibt.
Klar kann man, und klar gibt es dann Probleme, nämlich die von dir beschriebenen - dein Server will DNS abfragen, darf den Port ausgehend aber nicht verwenden, weil Apache2 die Hand drauf hat - doofe Sache. Frägt ein anderer Client den Port für DNS an, zuckt der Apache mit den Achseln und sagt nur "Ich nix Deutsch, ich nix kapisch!" und danach Aufwiedertschüss. Da guckt dann zwar der anfragende Client recht blöd, aber das ist nicht das Problem des HTTP-Indianers.
Schon klar. Ich will aber nicht eingehende Verbindungen sondern ausgehende Verbindungen verwalten. Ich Frage verbindungen als erster an.
Firewall ist nicht nur für eingehende, sondern auch für ausgehende Verbindungen und solche, die nur durchgeschliffen werden (deshalb die Chains INPUT, FORWARD und OUTPUT). Aber bitte, mach erstmal ganz einfach Traffic, bevor du jetzt da das nächste Fass aufmachst, das du wieder nicht leertrinken kannst.
config: In /etc/dienstname/dienstname.conf (meistens)
Firewall: iptables
Aber wie weiss ich, dass der Router nicht zwischen /etc/resolv.config auf meinem Host und der vom ISP hin und her springt.
Fehler: Der Router springt gar nicht, der hat seine eigene /etc/resolv.conf bzw. sein eigenes resolvconf-Package. Dein Host ist ihm scheißwurst.
Dein Rechner ist aber wie dein Router: Er nimmt die ersten drei konfigurierten Upstream-Server her und fragt alle parallel an. Die erste plausible Antwort wird genommen. Wie du das sicherstellst, dass nicht andere Server angefragt werden? Weil der Rechner immer das gleiche macht. Mach ein Dig und stell die Verbosity hoch, dann solltest du auch alle ausgehenden Anfragen protokolliert bekommen. Ist keine davon dein Router oder dein ISP, wird der auch nie hergenommen (der Router nimmt standardmäßig den vom ISP, kann aber ebenfalls umgestellt werden).
Nein, Routen kann man sich (man möge mich korrigieren, wenn ich falsch liege) via "ip route show" nachschlagen.
Klar, warum nicht? OpenDNS, nicht gut? Betrifft ja nur den einen PC und nicht alle?
Als Upstream-Server (also von außerhalb deines LANs erreichbar) betrifft es jeden, der ihn anfrägt. Potentiell also das komplette Internet. Und ja, das ist ganz große Scheiße.
ahh..Ich glaube ich habe das PRoblem gefunden und zwar uPnP noch nicht gelesen.
NEIN! Dein Problem ist, dass du es gleich lesen wirst und damit noch ein Puzzle auf deinen unüberblickten Haufen Teile aus 20 verschiedenen Puzzlen schüttest.
DER EINZIGE GRUND, DIR UPNP ZU NENNEN, WAR DIR ZU ZEIGEN, DASS ALLES NOCH VIEL KOMPLIZIERTER IST, ALS DU DERZEIT DENKST!
Und du hast nichtmal die Basics verstanden - wie zum Teufel willst du dann die richtig komplexen Protokolle verstehen, bei denen selbst wir zum großen Teil mit den Schultern zucken und sagen "mei, ist halt da, wenn wirs brauchen, nutzen wirs, wenn nicht, Firewall und Deconfigurieren und aus die Maus." Deshalb sagt auch phre4k im Edit, dass UPnP böse ist. Und ja, das ist es, aus Adminsicht, weil unüberschaubar komplex und damit potentiell ein riesiges Loch in der eigenen Sicherheit, wenn ihm nicht Einhalt geboten wird.
Das ist doch, wenn der Port nur offen geht mit dem Dienst und dann wieder geschlossen?
Dem ist auch so, im
Normalfall. Ganz ohne UPnP. Lass das mal gut sein, das Protokoll ist dafür da, Rechner hinter Routern zu Servern zu machen, indem es dynamisch Portforwarding am Router einstellt. Wenn du nicht verstehst, was ich damit gesagt habe, lass es erstmal so stehen. Wie gesagt, fang mit zwei Raspis an, dann kannst du SICHER die Basics verstehen, bevor du dich mit Routing und Gateway-Security rumschlägst.
Um dir das nochmal klar zu machen, wo du ungefähr stehst und was noch auf dich zukommt: Du hast gerade deinen ersten Korb mit einem Basketball geworfen und willst jetzt in der NBA allein gegen das Siegerteam des letzten Jahres antreten, indem du dir einfach ganz schnell ganz viele Biographien von berühmten Basketballern durchliest. Macht wenig Sinn, oder? Das versuchen wir dir auch schon seit zwei Seiten zu erklären...
Dachte immer ein Port ist entweder geschlossen oder offen, 1 oder 0. Das man sich muss entscheiden zwischen beiden und das "dynamisch" gar keine option ist.
Das ist auch so, entweder offen oder zu. Aber wer hat behauptet, dass du nicht wild Ports öffnen und schließen kannst, wenn du welche brauchst? Das ist doch dynamisch, oder? Und wir sagen dir die ganze Zeit, dass Ports dynamisch bei Bedarf geöffnet und nach Kommunikation wieder geschlossen werden, zumindest ist das der Standard bei den Ephemeral Ports.