Início / server / Perguntas / 799212
Accepted
SoabTI
Asked: 2016-08-26 17:43:44 +0800 CST

Regras do Iptables que apenas listam os DNS e descartam todo o resto

  • 772

Estou tentando configurar o iptables DROPcomo política padrão para INPUTe OUTPUTem um servidor DNS, mas algo está errado.

Aqui está o meu script iptables

iptables -P INPUT DROP 
iptables -I INPUT -i lo -j ACCEPT
iptables -A INPUT -i eth0 -p tcp --dport 53 -j ACCEPT
iptables -A INPUT -i eth0 -p udp --dport 53 -j ACCEPT

iptables -P OUTPUT DROP
iptables -I OUTPUT -o lo -j ACCEPT
iptables -A OUTPUT -o eth0 -p tcp --sport 53 -j ACCEPT
iptables -A OUTPUT -o eth0 -p udp --sport 53 -j ACCEPT

Houve alguma perda de pacotes, porque os computadores que dependem desse serviço dns só navegam quando o iptables é limpo. Onde eu estou errando?

domain-name-system iptables

1 respostas

  1. Best Answer

    Se sua política for "Permitir apenas consultas DNS de entrada para o servidor e respostas DNS do servidor para IPv4", seu conjunto de regras parecerá correto. Mas provavelmente não é isso que você quer. Por exemplo, a política implica que seu servidor DNS possui um banco de dados local mágico que pode ser usado para responder a todas as consultas de DNS.

    Alguns palpites informados sobre o que pode causar os problemas:

    • Seu servidor DNS precisa executar consultas DNS recursivas quando tenta responder a uma das consultas de seu cliente? Nesse caso, você deve permitir isso (consultas DNS de saída do seu servidor DNS).

    • Alguns de seus clientes estão usando IPv6 para consultar o DNS. Presumo que seu servidor não tenha firewall para IPv6?

    • Algumas das consultas IPv4 do seu cliente estão funcionando porque o servidor recursivamente faz uma consulta com IPv6?

    • Você tem mais interfaces do que eth0e lo?

    • Existem algumas mensagens de erro ICMP que seu servidor não está enviando/recebendo porque seu iptables o bloqueia? Se, por algum motivo, alguns clientes exigirem fragmentação de IPv4 ou houver problemas de MTU, seus clientes não poderão resolver isso porque seu servidor não informa via ICMP.

    Além disso: você pode querer permitir que seu servidor obtenha atualizações do sistema. Além disso, você deseja que seu servidor seja capaz de responder a determinadas solicitações de ICMP e definitivamente precisa que seu servidor seja capaz de lidar com ICMP para IPv6.

    editar: Tente isto (provavelmente você pode querer ajustar o tratamento de icmp):

    *filter
:INPUT DROP [0:0]
:FORWARD DROP [0:0]
:OUTPUT DROP [0:0]
-A INPUT -m state --state ESTABLISHED -j ACCEPT
-A INPUT -i lo -j ACCEPT
-A INPUT -p icmp -j ACCEPT
-A INPUT -i eth0 -p udp -m udp --dport 53 -m state --state NEW -j ACCEPT
-A INPUT -i eth0 -p tcp -m tcp --dport 53 -m state --state NEW -j ACCEPT
-A OUTPUT -m state --state ESTABLISHED -j ACCEPT
-A OUTPUT -o lo -j ACCEPT
-A OUTPUT -p icmp -j ACCEPT
-A OUTPUT -o eth0 -p udp -m udp --dport 53 -m state --state NEW -j ACCEPT
-A OUTPUT -o eth0 -p tcp -m tcp --dport 53 -m state --state NEW -j ACCEPT
COMMIT
    • 1

relate perguntas