Iptables pod serwer DNS

czater · Post autor: **czater** » 09 kwietnia 2010, 12:40

Witam

Skonfigurowałem server DNS (Bind9) oraz napisałem firewalla do niego. W związku z tym że dopiero poznaję temat iptables-a, proszę o weryfikację, wszelkie uwagi mile widziane. Zalożenie było takie, żeby przepuszczać tylko ruch po porcie 53 dla usługi DNS oraz port 80 dla aktualizacji systemu, wszystkie pozostałe porty poblokować (nawet ssh).

Kod: Zaznacz cały

#!/bin/bash

#Kasuje wszystkie reguly
iptabes -F

#Odrzucamy domyslnie wszystie pakiety wchodzace i wychodzace 

iptables -P INPUT DROP
iptables -P OUTPUT DROP

#Akceptujemy wszystko na interfejsie lokalnym
iptables -A INPUT -i do -j ACCEPT

#Akceptuje wszystkie poĹ‚aczenia ustanowione na lancuchach OUTPUT i INPUT
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A OUTPUT -m state --state ESTABLOSHED,RELATED -j ACCEPT

#Akceptujemy nowe poĹ‚aczenia tcp i udp na dozwolonych portach
#Polaczenia po 53 porcie dla DNS

iptables -A INPUT -p tcp --dport 53 -m state --state NEW -j ACCEPT
iptables -A INPUT -p udp --dport 53 -m state --state NEW -j ACCEPT

#Polaczenia po porcie 80 dla aktualizacji

iptables -A INPUT -p tcp --dport 80 -m state --state NEW -j ACCEPT
iptables -A INPUT -p udp --dport 80 -m state --state NEW -j ACCEPt

grzesiek · Post autor: **grzesiek** » 09 kwietnia 2010, 13:51

Kod: Zaznacz cały

iptables -A INPUT -i do -j ACCEPT

lo

Kod: Zaznacz cały

iptables -A INPUT -p tcp --dport 53 -m state --state NEW -j ACCEPT
iptables -A INPUT -p udp --dport 53 -m state --state NEW -j ACCEPT

Z tego co wiem to DNS nie używa połączeń TCP mimo, iż port 53/TCP jest na DNS zarezerwowany. Podczas działania zapory będziesz mógł spr. czy rzeczywiście tak jest ale warto byłoby tą regułę z udp na górę przenieść.

Aha, no i jeszcze jedno, nie definiując domyślnej polityki dla FORWARD ustawiona ona jest na ACCEPT.

czater · Post autor: **czater** » 13 kwietnia 2010, 08:34

Dziękuje za odpowiedź.