Regras de Firewall para Servidores DNS Recursivo
Amigos,
Montei um servidor DNS recursivo e observei no site do cert.br, que é recomendado utilizar um firewall para auxiliar na segurança do servidor.
Porém, estou com dúvidas quanto as regras a serem utilizadas.
Vejam o que fala o site do cert.br:
Permissão para o servidor recursivo consultar servidores DNS externos e receber as respostas:
Permitir tráfego originado do servidor recursivo com destino às portas 53/UDP e 53/TCP de qualquer máquina, permitindo também o retorno das respostas. Nesse caso a melhor solução é a utilização de um firewall stateful.
Fechar tudo e permitir apenas a saída as portas 53 dos servidores externos é tranquilo, mas e o retorno desses pacotes, uma vez que a política default do firewall vai ser DROP. Vou fehcar com uma INPUT DROP.
Aqui fala que a solução seria um firewall stateful. Como fazer isso?
Aguardo comentários dos amigos.
Re: Regras de Firewall para Servidores DNS Recursivo
Eu faço isto isto fecho tudo e permito somente receber informações do ntp e destinado s ao dns (53) e respondo as requisões dns.
Como no caso do recursivo vc define as redes que terão acesso ao serviço, automaticamente drop nas solicitações advindas de redes que não sejam as minhas.
Re: Regras de Firewall para Servidores DNS Recursivo
Pessoal, meu problema está aqui:
Permitir tráfego originado do servidor recursivo com destino às portas 53/UDP e 53/TCP de qualquer máquina, permitindo também o retorno das respostas
Permitir somente saída dos pacotes para as portas 53 é tranquilo, mas e o retorno, se o firewall vai ter política default DROP.
Alguém consegue me ajudar?
Grato.
Re: Regras de Firewall para Servidores DNS Recursivo
Meu amigo para você utilizar a função statefull do iptables você pode fazer a seguinte regra:
Citação:
iptables -t FILTER -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
Isso vai fazer o seguinte: qualquer conexão que tiver destino o servidor (seu dns no caso), caso ela esteja relacionada ou seja uma conexão estabelecida (ou uma resposta, podemos entender assim a resposta de uma requisição), permita este trafego. O que garante a função statefull ai é o modulo "state".
Eu usava muito esta regra para diminuir a quantidade de regras que precisariam ser feitas em um firewall para compartilhar internet por exemplo...
Espero que ajude!
Abraços
Re: Regras de Firewall para Servidores DNS Recursivo
André,
Mas essa regra não vai permitir qualquer acesso ao firewall, pois INPUT está ACCEPT.
Grato.