Opa pessoal,
Estou querendo montar um firewall onde a politica padrão é DROP e na medidade que
for necessário eu libero as portas, porém tenho um servidor DNS na rede que consulta
outros servidores DNS externo, porém não funciona com a politica padrão DROP, alguém pode
me ajudar ?
Meu firewall está assim:
=======================================
#!/bin/sh
# Variaveis
IPTABLES="/usr/sbin/iptables"
REDEINT="192.168.0.0/24"
# Reconfigurando as rotas
/sbin/route add default ppp0
# Carregando modulos
/sbin/modprobe ipt_mac
# Fazendo o flushing no Firewall
$IPTABLES -F
$IPTABLES -Z
$IPTABLES -X
$IPTABLES -t nat -F
# Politicas
$IPTABLES -P INPUT DROP
$IPTABLES -P FORWARD DROP
$IPTABLES -P OUTPUT ACCEPT
# Habilitar o roteamento e demais coisas
echo "1" > /proc/sys/net/ipv4/ip_forward
echo "1" > /proc/sys/net/ipv4/icmp_echo_ignore_broadcasts
# Liberando o INPUT para a interface de loopback
$IPTABLES -A INPUT -p ALL -s 127.0.0.1 -i lo -j ACCEPT
$IPTABLES -A INPUT -p ALL -s 192.168.0.0/24 -i lo -j ACCEPT
# Toda conexao RELATED e ESTABLISHED com o meu firewall deve ser mantida
$IPTABLES -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
# Libero resposta de DNS para meu firewall
$IPTABLES -A INPUT -p udp -s 200.189.80.10 --sport 53 -j ACCEPT
$IPTABLES -A INPUT -p udp -s 200.246.46.132 --sport 53 -j ACCEPT
# LIbero DNS para meu Servidores internos
$IPTABLES -A FORWARD -p udp -s 192.168.0.1 -d 200.189.80.10 --dport 53 -j ACCEPT
$IPTABLES -A FORWARD -p udp -s 192.168.0.1 -d 200.246.46.132 --dport 53 -j ACCEPT
$IPTABLES -A FORWARD -p udp -s 200.189.80.10 -d 192.168.0.1 --dport 53 -j ACCEPT
$IPTABLES -A FORWARD -p udp -s 200.246.46.132 -d 192.168.0.1 --dport 53 -j ACCEPT
========================
Obrigado