+ Responder ao Tópico



  1. #1

    Padrão duvida liberar DNS

    Bom dia,

    Pessoal estou com o seguinte problema, eu tenho um firewall e nele eu tenho o servico de DNS (com tres dominios hospedados), as minhas politicas de INPUT E FORWARD sao DROP e OUTPUT ACCEPT estou usando essa regra para liberar a consulta de DNS:

    iptables -A INPUT -p udp --dport 53 -m state --state ESTABLISHED,RELATED -j ACCEPT
    iptables -A INPUT -p tcp --dport 53 -m state --state ESTABLISHED,RELATED -j ACCEPT

    so que so esta funcionando para um host os outros 2 nao estao funcionando.

    Se eu colocar as regras INPUT e FORWARD como ACCEPT os tres host funcionam legal.

    Alguem sabe como eu posso resolver isso?


    Grato

  2. #2

    Padrão

    você precisa liberar a entrada de conexões novas.



  3. #3

    Padrão

    como eu faco isso? como eu procuro isso?

  4. #4

    Padrão

    Seria isso?


    iptables -A INPUT -p udp --dport 53 -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT
    iptables -A INPUT -p tcp --dport 53 -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT



  5. #5

    Padrão

    pq nao assim
    Código :
    iptables -t filter -A INPUT -p udp --dport 53 -j ACCEPT
    iptables -t filter -A INPUT -p tcp --dport 53 -j ACCEPT

  6. #6

    Padrão

    Com o state voce consegue controlar inicio de pedido no protocolo udp?
    O protocolo udp nao tem nenhuma flag que diz se é inicio, fim, aceitação como tem no tcp...



  7. #7

    Padrão

    exato.. tem essa do udp tambem que nao tem controle de conexao !! bem lembrado :P

  8. #8

    Padrão

    Citação Postado originalmente por alexandrecorrea Ver Post
    pq nao assim
    Código :
    iptables -t filter -A INPUT -p udp --dport 53 -j ACCEPT
    iptables -t filter -A INPUT -p tcp --dport 53 -j ACCEPT

    No comeco do meu firewall estou usando essas regras de conexao antes de liberar qualquer coisa:

    iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
    iptables -A OUTPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
    iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT


    Essa dica que voce passou, deve funcionar neste caso?


    Grato



  9. #9

    Padrão

    sim! vai funcionar, pois está liberando a entrada de qualquer pacote TCP ou UDP na porta 53

  10. #10

    Padrão

    Citação Postado originalmente por lucianogf Ver Post
    sim! vai funcionar, pois está liberando a entrada de qualquer pacote TCP ou UDP na porta 53

    Oi eu testei e nao funcionou.... o que funcionou foi:

    iptables -A INPUT -p udp --dport 53 -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT
    iptables -A INPUT -p tcp --dport 53 -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT



    Esta correto liberar as consultas de DNS dessa forma?



  11. #11

    Padrão

    dessa forma também está correto, isso vai depender de cada firewall..

    mas a forma passada anteriormente deveria ter funcionado.

  12. #12

    Padrão

    eu uso assim e sempre funcionou...

    iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
    iptables -A INPUT -m state --state NEW -p tcp --dport 53 -j ACCEPT
    iptables -A INPUT -p udp --dport 53 -j ACCEPT



  13. #13

    Padrão

    Patrick, baseado em suas regras, mais facil colocar somente esta:

    iptables -A INPUT -p udp --dport 53 -j ACCEPT


    ja que ta aceitando tudo no "final" das 3 regras... (dai evita processamento desnecessario) .. ja que a terceira regra aceita TUDO na porta 53.. pra que filtrar usando as 2 primeiras..

  14. #14

    Padrão

    Citação Postado originalmente por alexandrecorrea Ver Post
    Patrick, baseado em suas regras, mais facil colocar somente esta:

    iptables -A INPUT -p udp --dport 53 -j ACCEPT


    ja que ta aceitando tudo no "final" das 3 regras... (dai evita processamento desnecessario) .. ja que a terceira regra aceita TUDO na porta 53.. pra que filtrar usando as 2 primeiras..
    como assim aceitando tudo? essa regra que voce colocou aí só libera a porta 53 no protocolo UDP...

    essas regras sao apenas para permitir DNS
    é logico que a primeira regra permite qualquer pacote de conexao relacionada ou já estabelecida, mas isso é padrao para todo firewall neh :-)

    e eu tb só coloquei as regras que fazem a entrada de pacotes para o DNS funcionar, logico que em um firewall completo varias outras regras (tanto antes como depois) dessas 3 regras devem ser aplicadas...



  15. #15

    Padrão

    Citação Postado originalmente por Patrick Ver Post
    eu uso assim e sempre funcionou...

    iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
    iptables -A INPUT -m state --state NEW -p tcp --dport 53 -j ACCEPT
    iptables -A INPUT -p udp --dport 53 -j ACCEPT
    A sua primeira regra define como irá funcionar os pacotes TCP ( udp nao está incluso porque não é orientado a conexão).
    A segunda nao serve para nada porque o dns funciona no protocolo UDP.
    Então, a terceira somente seria válida para a liberacao do dns no firewall.

    Saudações,

  16. #16

    Padrão

    Citação Postado originalmente por GrayFox Ver Post
    A sua primeira regra define como irá funcionar os pacotes TCP ( udp nao está incluso porque não é orientado a conexão).
    A segunda nao serve para nada porque o dns funciona no protocolo UDP.
    Então, a terceira somente seria válida para a liberacao do dns no firewall.

    Saudações,
    concordo com o que voce disse sobre a primeira regra
    sobre a segunda regra, ela serve sim, pq a transferencia de zonas é feita atraves do protocolo TCP se nao me engano.
    e a terceira regra só pode ser feita dessa forma pelo que eu saiba. (mas é claro que voce pode adicionar origem/destino/interface)

    []'s



  17. #17

    Padrão

    o tudo q eu disse.. se referia a porta 53 ... como o grayfox disse.. as 2 primeiras regras nao servem para NADA

    porque se o pacote vier invalido.. ele vai ser aceito pela terceira regra de todo jeito.. ou seja.. o pacote vai passar..

  18. #18

    Padrão

    Citação Postado originalmente por alexandrecorrea Ver Post
    o tudo q eu disse.. se referia a porta 53 ... como o grayfox disse.. as 2 primeiras regras nao servem para NADA

    porque se o pacote vier invalido.. ele vai ser aceito pela terceira regra de todo jeito.. ou seja.. o pacote vai passar..
    tudo bem, se o pacote vier invalido ele vai passar se for udp... ok
    mas as 2 primeiras regras servem sim para liberar o trafego no protocolo TCP, DNS tb usa TCP!