+ Responder ao Tópico



  1. #1

    Padrão IPTables - Problema com politica padrão DROP

    Pessoal,

    To querendo colocar como padrao o INPUT, FORWARD e POSTROUTING para DROP. Porém quando faço isso, as maquina da rede interna não conseguem mais resolver DNS, que é externo.

    Assim não resolve DNS, funciona o SSH e Proxy.
    $IPT -t filter -P INPUT DROP
    $IPT -t filter -P OUTPUT ACCEPT
    $IPT -t filter -P FORWARD DROP
    $IPT -t nat -P PREROUTING ACCEPT
    $IPT -t nat -P POSTROUTING DROP
    $IPT -t nat -P OUTPUT ACCEPT
    $IPT -t mangle -P PREROUTING ACCEPT
    $IPT -t mangle -P OUTPUT ACCEPT

    $IPT -t filter -A INPUT -i lo -j ACCEPT
    $IPT -t filter -A INPUT -s $NET_INT -i $IF_INT -j ACCEPT
    $IPT -t filter -A INPUT -i $IF_INT -p tcp --dport 22 -j ACCEPT #SSH
    $IPT -t filter -A INPUT -i $IF_INT -p tcp --dport 3128 -j ACCEPT #Proxy

    $IPT -A FORWARD -m state --state ESTABLISHED,RELATED -i $IF_EXT -o $IF_INT -j ACCEPT
    $IPT -A FORWARD -m state --state NEW,ESTABLISHED,RELATED -i $IF_INT -o $IF_EXT -j ACCEPT

    $IPT -t nat -A POSTROUTING -s $NET_INT -o $IF_EXT -p tcp --dport 53 -j MASQUERADE #DNS
    $IPT -t nat -A POSTROUTING -s $NET_INT -o $IF_EXT -p udp --dport 53 -j MASQUERADE #DNS
    Se eu coloco:
    $IPT -t filter -P INPUT ACCEPT
    $IPT -t filter -P OUTPUT ACCEPT
    $IPT -t filter -P FORWARD ACCEPT
    $IPT -t nat -P PREROUTING ACCEPT
    $IPT -t nat -P POSTROUTING ACCEPT
    $IPT -t nat -P OUTPUT ACCEPT
    $IPT -t mangle -P PREROUTING ACCEPT
    $IPT -t mangle -P OUTPUT ACCEPT
    Ai o DNS funciona.

    Help!
    Sei que é algo besta, mais to apanhando.

    [...]'s

    NightMare

  2. #2

    Padrão

    Aproveitando, alguem sabe me dizer se tem como acompanhar em tempo real o processamento das regras do IPTABLES. Acho que isso iria ajudar bastante achar erro nas regras.
    Tipo assim, quando entra um pacote, ver por onde ele ta passando ou não.



  3. #3

    Padrão DA sim vamos la

    Acompanhando rule em tempo real:
    watch -d -n1 "iptables -L FORWARD -vn"

    Suas regras tem que permitir acesso de entrada e saida e forward para o pacote 53 tcp e udp.

    Seu firewall esta montado de uma forma stateless.

    Dica carregue o bind localmente servindo de dns somente para sua rede alem de agilizar as pesquisas evita cache poising que evita várias dores de cabeça.

    Qualquer coisa posta ai abraço