Página 1 de 2 12 ÚltimoÚltimo
+ Responder ao Tópico



  1. Amigos,

    Montei um servidor DNS recursivo e observei no site do cert.br, que é recomendado utilizar um firewall para auxiliar na segurança do servidor.
    Porém, estou com dúvidas quanto as regras a serem utilizadas.

    Vejam o que fala o site do cert.br:

    Permissão para o servidor recursivo consultar servidores DNS externos e receber as respostas:
    Permitir tráfego originado do servidor recursivo com destino às portas 53/UDP e 53/TCP de qualquer máquina, permitindo também o retorno das respostas. Nesse caso a melhor solução é a utilização de um firewall stateful.


    Fechar tudo e permitir apenas a saída as portas 53 dos servidores externos é tranquilo, mas e o retorno desses pacotes, uma vez que a política default do firewall vai ser DROP. Vou fehcar com uma INPUT DROP.

    Aqui fala que a solução seria um firewall stateful. Como fazer isso?

    Aguardo comentários dos amigos.

  2. Eu faço isto isto fecho tudo e permito somente receber informações do ntp e destinado s ao dns (53) e respondo as requisões dns.

    Como no caso do recursivo vc define as redes que terão acesso ao serviço, automaticamente drop nas solicitações advindas de redes que não sejam as minhas.



  3. Pessoal, meu problema está aqui:

    Permitir tráfego originado do servidor recursivo com destino às portas 53/UDP e 53/TCP de qualquer máquina, permitindo também o retorno das respostas

    Permitir somente saída dos pacotes para as portas 53 é tranquilo, mas e o retorno, se o firewall vai ter política default DROP.

    Alguém consegue me ajudar?

    Grato.

  4. Meu amigo para você utilizar a função statefull do iptables você pode fazer a seguinte regra:

    iptables -t FILTER -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
    Isso vai fazer o seguinte: qualquer conexão que tiver destino o servidor (seu dns no caso), caso ela esteja relacionada ou seja uma conexão estabelecida (ou uma resposta, podemos entender assim a resposta de uma requisição), permita este trafego. O que garante a função statefull ai é o modulo "state".

    Eu usava muito esta regra para diminuir a quantidade de regras que precisariam ser feitas em um firewall para compartilhar internet por exemplo...

    Espero que ajude!

    Abraços



  5. André,

    Mas essa regra não vai permitir qualquer acesso ao firewall, pois INPUT está ACCEPT.

    Grato.






Tópicos Similares

  1. Respostas: 3
    Último Post: 29-04-2010, 12:32
  2. Respostas: 3
    Último Post: 30-03-2009, 20:01
  3. Regras de Firewall para permiitir acesso
    Por cvr no fórum Servidores de Rede
    Respostas: 1
    Último Post: 16-10-2006, 17:42
  4. Regras de Iptables para servidor Web
    Por Lituano no fórum Servidores de Rede
    Respostas: 4
    Último Post: 03-06-2004, 14:25
  5. Respostas: 3
    Último Post: 27-03-2003, 12:17

Visite: BR-Linux ·  VivaOLinux ·  Dicas-L