Regras de Firewall para Servidores DNS Recursivo

[flaviobatistela]

Amigos,

Montei um servidor DNS recursivo e observei no site do cert.br, que é recomendado utilizar um firewall para auxiliar na segurança do servidor.
Porém, estou com dúvidas quanto as regras a serem utilizadas.

Vejam o que fala o site do cert.br:

Permissão para o servidor recursivo consultar servidores DNS externos e receber as respostas:
Permitir tráfego originado do servidor recursivo com destino às portas 53/UDP e 53/TCP de qualquer máquina, permitindo também o retorno das respostas. Nesse caso a melhor solução é a utilização de um firewall stateful.

Fechar tudo e permitir apenas a saída as portas 53 dos servidores externos é tranquilo, mas e o retorno desses pacotes, uma vez que a política default do firewall vai ser DROP. Vou fehcar com uma INPUT DROP.

Aqui fala que a solução seria um firewall stateful. Como fazer isso?

Aguardo comentários dos amigos.

[herlon2008]

Eu faço isto isto fecho tudo e permito somente receber informações do ntp e destinado s ao dns (53) e respondo as requisões dns.

Como no caso do recursivo vc define as redes que terão acesso ao serviço, automaticamente drop nas solicitações advindas de redes que não sejam as minhas.

[flaviobatistela]

Pessoal, meu problema está aqui:

Permitir tráfego originado do servidor recursivo com destino às portas 53/UDP e 53/TCP de qualquer máquina, permitindo também o retorno das respostas

Permitir somente saída dos pacotes para as portas 53 é tranquilo, mas e o retorno, se o firewall vai ter política default DROP.

Alguém consegue me ajudar?

Grato.

[zenun]

Meu amigo para você utilizar a função statefull do iptables você pode fazer a seguinte regra:

iptables -t FILTER -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT

Isso vai fazer o seguinte: qualquer conexão que tiver destino o servidor (seu dns no caso), caso ela esteja relacionada ou seja uma conexão estabelecida (ou uma resposta, podemos entender assim a resposta de uma requisição), permita este trafego. O que garante a função statefull ai é o modulo "state".

Eu usava muito esta regra para diminuir a quantidade de regras que precisariam ser feitas em um firewall para compartilhar internet por exemplo...

Espero que ajude!

Abraços

[flaviobatistela]

André,

Mas essa regra não vai permitir qualquer acesso ao firewall, pois INPUT está ACCEPT.

Grato.

[zenun]

Olá amigo,

Com esta regra isso não vai acontecer pois estou trabalhando com um módulo do iptables que verifica o estado do pacote. Esta regra diz que somente os pacotes de conexões já estabelecidas, ou seja, ESTABLISHED ou RELATED, terão acesso, as novas (NEW) não... Para permitir conexões novas nesta regra você precisaria colocar o NEW ali....