duvida liberar DNS

[beowulf]

Bom dia,

Pessoal estou com o seguinte problema, eu tenho um firewall e nele eu tenho o servico de DNS (com tres dominios hospedados), as minhas politicas de INPUT E FORWARD sao DROP e OUTPUT ACCEPT estou usando essa regra para liberar a consulta de DNS:

iptables -A INPUT -p udp --dport 53 -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A INPUT -p tcp --dport 53 -m state --state ESTABLISHED,RELATED -j ACCEPT

so que so esta funcionando para um host os outros 2 nao estao funcionando.

Se eu colocar as regras INPUT e FORWARD como ACCEPT os tres host funcionam legal.

Alguem sabe como eu posso resolver isso?


Grato

[lucianogf]

você precisa liberar a entrada de conexões novas.

[beowulf]

como eu faco isso? como eu procuro isso?

[beowulf]

Seria isso?


iptables -A INPUT -p udp --dport 53 -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT
iptables -A INPUT -p tcp --dport 53 -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT

[alexandrecorrea]

pq nao assim

Código :

iptables -t filter -A INPUT -p udp --dport 53 -j ACCEPT
iptables -t filter -A INPUT -p tcp --dport 53 -j ACCEPT

[GrayFox]

Com o state voce consegue controlar inicio de pedido no protocolo udp?
O protocolo udp nao tem nenhuma flag que diz se é inicio, fim, aceitação como tem no tcp...

[alexandrecorrea]

exato.. tem essa do udp tambem que nao tem controle de conexao !! bem lembrado :P

[beowulf]

pq nao assim

Código :

iptables -t filter -A INPUT -p udp --dport 53 -j ACCEPT
iptables -t filter -A INPUT -p tcp --dport 53 -j ACCEPT

No comeco do meu firewall estou usando essas regras de conexao antes de liberar qualquer coisa:

iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A OUTPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT

Essa dica que voce passou, deve funcionar neste caso?


Grato

[lucianogf]

sim! vai funcionar, pois está liberando a entrada de qualquer pacote TCP ou UDP na porta 53

[beowulf]

sim! vai funcionar, pois está liberando a entrada de qualquer pacote TCP ou UDP na porta 53

Oi eu testei e nao funcionou.... o que funcionou foi:

iptables -A INPUT -p udp --dport 53 -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT
iptables -A INPUT -p tcp --dport 53 -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT


Esta correto liberar as consultas de DNS dessa forma?

[lucianogf]

dessa forma também está correto, isso vai depender de cada firewall..

mas a forma passada anteriormente deveria ter funcionado.

[Patrick]

eu uso assim e sempre funcionou...

iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
iptables -A INPUT -m state --state NEW -p tcp --dport 53 -j ACCEPT
iptables -A INPUT -p udp --dport 53 -j ACCEPT

[alexandrecorrea]

Patrick, baseado em suas regras, mais facil colocar somente esta:

iptables -A INPUT -p udp --dport 53 -j ACCEPT


ja que ta aceitando tudo no "final" das 3 regras... (dai evita processamento desnecessario) .. ja que a terceira regra aceita TUDO na porta 53.. pra que filtrar usando as 2 primeiras..

[Patrick]

Patrick, baseado em suas regras, mais facil colocar somente esta:

iptables -A INPUT -p udp --dport 53 -j ACCEPT


ja que ta aceitando tudo no "final" das 3 regras... (dai evita processamento desnecessario) .. ja que a terceira regra aceita TUDO na porta 53.. pra que filtrar usando as 2 primeiras..

como assim aceitando tudo? essa regra que voce colocou aí só libera a porta 53 no protocolo UDP...

essas regras sao apenas para permitir DNS
é logico que a primeira regra permite qualquer pacote de conexao relacionada ou já estabelecida, mas isso é padrao para todo firewall neh :-)

e eu tb só coloquei as regras que fazem a entrada de pacotes para o DNS funcionar, logico que em um firewall completo varias outras regras (tanto antes como depois) dessas 3 regras devem ser aplicadas...

[GrayFox]

eu uso assim e sempre funcionou...

iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
iptables -A INPUT -m state --state NEW -p tcp --dport 53 -j ACCEPT
iptables -A INPUT -p udp --dport 53 -j ACCEPT

A sua primeira regra define como irá funcionar os pacotes TCP ( udp nao está incluso porque não é orientado a conexão).
A segunda nao serve para nada porque o dns funciona no protocolo UDP.
Então, a terceira somente seria válida para a liberacao do dns no firewall.

Saudações,

[Patrick]

A sua primeira regra define como irá funcionar os pacotes TCP ( udp nao está incluso porque não é orientado a conexão).
A segunda nao serve para nada porque o dns funciona no protocolo UDP.
Então, a terceira somente seria válida para a liberacao do dns no firewall.

Saudações,

concordo com o que voce disse sobre a primeira regra
sobre a segunda regra, ela serve sim, pq a transferencia de zonas é feita atraves do protocolo TCP se nao me engano.
e a terceira regra só pode ser feita dessa forma pelo que eu saiba. (mas é claro que voce pode adicionar origem/destino/interface)

[]'s

[alexandrecorrea]

o tudo q eu disse.. se referia a porta 53 ... como o grayfox disse.. as 2 primeiras regras nao servem para NADA

porque se o pacote vier invalido.. ele vai ser aceito pela terceira regra de todo jeito.. ou seja.. o pacote vai passar..

[Patrick]

o tudo q eu disse.. se referia a porta 53 ... como o grayfox disse.. as 2 primeiras regras nao servem para NADA

porque se o pacote vier invalido.. ele vai ser aceito pela terceira regra de todo jeito.. ou seja.. o pacote vai passar..

tudo bem, se o pacote vier invalido ele vai passar se for udp... ok
mas as 2 primeiras regras servem sim para liberar o trafego no protocolo TCP, DNS tb usa TCP!