DNS e Iptables Não Funciona !!
Marcos Zara
iptables -A INPUT -p icmp --icmp-type echo-reply -m limit --limit 2/s -j ACCEPT
iptables -A INPUT -p udp --dport 53 -j ACCEPT
Rondineli Gama Saad
Como está as regras padrões do seu firewall? Tanto INPUT, FORWARD E
OUTPUT estão como DROP? Lembrando que esta regra que você definiu para o
DNS, você está dizendo que existe um servidor DNS respondendo no seu
firewall, acredito que não seja isso. O caminho que você quer fazer é:
ao digitar qualquer página (OUTPUT) seja respondido para você direto no
firewall. Ficaria mais ou menos assim:
quando a politica padrão está DROP para INPUT, FORWARD e OUTPUT
iptables -A INPUT -p udp --sport 53 -m state --state ESTABLISHED,RELATED
-j ACCEPT
iptables -A OUTPUT -p upd --dport 53 -j ACCEPT
quando a politica padrão está DROP para INPUT, FORWARD e ACCEPT para OUTPUT:
iptables -A INPUT -p udp --sport 53 -m state --state ESTABLISHED,RELATED
-j ACCEPT
Abraços
Marcos Zara wrote:
> Ola Amigos
>
> Estou com um problema, no meu script de firewall tenho o seguinte:
>
> Liberando Ping
> iptables -A INPUT -p icmp --icmp-type echo-request -m limit --limit
> 2/s -j ACCEPT
> iptables -A INPUT -p icmp --icmp-type echo-reply -m limit --limit 2/s
> -j ACCEPT
>
> Liberando DNS
> iptables -A INPUT -p tcp --dport 53 -j ACCEPT
> iptables -A INPUT -p udp --dport 53 -j ACCEPT
>
> Se eu dou um ping www.uol.com.br <http://www.uol.com.br> ele não
> retorna, mas se eu dou um ping *MailScanner warning: numerical links
> are often malicious:* 200.221.11.100 <http://200.221.11.100> ele
> retorna normal , ou seja o problema esta na resolução de nomes do DNS.
> Se eu mudar a regra de policiamento da Chain IMPUT para ACCEPT ae
> então o ping www.uol.com.br <http://www.uol.com.br> responde normal ,
> ou seja não é problema com meu servidor DNS.
> Portanto, o problema esta na regra de firewall!!
>
> Mas na regra de liberação de DNS acima, está correto, não está?? OU
> falta alguma coisa
>
> Obrigado
--
To UNSUBSCRIBE, email to debian-user-por...@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listm...@lists.debian.org
Marcos Zara
Rondineli Gama Saad
> Ola
>
> O erro que eu estava cometendo era o seguinte
>
> Eu estava colocando na chain INPUT a opção --dport 53 , ou seja porta
> de destino como a 53 e não a porta de origem !
> oque eu nao entendi é o seguinte
>
> Para resolução de nomes DNS, ele envia para o servidor na porta 53 ,
> mas vc nao sabe qual a porta que ele vai retornar.?? Seria isso? Por
> isso entao q tive q usar o Source-Port ao inves de Destination-Port ???
>
> Muito Obrigado! Realmente funcionou.
>
> Obrigado
>
>
>
> <mailto:rs...@gelre.com.br>> escreveu:
> often malicious:* 200.221.11.100 <http://200.221.11.100>
> <*MailScanner warning: numerical links are often malicious:*
> http://200.221.11.100> ele
> > retorna normal , ou seja o problema esta na resolução de nomes
> do DNS.
> > Se eu mudar a regra de policiamento da Chain IMPUT para ACCEPT ae
> > então o ping www.uol.com.br <http://www.uol.com.br>
> <http://www.uol.com.br> responde normal ,
> > ou seja não é problema com meu servidor DNS.
> > Portanto, o problema esta na regra de firewall!!
> >
> > Mas na regra de liberação de DNS acima, está correto, não está?? OU
> > falta alguma coisa
> >
> > Obrigado
>
>
> --
> To UNSUBSCRIBE, email to
> debian-user-por...@lists.debian.org
> with a subject of "unsubscribe". Trouble? Contact
>
>
Olá Marcos,
Funciona da seguinte forma, todos os pacotes udp ao ser enviado não
retorna com uma confirmação, pois o protocolo udp não é orientado a
conexão. Quando você fez a requisição para abrir uma pagina qualquer ele
só mandou a requisição, ele não vai pedir uma confirmação que seria um
retorno em uma porta alta. O que aconteceu no seu erro foi que ao inves
de pedir a resolução externa, vc definiu que quem estaria escutando na
porta 53 seria seu servidor. Porque eu coloquei o estado de ESTABLISHED
e RELATED na chain INPUT, pq simplismente neste caso pacotes para a
porta 53 só seria formados pelo seu firewall (de dentro para fora),
enquanto que pacotes vindo da internet para o seu firewall só seriam
resposta das suas conexões solicitadas.
Para você visualizar como funciona, instale o tcpdump e execute o comando:
tcpdump -i eth0 (interface externa) dst port 53
Abraços
Rondineli Saad
Miguel Da Silva - Centro de Matemática
> Ola
>
> O erro que eu estava cometendo era o seguinte
>
> Eu estava colocando na chain INPUT a opção --dport 53 , ou seja porta de
> destino como a 53 e não a porta de origem !
> oque eu nao entendi é o seguinte
>
> Para resolução de nomes DNS, ele envia para o servidor na porta 53 , mas
> vc nao sabe qual a porta que ele vai retornar.?? Seria isso? Por isso
> entao q tive q usar o Source-Port ao inves de Destination-Port ???
>
> Muito Obrigado! Realmente funcionou.
>
> Obrigado
É que sempre é assim com o protocolo TCP. Abre o iptraf e acessa algumas
páginas web. Caso não haja alguma configuração especial nos servidores
correspondentes, você verá alguma coisa deste tipo (aqui é com a web do
Google):
a.b.c.d:32865
74.125.47.147:80
Aí dá para ver que a porta destino é 80 e a parte de origem é a 32865.
O mesmo vai acontecer com SMTP, DNS, NTP, etc, etc.
Até.
--
Miguel Da Silva
Administrador de Red
Centro de Matemática - http://www.cmat.edu.uy
Facultad de Ciencias - http://www.fcien.edu.uy
Universidad de la República - http://www.rau.edu.uy