Regla de Iptables para DNS
adriancito
Estoy leyendo sobre iptables y temas relacionados, y entre otras cosas
vi el hecho de aceptar cierto tráfico si su estado es ESTABLISHED o
RELATED, lo cual es muy interesante.
La consulta es la siguiente:
Es correcto tener para los dns:
iptables -A INPUT -s $ANYRED -i $EXT_IF -p udp -m udp --sport 53 --dport
1024:65535 -j ACCEPT
o
iptables -A INPUT -m state --state ESTABLISHED,RELATED -s $ANYRED -i
$EXT_IF -p udp -m udp --sport 53 --dport 1024:65535 -j ACCEPT
Muchas Gracias.
Salu2.
--
To UNSUBSCRIBE, email to debian-user-s...@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listm...@lists.debian.org
Manolo Díaz
adriancito <adrian...@gmail.com> escribió:
> Buenas Lista.
>
> Estoy leyendo sobre iptables y temas relacionados, y entre otras
> cosas vi el hecho de aceptar cierto tráfico si su estado es
> ESTABLISHED o RELATED, lo cual es muy interesante.
>
> La consulta es la siguiente:
>
> Es correcto tener para los dns:
>
> iptables -A INPUT -s $ANYRED -i $EXT_IF -p udp -m udp --sport 53
> --dport 1024:65535 -j ACCEPT
>
> o
>
> iptables -A INPUT -m state --state ESTABLISHED,RELATED -s $ANYRED -i
> $EXT_IF -p udp -m udp --sport 53 --dport 1024:65535 -j ACCEPT
>
> Muchas Gracias.
>
> Salu2.
>
>
Creo que podrías ser incluso más restrictivo:
iptables -A INPUT -m state --state ESTABLISHED -s $ANYRED -i \
$EXT_IF -p udp -m udp --sport 53 --dport 1024:65535 -j ACCEPT
e incluso más:
iptables -A INPUT -m state --state ESTABLISHED -s $ANYRED -i \
$EXT_IF -p udp -m udp --sport 53 --dport 32768:65535 -j ACCEPT
En mis curiosas incursiones con wireshark jamás he visto una aplicación
no privilegiada intentar una conexión desde un puerto inferior al 32768
en linux.
De todas formas comprueba que no te impide la resolución de nombres con
herramientas como dig, host, nslookup o cualquier otra similar que pueda
haber.
Saludos y suerte
--
Manolo Díaz