[Olug-list] dns og iptables
Jørn Gabrielsen
jorn at noding.com
Wed, 08 Oct 2008 19:09:22 +0200
Hei.
Tidligere har jeg kjørt bind med optionen
query-source address IP port 53;
men nå, pga sikerhet(shull) skal den være
port *;
som gir en tilfeldig port for hver spørring.
Problemet mitt blir da; hvilken iptable regel skal jeg legge inn? Har pr
idag:
$IPTABLES -A INPUT -s $UNIVERSE -d $EXTIP -p tcp --dport 53 -j ACCEPT
$IPTABLES -A INPUT -s $UNIVERSE -d $EXTIP -p udp --dport 53 -j ACCEPT
men når jeg bytter ifra port 53 til random query port i named.conf
slutter rekursive spørringer mot bind å virke.
Må jeg åpne opp for udp i iptables for alle porter og vil det i praksis
gi bedre sikkerhet enn å kjøre bind sine spørringer på fast port 53?
Jørn
PS Bruker ikke noe NAT/maskerade, maskinen er direkte koplet til nettet.