[Olug-list] dns og iptables
Nicolai Langfeldt
janl at linpro.no
Wed, 08 Oct 2008 19:18:53 +0200
J=C3=B8rn Gabrielsen wrote:
> Hei.
>=20
> Tidligere har jeg kj=C3=B8rt bind med optionen
> query-source address IP port 53;
> men n=C3=A5, pga sikerhet(shull) skal den v=C3=A6re
> port *;
> som gir en tilfeldig port for hver sp=C3=B8rring.
>=20
> Problemet mitt blir da; hvilken iptable regel skal jeg legge inn? Har p=
r
> idag:
> $IPTABLES -A INPUT -s $UNIVERSE -d $EXTIP -p tcp --dport 53 -j ACCEPT
> $IPTABLES -A INPUT -s $UNIVERSE -d $EXTIP -p udp --dport 53 -j ACCEPT
DNS queries g=C3=A5r alltid _til_ port 53 fra random source port - har v=C3=
=A6rt
vanlig og anbefalt praksis siden bind 8 mener jeg.
Reglene du viser over tillater ganske riktig DNS trafikk _til_ port 53
tcp eller udp. Men du tillater ikke svarene som kommer fra port 53 til
samme random port som query kommer fra - hvis ikke du har en statefull
brannvegg med regler du ikke viser.
Hvis brannveggen ikke er statefull m=C3=A5 du ogs=C3=A5 tillate all trafi=
kk fra
port 53, tcp og udp.
Nicolai