[Olug-list] dns og iptables
Nicolai Langfeldt
janl at linpro.no
Wed, 08 Oct 2008 20:18:14 +0200
J=C3=B8rn-T N. Gabrielsen wrote:
> Tusen takk for svar.
>=20
> Har ogs=C3=A5 i fw bl.a.
> $IPTABLES -A OUTPUT -s $EXTIP -d $UNIVERSE -j ACCEPT
Jeg lurer litt p=C3=A5 hva $EXTIP og $UNIVERSE er definert til.
> og
> $IPTABLES -A INPUT -s $UNIVERSE -d $EXTIP -m state --state
> ESTABLISHED,RELATED -j ACCEPT
State-regler m=C3=A5 ligge f=C3=B8rst (eller nesten f=C3=B8rst) i chainen=
e. Dessuten
er det helt sikkert galt =C3=A5 kvalifisere den med -s og -d.
Her er mine:
<to regler f=C3=B8r dette p=C3=A5 INPUT vedr. DHCP og spoof-sjekking>
iptables -A INPUT -m state --state INVALID --jump DROP
iptables -A INPUT -m state --state ESTABLISHED,RELATED --jump ACCEPT
iptables -A INPUT -m state --state NEW --jump new_fw
new_fw er definert slik:
iptables -N new_fw
<klipp>
iptables -A new_fw -i ! $OUT_IF -p tcp --dport domain --jump ACCEPT
iptables -A new_fw -i ! $OUT_IF -p udp --dport domain --jump ACCEPT
<klipp>
$OUT_IF er definert til eth0 som er utside-interfacet p=C3=A5 denne brann=
veggen.
Den siste reglen leses "Alle pakker som kommer fra insiden som skal til
domain (53) skal slippes ut"
Nicolai