<div>Caro Renato,</div>
<div> </div>
<div>Você utiliza troca de cache com outro servidor? Se você não utiliza, então a regra abaixo se faz desnecessária, pois o DNS só utiliza o protocolo TCP para troca de cache.</div>
<div> </div>
<div>$IPT -A INPUT -s 189.XX.XXX.X/20 -p tcp -m tcp --dport 53 -m state --state NEW,ESTABLISHED -j ACCEPT</div>
<div> </div>
<div>Nas regras abaixo você tem uma regra permitindo o acesso a rede 189.xxx.xxx.xxx/20 e outra logo em seguida liberando o acesso completo, com isso você anula a primeira regra.</div>
<div> </div>
<div>$IPT -A INPUT -s 189.XX.XXX.X/20 -p udp -m udp --dport 53 -m state --state NEW,ESTABLISHED -j ACCEPT</div>
<div>$IPT -A INPUT -p udp -m udp --sport 53 -m state --state NEW,ESTABLISHED -j ACCEPT</div>
<div> </div>
<div>Na chain OUTPUT você faz a mesma coisa.</div>
<div> </div>
<div> </div>
<div>Em relação aos problemas com o DNS, o legal é você integrar um IDS/IPS junto ao firewall, em outro servidor, rodando Inline e sempre mantendo-o atualizado.</div>
<div> </div>
<div>Eu sempre indico o Snort e o ACID para gerenciamento de logs e alertas</div>
<div> </div>
<div>-- <br>Renato Bezerra<br><br>LPIC1 - Linux Professional Institute Certified<br><br></div>
<div class="gmail_quote">2008/12/27 Renato de Oliveira Diogo <span dir="ltr"><<a href="mailto:renato.diogo@gmail.com">renato.diogo@gmail.com</a>></span><br>
<blockquote class="gmail_quote" style="PADDING-LEFT: 1ex; MARGIN: 0px 0px 0px 0.8ex; BORDER-LEFT: #ccc 1px solid">Senhores<br>bom dia<br><br>estou fazendo uma revisão nos meus firewall e estou com a seguinte dúvida.<br>Com o recente problema do protocolo DNS saiu alguns patchs para<br>
amenizar o problema. A questão que ficou confuso para mim é como<br>deveria montar as regras do IPTABLES para funcionar.<br><br>Atualmente estou trabalhando com as seguintes regras:<br><br>=======<br>$IPT -A INPUT -s 189.XX.XXX.X/20 -p udp -m udp --dport 53 -m state<br>
--state NEW,ESTABLISHED -j ACCEPT #DNS<br>$IPT -A INPUT -s 189.XX.XXX.X/20 -p tcp -m tcp --dport 53 -m state<br>--state NEW,ESTABLISHED -j ACCEPT #DNS<br>$IPT -A INPUT -p udp -m udp --sport 53 -m state --state<br>NEW,ESTABLISHED -j ACCEPT #DNS - Consulta roots<br>
$IPT -A INPUT -p tcp -m tcp --sport 53 -m state --state ESTABLISHED -j<br>ACCEPT #DNS - Conulsta roots<br><br>$IPT -A OUTPUT -d 189.XX.XXX.X/20 -p udp -m udp --sport 53 -m state<br>--state NEW,ESTABLISHED -j ACCEPT #DNS<br>
$IPT -A OUTPUT -d 189.XX.XXX.X/20 -p tcp -m tcp --sport 53 -m state<br>--state ESTABLISHED -j ACCEPT #DNS<br>$IPT -A OUTPUT -p udp -m udp --dport 53 -m state --state<br>NEW,ESTABLISHED -j ACCEPT #DNS - Consulta roots<br>
$IPT -A OUTPUT -p tcp -m tcp --dport 53 -m state --state<br>NEW,ESTABLISHED -j ACCEPT #DNS - Conulsta roots<br>======<br><br>[]s<br><br>________________________________________________<br>Renato de Oliveira Diogo<br>
<br>Bacharel em Ciência da Computação<br>UNESP - Bauru<br><br>LPIC1 - Linux Professional Institute Certification - Nível 1<br><br><a href="mailto:renato.diogo@gmail.com">renato.diogo@gmail.com</a><br><a href="mailto:renato.diogo@yahoo.com.br">renato.diogo@yahoo.com.br</a><br>
_______________________________________________<br>CentOS-pt-br mailing list<br><a href="mailto:CentOS-pt-br@centos.org">CentOS-pt-br@centos.org</a><br><a href="http://lists.centos.org/mailman/listinfo/centos-pt-br" target="_blank">http://lists.centos.org/mailman/listinfo/centos-pt-br</a><br>
</blockquote></div>