Quando eu configuro o bind, também coloco este parâmetro justamente para evitar este tipo de problema, e desculpa pelas regras, realmente quando escrevi estava desatento e não verifiquei o sport e o dport.<br><br>Em relação a troca de cache, eu não conheço nenhum tutorial ou artigo não, mas posso procurar e te mandar depois.<br>
<br><div class="gmail_quote">2008/12/29 Renato de Oliveira Diogo <span dir="ltr"><<a href="mailto:renato.diogo@gmail.com">renato.diogo@gmail.com</a>></span><br><blockquote class="gmail_quote" style="border-left: 1px solid rgb(204, 204, 204); margin: 0pt 0pt 0pt 0.8ex; padding-left: 1ex;">
Opa Renato<br>
<br>
então, em relação à primeira regra que voce comentou eu não troco<br>
cache com outro servidor, porém esta se fez necessário em função do<br>
meu servidor de e-mail. Quando ele faz consulta de MX e este tem<br>
muitos registros (estoura os 514bytes do UDP) então usa o TCP.<br>
Em relação a troca de cache com outro servidor, conhece alguma<br>
documentação para eu ler melhor sobre isso?<br>
<br>
Em relação a essas duas, na verdade é uma liberação para a minha rede<br>
fazer consulta (o bloco 189.xxx...) e outra para o próprio servidor<br>
fazer consulta recursiva, a diferenã são o "dport" e "sport".<br>
<div class="Ih2E3d"><br>
> $IPT -A INPUT -s 189.XX.XXX.X/20 -p udp -m udp --dport 53 -m state --state<br>
> NEW,ESTABLISHED -j ACCEPT<br>
> $IPT -A INPUT -p udp -m udp --sport 53 -m state --state NEW,ESTABLISHED -j<br>
> ACCEPT<br>
<br>
</div>Em relação ao DNS, na verdade o problema que me referi o ataque<br>
poisoning, em relação à mudança de regras para este, e não que eu<br>
tenha percebido um ataque a isto. Mas estava estudando melhor a<br>
documentação do bind, e que entendi é que quando se coloca "port *"<br>
este usa uma porta alta randomicamente para ele fazer a consulta<br>
recursiva e não a 53 como era de padrão, e vi que as regras que<br>
coloquei estão corretas pois já preve isso.<br>
<br>
Vlw pela atenção<br>
<div class="Ih2E3d"><br>
[]s<br>
________________________________________________<br>
Renato de Oliveira Diogo<br>
<br>
Bacharel em Ciência da Computação<br>
UNESP - Bauru<br>
<br>
LPIC1 - Linux Professional Institute Certification - Nível 1<br>
<br>
<a href="mailto:renato.diogo@gmail.com">renato.diogo@gmail.com</a><br>
<a href="mailto:renato.diogo@yahoo.com.br">renato.diogo@yahoo.com.br</a><br>
<br>
<br>
<br>
</div>2008/12/27 Renato Bezerra <<a href="mailto:smkrenato@centosbr.org">smkrenato@centosbr.org</a>>:<br>
<div><div></div><div class="Wj3C7c">> Caro Renato,<br>
><br>
> Você utiliza troca de cache com outro servidor? Se você não utiliza, então a<br>
> regra abaixo se faz desnecessária, pois o DNS só utiliza o protocolo TCP<br>
> para troca de cache.<br>
><br>
> $IPT -A INPUT -s 189.XX.XXX.X/20 -p tcp -m tcp --dport 53 -m state --state<br>
> NEW,ESTABLISHED -j ACCEPT<br>
><br>
> Nas regras abaixo você tem uma regra permitindo o acesso a rede<br>
> 189.xxx.xxx.xxx/20 e outra logo em seguida liberando o acesso completo, com<br>
> isso você anula a primeira regra.<br>
><br>
> $IPT -A INPUT -s 189.XX.XXX.X/20 -p udp -m udp --dport 53 -m state --state<br>
> NEW,ESTABLISHED -j ACCEPT<br>
> $IPT -A INPUT -p udp -m udp --sport 53 -m state --state NEW,ESTABLISHED -j<br>
> ACCEPT<br>
><br>
> Na chain OUTPUT você faz a mesma coisa.<br>
><br>
><br>
> Em relação aos problemas com o DNS, o legal é você integrar um IDS/IPS junto<br>
> ao firewall, em outro servidor, rodando Inline e sempre mantendo-o<br>
> atualizado.<br>
><br>
> Eu sempre indico o Snort e o ACID para gerenciamento de logs e alertas<br>
><br>
> --<br>
> Renato Bezerra<br>
><br>
> LPIC1 - Linux Professional Institute Certified<br>
><br>
> 2008/12/27 Renato de Oliveira Diogo <<a href="mailto:renato.diogo@gmail.com">renato.diogo@gmail.com</a>><br>
>><br>
>> Senhores<br>
>> bom dia<br>
>><br>
>> estou fazendo uma revisão nos meus firewall e estou com a seguinte dúvida.<br>
>> Com o recente problema do protocolo DNS saiu alguns patchs para<br>
>> amenizar o problema. A questão que ficou confuso para mim é como<br>
>> deveria montar as regras do IPTABLES para funcionar.<br>
>><br>
>> Atualmente estou trabalhando com as seguintes regras:<br>
>><br>
>> =======<br>
>> $IPT -A INPUT -s 189.XX.XXX.X/20 -p udp -m udp --dport 53 -m state<br>
>> --state NEW,ESTABLISHED -j ACCEPT #DNS<br>
>> $IPT -A INPUT -s 189.XX.XXX.X/20 -p tcp -m tcp --dport 53 -m state<br>
>> --state NEW,ESTABLISHED -j ACCEPT #DNS<br>
>> $IPT -A INPUT -p udp -m udp --sport 53 -m state --state<br>
>> NEW,ESTABLISHED -j ACCEPT #DNS - Consulta roots<br>
>> $IPT -A INPUT -p tcp -m tcp --sport 53 -m state --state ESTABLISHED -j<br>
>> ACCEPT #DNS - Conulsta roots<br>
>><br>
>> $IPT -A OUTPUT -d 189.XX.XXX.X/20 -p udp -m udp --sport 53 -m state<br>
>> --state NEW,ESTABLISHED -j ACCEPT #DNS<br>
>> $IPT -A OUTPUT -d 189.XX.XXX.X/20 -p tcp -m tcp --sport 53 -m state<br>
>> --state ESTABLISHED -j ACCEPT #DNS<br>
>> $IPT -A OUTPUT -p udp -m udp --dport 53 -m state --state<br>
>> NEW,ESTABLISHED -j ACCEPT #DNS - Consulta roots<br>
>> $IPT -A OUTPUT -p tcp -m tcp --dport 53 -m state --state<br>
>> NEW,ESTABLISHED -j ACCEPT #DNS - Conulsta roots<br>
>> ======<br>
>><br>
>> []s<br>
>><br>
>> ________________________________________________<br>
>> Renato de Oliveira Diogo<br>
>><br>
>> Bacharel em Ciência da Computação<br>
>> UNESP - Bauru<br>
>><br>
>> LPIC1 - Linux Professional Institute Certification - Nível 1<br>
>><br>
>> <a href="mailto:renato.diogo@gmail.com">renato.diogo@gmail.com</a><br>
>> <a href="mailto:renato.diogo@yahoo.com.br">renato.diogo@yahoo.com.br</a><br>
>> _______________________________________________<br>
>> CentOS-pt-br mailing list<br>
>> <a href="mailto:CentOS-pt-br@centos.org">CentOS-pt-br@centos.org</a><br>
>> <a href="http://lists.centos.org/mailman/listinfo/centos-pt-br" target="_blank">http://lists.centos.org/mailman/listinfo/centos-pt-br</a><br>
><br>
> _______________________________________________<br>
> CentOS-pt-br mailing list<br>
> <a href="mailto:CentOS-pt-br@centos.org">CentOS-pt-br@centos.org</a><br>
> <a href="http://lists.centos.org/mailman/listinfo/centos-pt-br" target="_blank">http://lists.centos.org/mailman/listinfo/centos-pt-br</a><br>
><br>
><br>
_______________________________________________<br>
CentOS-pt-br mailing list<br>
<a href="mailto:CentOS-pt-br@centos.org">CentOS-pt-br@centos.org</a><br>
<a href="http://lists.centos.org/mailman/listinfo/centos-pt-br" target="_blank">http://lists.centos.org/mailman/listinfo/centos-pt-br</a><br>
</div></div></blockquote></div><br><br clear="all"><br>-- <br>Renato Bezerra<br><br>LPIC1 - Linux Professional Institute Certified<br>