[CentOS-pt-br] BIND - iptables

[Renato Bezerra]

Caro Renato,

Você utiliza troca de cache com outro servidor? Se você não utiliza, então a
regra abaixo se faz desnecessária, pois o DNS só utiliza o protocolo TCP
para troca de cache.

$IPT -A INPUT -s 189.XX.XXX.X/20 -p tcp -m tcp --dport 53 -m state --state
NEW,ESTABLISHED -j ACCEPT

Nas regras abaixo você tem uma regra permitindo o acesso a rede
189.xxx.xxx.xxx/20 e outra logo em seguida liberando o acesso completo, com
isso você anula a primeira regra.

$IPT -A INPUT -s 189.XX.XXX.X/20 -p udp -m udp --dport 53 -m state --state
NEW,ESTABLISHED -j ACCEPT
$IPT -A INPUT -p udp -m udp --sport 53 -m state --state NEW,ESTABLISHED -j
ACCEPT

Na chain OUTPUT você faz a mesma coisa.


Em relação aos problemas com o DNS, o legal é você integrar um IDS/IPS junto
ao firewall, em outro servidor, rodando Inline e sempre mantendo-o
atualizado.

Eu sempre indico o Snort e o ACID para gerenciamento de logs e alertas

-- 
Renato Bezerra

LPIC1 - Linux Professional Institute Certified

2008/12/27 Renato de Oliveira Diogo <renato.diogo em gmail.com>

> Senhores
> bom dia
>
> estou fazendo uma revisão nos meus firewall e estou com a seguinte dúvida.
> Com o recente problema do protocolo DNS saiu alguns patchs para
> amenizar o problema. A questão que ficou confuso para mim é como
> deveria montar as regras do IPTABLES para funcionar.
>
> Atualmente estou trabalhando com as seguintes regras:
>
> =======
> $IPT -A INPUT -s 189.XX.XXX.X/20 -p udp -m udp --dport 53 -m state
> --state NEW,ESTABLISHED -j ACCEPT  #DNS
> $IPT -A INPUT -s 189.XX.XXX.X/20 -p tcp -m tcp --dport 53 -m state
> --state NEW,ESTABLISHED -j ACCEPT  #DNS
> $IPT -A INPUT -p udp -m udp --sport 53 -m state --state
> NEW,ESTABLISHED -j ACCEPT                     #DNS - Consulta roots
> $IPT -A INPUT -p tcp -m tcp --sport 53 -m state --state ESTABLISHED -j
> ACCEPT                         #DNS - Conulsta roots
>
> $IPT -A OUTPUT -d 189.XX.XXX.X/20 -p udp -m udp --sport 53 -m state
> --state NEW,ESTABLISHED -j ACCEPT #DNS
> $IPT -A OUTPUT -d 189.XX.XXX.X/20 -p tcp -m tcp --sport 53 -m state
> --state ESTABLISHED -j ACCEPT     #DNS
> $IPT -A OUTPUT -p udp -m udp --dport 53 -m state --state
> NEW,ESTABLISHED -j ACCEPT                    #DNS - Consulta roots
> $IPT -A OUTPUT -p tcp -m tcp --dport 53 -m state --state
> NEW,ESTABLISHED -j ACCEPT                    #DNS - Conulsta roots
> ======
>
> []s
>
> ________________________________________________
> Renato de Oliveira Diogo
>
> Bacharel em Ciência da Computação
> UNESP - Bauru
>
> LPIC1 - Linux Professional Institute Certification - Nível 1
>
> renato.diogo em gmail.com
> renato.diogo em yahoo.com.br
> _______________________________________________
> CentOS-pt-br mailing list
> CentOS-pt-br em centos.org
> http://lists.centos.org/mailman/listinfo/centos-pt-br
>
-------------- Próxima Parte ----------
Um anexo em HTML foi limpo...
URL: http://lists.centos.org/pipermail/centos-pt-br/attachments/20081227/beef75ca/attachment.html