[CentOS-pt-br] BIND - iptables

Renato de Oliveira Diogo renato.diogo em gmail.com
Segunda Dezembro 29 11:18:26 UTC 2008 

Opa Renato

então, em relação à primeira regra que voce comentou eu não troco
cache com outro servidor, porém esta se fez necessário em função do
meu servidor de e-mail. Quando ele faz consulta de MX e este tem
muitos registros (estoura os 514bytes do UDP) então usa o TCP.
Em relação a troca de cache com outro servidor, conhece alguma
documentação para eu ler melhor sobre isso?

Em relação a essas duas, na verdade é uma liberação para a minha rede
fazer consulta (o bloco 189.xxx...) e outra para o próprio servidor
fazer consulta recursiva, a diferenã são o "dport" e "sport".

> $IPT -A INPUT -s 189.XX.XXX.X/20 -p udp -m udp --dport 53 -m state --state
> NEW,ESTABLISHED -j ACCEPT
> $IPT -A INPUT -p udp -m udp --sport 53 -m state --state NEW,ESTABLISHED -j
> ACCEPT

Em relação ao DNS, na verdade o problema que me referi o ataque
poisoning, em relação à mudança de regras para este, e não que eu
tenha percebido um ataque a isto. Mas estava estudando melhor a
documentação do bind, e que entendi é que quando se coloca "port *"
este usa uma porta alta randomicamente para ele fazer a consulta
recursiva e não a 53 como era de padrão, e vi que as regras que
coloquei estão corretas pois já preve isso.

Vlw pela atenção

[]s
________________________________________________
Renato de Oliveira Diogo

Bacharel em Ciência da Computação
UNESP - Bauru

LPIC1 - Linux Professional Institute Certification - Nível 1

renato.diogo em gmail.com
renato.diogo em yahoo.com.br



2008/12/27 Renato Bezerra <smkrenato em centosbr.org>:
> Caro Renato,
>
> Você utiliza troca de cache com outro servidor? Se você não utiliza, então a
> regra abaixo se faz desnecessária, pois o DNS só utiliza o protocolo TCP
> para troca de cache.
>
> $IPT -A INPUT -s 189.XX.XXX.X/20 -p tcp -m tcp --dport 53 -m state --state
> NEW,ESTABLISHED -j ACCEPT
>
> Nas regras abaixo você tem uma regra permitindo o acesso a rede
> 189.xxx.xxx.xxx/20 e outra logo em seguida liberando o acesso completo, com
> isso você anula a primeira regra.
>
> $IPT -A INPUT -s 189.XX.XXX.X/20 -p udp -m udp --dport 53 -m state --state
> NEW,ESTABLISHED -j ACCEPT
> $IPT -A INPUT -p udp -m udp --sport 53 -m state --state NEW,ESTABLISHED -j
> ACCEPT
>
> Na chain OUTPUT você faz a mesma coisa.
>
>
> Em relação aos problemas com o DNS, o legal é você integrar um IDS/IPS junto
> ao firewall, em outro servidor, rodando Inline e sempre mantendo-o
> atualizado.
>
> Eu sempre indico o Snort e o ACID para gerenciamento de logs e alertas
>
> --
> Renato Bezerra
>
> LPIC1 - Linux Professional Institute Certified
>
> 2008/12/27 Renato de Oliveira Diogo <renato.diogo em gmail.com>
>>
>> Senhores
>> bom dia
>>
>> estou fazendo uma revisão nos meus firewall e estou com a seguinte dúvida.
>> Com o recente problema do protocolo DNS saiu alguns patchs para
>> amenizar o problema. A questão que ficou confuso para mim é como
>> deveria montar as regras do IPTABLES para funcionar.
>>
>> Atualmente estou trabalhando com as seguintes regras:
>>
>> =======
>> $IPT -A INPUT -s 189.XX.XXX.X/20 -p udp -m udp --dport 53 -m state
>> --state NEW,ESTABLISHED -j ACCEPT  #DNS
>> $IPT -A INPUT -s 189.XX.XXX.X/20 -p tcp -m tcp --dport 53 -m state
>> --state NEW,ESTABLISHED -j ACCEPT  #DNS
>> $IPT -A INPUT -p udp -m udp --sport 53 -m state --state
>> NEW,ESTABLISHED -j ACCEPT                     #DNS - Consulta roots
>> $IPT -A INPUT -p tcp -m tcp --sport 53 -m state --state ESTABLISHED -j
>> ACCEPT                         #DNS - Conulsta roots
>>
>> $IPT -A OUTPUT -d 189.XX.XXX.X/20 -p udp -m udp --sport 53 -m state
>> --state NEW,ESTABLISHED -j ACCEPT #DNS
>> $IPT -A OUTPUT -d 189.XX.XXX.X/20 -p tcp -m tcp --sport 53 -m state
>> --state ESTABLISHED -j ACCEPT     #DNS
>> $IPT -A OUTPUT -p udp -m udp --dport 53 -m state --state
>> NEW,ESTABLISHED -j ACCEPT                    #DNS - Consulta roots
>> $IPT -A OUTPUT -p tcp -m tcp --dport 53 -m state --state
>> NEW,ESTABLISHED -j ACCEPT                    #DNS - Conulsta roots
>> ======
>>
>> []s
>>
>> ________________________________________________
>> Renato de Oliveira Diogo
>>
>> Bacharel em Ciência da Computação
>> UNESP - Bauru
>>
>> LPIC1 - Linux Professional Institute Certification - Nível 1
>>
>> renato.diogo em gmail.com
>> renato.diogo em yahoo.com.br
>> _______________________________________________
>> CentOS-pt-br mailing list
>> CentOS-pt-br em centos.org
>> http://lists.centos.org/mailman/listinfo/centos-pt-br
>
> _______________________________________________
> CentOS-pt-br mailing list
> CentOS-pt-br em centos.org
> http://lists.centos.org/mailman/listinfo/centos-pt-br
>
>

Mais detalhes sobre a lista de discussão CentOS-pt-br