[CentOS-pt-br] BIND - iptables
Renato de Oliveira Diogo
renato.diogo em gmail.com
Segunda Dezembro 29 11:18:26 UTC 2008
Opa Renato
ent�o, em rela��o � primeira regra que voce comentou eu n�o troco
cache com outro servidor, por�m esta se fez necess�rio em fun��o do
meu servidor de e-mail. Quando ele faz consulta de MX e este tem
muitos registros (estoura os 514bytes do UDP) ent�o usa o TCP.
Em rela��o a troca de cache com outro servidor, conhece alguma
documenta��o para eu ler melhor sobre isso?
Em rela��o a essas duas, na verdade � uma libera��o para a minha rede
fazer consulta (o bloco 189.xxx...) e outra para o pr�prio servidor
fazer consulta recursiva, a diferen� s�o o "dport" e "sport".
> $IPT -A INPUT -s 189.XX.XXX.X/20 -p udp -m udp --dport 53 -m state --state
> NEW,ESTABLISHED -j ACCEPT
> $IPT -A INPUT -p udp -m udp --sport 53 -m state --state NEW,ESTABLISHED -j
> ACCEPT
Em rela��o ao DNS, na verdade o problema que me referi o ataque
poisoning, em rela��o � mudan�a de regras para este, e n�o que eu
tenha percebido um ataque a isto. Mas estava estudando melhor a
documenta��o do bind, e que entendi � que quando se coloca "port *"
este usa uma porta alta randomicamente para ele fazer a consulta
recursiva e n�o a 53 como era de padr�o, e vi que as regras que
coloquei est�o corretas pois j� preve isso.
Vlw pela aten��o
[]s
________________________________________________
Renato de Oliveira Diogo
Bacharel em Ci�ncia da Computa��o
UNESP - Bauru
LPIC1 - Linux Professional Institute Certification - N�vel 1
renato.diogo em gmail.com
renato.diogo em yahoo.com.br
2008/12/27 Renato Bezerra <smkrenato em centosbr.org>:
> Caro Renato,
>
> Voc� utiliza troca de cache com outro servidor? Se voc� n�o utiliza, ent�o a
> regra abaixo se faz desnecess�ria, pois o DNS s� utiliza o protocolo TCP
> para troca de cache.
>
> $IPT -A INPUT -s 189.XX.XXX.X/20 -p tcp -m tcp --dport 53 -m state --state
> NEW,ESTABLISHED -j ACCEPT
>
> Nas regras abaixo voc� tem uma regra permitindo o acesso a rede
> 189.xxx.xxx.xxx/20 e outra logo em seguida liberando o acesso completo, com
> isso voc� anula a primeira regra.
>
> $IPT -A INPUT -s 189.XX.XXX.X/20 -p udp -m udp --dport 53 -m state --state
> NEW,ESTABLISHED -j ACCEPT
> $IPT -A INPUT -p udp -m udp --sport 53 -m state --state NEW,ESTABLISHED -j
> ACCEPT
>
> Na chain OUTPUT voc� faz a mesma coisa.
>
>
> Em rela��o aos problemas com o DNS, o legal � voc� integrar um IDS/IPS junto
> ao firewall, em outro servidor, rodando Inline e sempre mantendo-o
> atualizado.
>
> Eu sempre indico o Snort e o ACID para gerenciamento de logs e alertas
>
> --
> Renato Bezerra
>
> LPIC1 - Linux Professional Institute Certified
>
> 2008/12/27 Renato de Oliveira Diogo <renato.diogo em gmail.com>
>>
>> Senhores
>> bom dia
>>
>> estou fazendo uma revis�o nos meus firewall e estou com a seguinte d�vida.
>> Com o recente problema do protocolo DNS saiu alguns patchs para
>> amenizar o problema. A quest�o que ficou confuso para mim � como
>> deveria montar as regras do IPTABLES para funcionar.
>>
>> Atualmente estou trabalhando com as seguintes regras:
>>
>> =======
>> $IPT -A INPUT -s 189.XX.XXX.X/20 -p udp -m udp --dport 53 -m state
>> --state NEW,ESTABLISHED -j ACCEPT #DNS
>> $IPT -A INPUT -s 189.XX.XXX.X/20 -p tcp -m tcp --dport 53 -m state
>> --state NEW,ESTABLISHED -j ACCEPT #DNS
>> $IPT -A INPUT -p udp -m udp --sport 53 -m state --state
>> NEW,ESTABLISHED -j ACCEPT #DNS - Consulta roots
>> $IPT -A INPUT -p tcp -m tcp --sport 53 -m state --state ESTABLISHED -j
>> ACCEPT #DNS - Conulsta roots
>>
>> $IPT -A OUTPUT -d 189.XX.XXX.X/20 -p udp -m udp --sport 53 -m state
>> --state NEW,ESTABLISHED -j ACCEPT #DNS
>> $IPT -A OUTPUT -d 189.XX.XXX.X/20 -p tcp -m tcp --sport 53 -m state
>> --state ESTABLISHED -j ACCEPT #DNS
>> $IPT -A OUTPUT -p udp -m udp --dport 53 -m state --state
>> NEW,ESTABLISHED -j ACCEPT #DNS - Consulta roots
>> $IPT -A OUTPUT -p tcp -m tcp --dport 53 -m state --state
>> NEW,ESTABLISHED -j ACCEPT #DNS - Conulsta roots
>> ======
>>
>> []s
>>
>> ________________________________________________
>> Renato de Oliveira Diogo
>>
>> Bacharel em Ci�ncia da Computa��o
>> UNESP - Bauru
>>
>> LPIC1 - Linux Professional Institute Certification - N�vel 1
>>
>> renato.diogo em gmail.com
>> renato.diogo em yahoo.com.br
>> _______________________________________________
>> CentOS-pt-br mailing list
>> CentOS-pt-br em centos.org
>> http://lists.centos.org/mailman/listinfo/centos-pt-br
>
> _______________________________________________
> CentOS-pt-br mailing list
> CentOS-pt-br em centos.org
> http://lists.centos.org/mailman/listinfo/centos-pt-br
>
>
Mais detalhes sobre a lista de discuss�o CentOS-pt-br