[CentOS-pt-br] BIND - iptables

Renato Bezerra smkrenato em centosbr.org
Segunda Dezembro 29 11:54:18 UTC 2008 

Quando eu configuro o bind, também coloco este parâmetro justamente para
evitar este tipo de problema, e desculpa pelas regras, realmente quando
escrevi estava desatento e não verifiquei o sport e o dport.

Em relação a troca de cache, eu não conheço nenhum tutorial ou artigo não,
mas posso procurar e te mandar depois.

2008/12/29 Renato de Oliveira Diogo <renato.diogo em gmail.com>

> Opa Renato
>
> então, em relação à primeira regra que voce comentou eu não troco
> cache com outro servidor, porém esta se fez necessário em função do
> meu servidor de e-mail. Quando ele faz consulta de MX e este tem
> muitos registros (estoura os 514bytes do UDP) então usa o TCP.
> Em relação a troca de cache com outro servidor, conhece alguma
> documentação para eu ler melhor sobre isso?
>
> Em relação a essas duas, na verdade é uma liberação para a minha rede
> fazer consulta (o bloco 189.xxx...) e outra para o próprio servidor
> fazer consulta recursiva, a diferenã são o "dport" e "sport".
>
> > $IPT -A INPUT -s 189.XX.XXX.X/20 -p udp -m udp --dport 53 -m state
> --state
> > NEW,ESTABLISHED -j ACCEPT
> > $IPT -A INPUT -p udp -m udp --sport 53 -m state --state NEW,ESTABLISHED
> -j
> > ACCEPT
>
> Em relação ao DNS, na verdade o problema que me referi o ataque
> poisoning, em relação à mudança de regras para este, e não que eu
> tenha percebido um ataque a isto. Mas estava estudando melhor a
> documentação do bind, e que entendi é que quando se coloca "port *"
> este usa uma porta alta randomicamente para ele fazer a consulta
> recursiva e não a 53 como era de padrão, e vi que as regras que
> coloquei estão corretas pois já preve isso.
>
> Vlw pela atenção
>
> []s
> ________________________________________________
> Renato de Oliveira Diogo
>
> Bacharel em Ciência da Computação
> UNESP - Bauru
>
> LPIC1 - Linux Professional Institute Certification - Nível 1
>
> renato.diogo em gmail.com
> renato.diogo em yahoo.com.br
>
>
>
> 2008/12/27 Renato Bezerra <smkrenato em centosbr.org>:
> > Caro Renato,
> >
> > Você utiliza troca de cache com outro servidor? Se você não utiliza,
> então a
> > regra abaixo se faz desnecessária, pois o DNS só utiliza o protocolo TCP
> > para troca de cache.
> >
> > $IPT -A INPUT -s 189.XX.XXX.X/20 -p tcp -m tcp --dport 53 -m state
> --state
> > NEW,ESTABLISHED -j ACCEPT
> >
> > Nas regras abaixo você tem uma regra permitindo o acesso a rede
> > 189.xxx.xxx.xxx/20 e outra logo em seguida liberando o acesso completo,
> com
> > isso você anula a primeira regra.
> >
> > $IPT -A INPUT -s 189.XX.XXX.X/20 -p udp -m udp --dport 53 -m state
> --state
> > NEW,ESTABLISHED -j ACCEPT
> > $IPT -A INPUT -p udp -m udp --sport 53 -m state --state NEW,ESTABLISHED
> -j
> > ACCEPT
> >
> > Na chain OUTPUT você faz a mesma coisa.
> >
> >
> > Em relação aos problemas com o DNS, o legal é você integrar um IDS/IPS
> junto
> > ao firewall, em outro servidor, rodando Inline e sempre mantendo-o
> > atualizado.
> >
> > Eu sempre indico o Snort e o ACID para gerenciamento de logs e alertas
> >
> > --
> > Renato Bezerra
> >
> > LPIC1 - Linux Professional Institute Certified
> >
> > 2008/12/27 Renato de Oliveira Diogo <renato.diogo em gmail.com>
> >>
> >> Senhores
> >> bom dia
> >>
> >> estou fazendo uma revisão nos meus firewall e estou com a seguinte
> dúvida.
> >> Com o recente problema do protocolo DNS saiu alguns patchs para
> >> amenizar o problema. A questão que ficou confuso para mim é como
> >> deveria montar as regras do IPTABLES para funcionar.
> >>
> >> Atualmente estou trabalhando com as seguintes regras:
> >>
> >> =======
> >> $IPT -A INPUT -s 189.XX.XXX.X/20 -p udp -m udp --dport 53 -m state
> >> --state NEW,ESTABLISHED -j ACCEPT  #DNS
> >> $IPT -A INPUT -s 189.XX.XXX.X/20 -p tcp -m tcp --dport 53 -m state
> >> --state NEW,ESTABLISHED -j ACCEPT  #DNS
> >> $IPT -A INPUT -p udp -m udp --sport 53 -m state --state
> >> NEW,ESTABLISHED -j ACCEPT                     #DNS - Consulta roots
> >> $IPT -A INPUT -p tcp -m tcp --sport 53 -m state --state ESTABLISHED -j
> >> ACCEPT                         #DNS - Conulsta roots
> >>
> >> $IPT -A OUTPUT -d 189.XX.XXX.X/20 -p udp -m udp --sport 53 -m state
> >> --state NEW,ESTABLISHED -j ACCEPT #DNS
> >> $IPT -A OUTPUT -d 189.XX.XXX.X/20 -p tcp -m tcp --sport 53 -m state
> >> --state ESTABLISHED -j ACCEPT     #DNS
> >> $IPT -A OUTPUT -p udp -m udp --dport 53 -m state --state
> >> NEW,ESTABLISHED -j ACCEPT                    #DNS - Consulta roots
> >> $IPT -A OUTPUT -p tcp -m tcp --dport 53 -m state --state
> >> NEW,ESTABLISHED -j ACCEPT                    #DNS - Conulsta roots
> >> ======
> >>
> >> []s
> >>
> >> ________________________________________________
> >> Renato de Oliveira Diogo
> >>
> >> Bacharel em Ciência da Computação
> >> UNESP - Bauru
> >>
> >> LPIC1 - Linux Professional Institute Certification - Nível 1
> >>
> >> renato.diogo em gmail.com
> >> renato.diogo em yahoo.com.br
> >> _______________________________________________
> >> CentOS-pt-br mailing list
> >> CentOS-pt-br em centos.org
> >> http://lists.centos.org/mailman/listinfo/centos-pt-br
> >
> > _______________________________________________
> > CentOS-pt-br mailing list
> > CentOS-pt-br em centos.org
> > http://lists.centos.org/mailman/listinfo/centos-pt-br
> >
> >
> _______________________________________________
> CentOS-pt-br mailing list
> CentOS-pt-br em centos.org
> http://lists.centos.org/mailman/listinfo/centos-pt-br
>



-- 
Renato Bezerra

LPIC1 - Linux Professional Institute Certified
-------------- Próxima Parte ----------
Um anexo em HTML foi limpo...
URL: http://lists.centos.org/pipermail/centos-pt-br/attachments/20081229/8873052f/attachment.html

Mais detalhes sobre a lista de discussão CentOS-pt-br