Re: Regla de Iptables para DNS

To: debian-user-spanish@lists.debian.org
Subject: Re: Regla de Iptables para DNS
From: Manolo Díaz <dusml@pleione.es>
Date: Tue, 17 Jun 2008 20:31:54 +0200
Message-id: <[🔎] 20080617203154.71fd6405@alcyone.pleione.es>
In-reply-to: <[🔎] 4857DB3A.1070109@gmail.com>
References: <[🔎] 4857DB3A.1070109@gmail.com>

El Tue, 17 Jun 2008 12:41:46 -0300
adriancito <adrianfranggi@gmail.com> escribió:

> Buenas Lista.
> 
> Estoy leyendo sobre iptables y temas relacionados, y entre otras
> cosas vi el hecho de aceptar cierto tráfico si su estado es
> ESTABLISHED o RELATED, lo cual es muy interesante.
> 
> La consulta es la siguiente:
> 
> Es correcto tener para los dns:
> 
> iptables -A INPUT -s $ANYRED -i $EXT_IF -p udp -m udp --sport 53
> --dport 1024:65535 -j ACCEPT
> 
> o
> 
> iptables -A INPUT  -m state --state ESTABLISHED,RELATED -s $ANYRED -i 
> $EXT_IF -p udp -m udp --sport 53 --dport 1024:65535 -j ACCEPT
> 
> Muchas Gracias.
> 
> Salu2.
> 
> 

Creo que podrías ser incluso más restrictivo:

iptables -A INPUT  -m state --state ESTABLISHED -s $ANYRED -i \
$EXT_IF -p udp -m udp --sport 53 --dport 1024:65535 -j ACCEPT

e incluso más:

iptables -A INPUT  -m state --state ESTABLISHED -s $ANYRED -i \
$EXT_IF -p udp -m udp --sport 53 --dport 32768:65535 -j ACCEPT

En mis curiosas incursiones con wireshark jamás he visto una aplicación
no privilegiada intentar una conexión desde un puerto inferior al 32768
en linux.

De todas formas comprueba que no te impide la resolución de nombres con
herramientas como dig, host, nslookup o cualquier otra similar que pueda
haber.

Saludos y suerte

-- 
Manolo Díaz

Reply to:

References:
- Regla de Iptables para DNS
  - From: adriancito <adrianfranggi@gmail.com>

Prev by Date: Re: Script iptables con Firewall por defecto a DROP
Next by Date: Re: "frikeando" con el comando dd
Previous by thread: Regla de Iptables para DNS
Next by thread: [OT] ¿El mundo al revés?
Index(es):
- Date
- Thread