Re: [HS] iptables, DNS sur une machne du LAN
Le poulpe qui bloppe ! a écrit :
> Bonjour,
>
> Je sais que mon poste n'est pas relatif a debian, mais en desespoir de
> cause....
>
> J'ai aquit un WRT54GL et l'ai flashé en dd'wrt, donc en linux.
> Iptables tourne dessus.
>
> Plan reseau:
> WWW ----- WRT54GL ---- LAN
>
> Sur mon reseau LAN, j'ai installé un serveur DNS pour mon reseau local,
> ca fonctionne bien. Ce dns gerre aussi mon domaine sur internet.
> Il me faut donc rediriger toutes les requette qui viennent d'internet
> sur le port 53 vers mon serveur DNS interne, et que ce dns interne
> renvois la reponse à son expediteur sur le net.
>
> J'ai donc placé une regle PREROUTING qui DNAT mon port:
>
> $IPTABLES -t filter -A FORWARD -p udp -d $MOE --dport 53 -j ACCEPT
> $IPTABLES -t nat -A POSTROUTING -p udp -d $MOE --dport 53 -j ACCEPT
> $IPTABLES -t nat -A PREROUTING -p udp -d $IP_WAN --dport 53 -j DNAT
> --to-destination $MOE:53
ne serais-ce pas plutôt:
(avec WEB_IF=eth0 & LAN_IF=192.168.1.0/24 par ex.)
$IPTABLES -t nat -A FORWARD -i $WEB_IF -p UDP -d $DNS_HOST \
--dport 53 -j ACCEPT
$IPTABLES -t nat -A PREROUTING -i $WEB_IF -p UDP --dport 53 \
-j DNAT --to-dest $DNS_HOST
$IPTABLES -t nat -A POSTROUTING -o $LAN_IF -p UDP -d $DNS_HOST \
--dport 53 -j ACCEPT
Par principe, je n'aime pas les règles qui ne font pas explicitement
référence aux I/Fs concernées, ça peut toujours donner des effets non-
désirés.
> Idem, aucun resultat.
> Je precise que par defaut, j'ai INPUT OUTPUT FORWARD a ACCEPT
Y'a pas pire comme policy!
Commence par remettre tout à DENY, puis ouvre les "trous" voulus.
En matière de sécurité il est plus que logique de commencer par
tout interdire, puis d'ouvrir les portes une par une; sinon ne
t'étonne pas s'il t'arrive des misères.
JY
--
Breeding rabbits is a hare raising experience.
Reply to: