[Date Prev][Date Next] [Thread Prev][Thread Next] [Date Index] [Thread Index]

Re: DNS e Iptables Não Funciona !!

Marcos Zara wrote:

Ola
O erro que eu estava cometendo era o seguinte Eu estava colocando na chain INPUT a opção --dport 53 , ou seja porta de destino como a 53 e não a porta de origem ! 
oque eu nao entendi é o seguinte
Para resolução de nomes DNS, ele envia para o servidor na porta 53 , mas vc nao sabe qual a porta que ele vai retornar.?? Seria isso? Por isso entao q tive q usar o Source-Port ao inves de Destination-Port ??? Muito Obrigado! Realmente funcionou. Obrigado Em 01/04/08, *Rondineli Gama Saad* <rsaad@gelre.com.br <mailto:rsaad@gelre.com.br>> escreveu: 

    Olá Marcos,
    Como está as regras padrões do seu firewall? Tanto INPUT, FORWARD E
    OUTPUT estão como DROP? Lembrando que esta regra que você definiu
    para o
    DNS, você está dizendo que existe um servidor DNS respondendo no seu
    firewall, acredito que não seja isso. O caminho que você quer fazer é:
    ao digitar qualquer página (OUTPUT) seja respondido para você
    direto no
    firewall. Ficaria mais ou menos assim:
    quando a politica padrão está DROP para INPUT, FORWARD e OUTPUT
    iptables -A INPUT -p udp --sport 53 -m state --state
    ESTABLISHED,RELATED
    -j ACCEPT
    iptables -A OUTPUT -p upd --dport 53 -j ACCEPT

    quando a politica padrão está DROP para INPUT, FORWARD e ACCEPT
    para OUTPUT:
    iptables -A INPUT -p udp --sport 53 -m state --state
    ESTABLISHED,RELATED
    -j ACCEPT

    Abraços

    Marcos Zara wrote:
    > Ola Amigos
    >
    > Estou com um problema, no meu script de firewall tenho o seguinte:
    >
    > Liberando Ping
    > iptables -A INPUT -p icmp --icmp-type echo-request -m limit --limit
    > 2/s -j ACCEPT
    > iptables -A INPUT -p icmp --icmp-type echo-reply -m limit
    --limit 2/s
    > -j ACCEPT
    >
    > Liberando DNS
    > iptables -A INPUT -p tcp --dport 53 -j ACCEPT
    > iptables -A INPUT -p udp --dport 53 -j ACCEPT
    >
    > Se eu dou um ping www.uol.com.br <http://www.uol.com.br>
    <http://www.uol.com.br> ele não
    > retorna, mas se eu dou um ping *MailScanner warning: numerical links
    > are often malicious:* *MailScanner warning: numerical links are
    often malicious:* 200.221.11.100 <http://200.221.11.100>
    <*MailScanner warning: numerical links are often malicious:*
    http://200.221.11.100> ele
    > retorna normal , ou seja o problema esta na resolução de nomes
    do DNS.
    > Se eu mudar a regra de policiamento da Chain IMPUT para ACCEPT ae
    > então o ping www.uol.com.br <http://www.uol.com.br>
    <http://www.uol.com.br> responde normal ,
    > ou seja não é problema com meu servidor DNS.
    > Portanto, o problema esta na regra de firewall!!
    >
    > Mas na regra de liberação de DNS acima, está correto, não está?? OU
    > falta alguma coisa
    >
    > Obrigado


    --
    To UNSUBSCRIBE, email to
    debian-user-portuguese-REQUEST@lists.debian.org
    <mailto:debian-user-portuguese-REQUEST@lists.debian.org>
    with a subject of "unsubscribe". Trouble? Contact
    listmaster@lists.debian.org <mailto:listmaster@lists.debian.org>



Olá Marcos,
Funciona da seguinte forma, todos os pacotes udp ao ser enviado não retorna com uma confirmação, pois o protocolo udp não é orientado a conexão. Quando você fez a requisição para abrir uma pagina qualquer ele só mandou a requisição, ele não vai pedir uma confirmação que seria um retorno em uma porta alta. O que aconteceu no seu erro foi que ao inves de pedir a resolução externa, vc definiu que quem estaria escutando na porta 53 seria seu servidor. Porque eu coloquei o estado de ESTABLISHED e RELATED na chain INPUT, pq simplismente neste caso pacotes para a porta 53 só seria formados pelo seu firewall (de dentro para fora), enquanto que pacotes vindo da internet para o seu firewall só seriam resposta das suas conexões solicitadas. 
Para você visualizar como funciona, instale o tcpdump e execute o comando:
tcpdump -i eth0 (interface externa) dst port 53

Abraços

Rondineli Saad
Reply to: