Olá pessoal !
Tenho algumas dúvidas com relação a segurança e regras de firewall,
e gostaria de uma ajuda de vocês.
A primeira é com relação a DNS.
Eu rodo um serviço DNS recursivo, pra servir minha rede internet,
certo ? Ele não é público, mas preciso que ele consiga fazer consultas
nos Root Servers. No meu firewall, os pacotes que entram são os
RELATED e ESTABLISHED. Isso significa permitir a entrada de pacotes de
conexões estabelecidas ou em negociação, certo ?
Acontece que UDP não é orientado a conexão. Então, o que eu faço com
o DNS é travar a query-source dele, e liberar entrada de pacotes udp
naquela porta. Porém isso impede que aquele bug atualmente em
evidência seja contornado.
Como fazer pra liberar as consultas do DNS aos Root Servers, sem
travar a query-source ? (Assim como com qualquer outra aplicação que
faça uso de UDP.)
Outra dúvida é com relação a FTP Passivo.
Eu tive que configurar um FTP em modo passivo, para que clientes
atrás de NAT consigam trafegar dados. Acontece que isso significa
liberar todo um range de portas altas TCP para conexão. Assim, tive
que escancarar todas a entrada nessas portas no meu servidor. É assim
mesmo ?
Espero que não tenha ficado muito confuso.
Fico grato se alguém puder ajudar. Obrigado.