[geloest] iptables: DNS freischalten?

Einrichten des lokalen Netzes, Verbindung zu anderen Computern und Diensten.
Antworten
ingsoc
Beiträge: 71
Registriert: 24.02.2010 18:37:03

[geloest] iptables: DNS freischalten?

Beitrag von ingsoc » 01.09.2012 11:10:20

Moin,

ich habe einen root-Server und diesen auch entspr. abgesichert: Es läuft nginx als Reverse-Proxy zu Apache2, sowie ein Extra-vhost, wo nur Apache2 wartet.

iptables sieht wie folgt aus:

Code: Alles auswählen

 sudo iptables -L
Chain INPUT (policy DROP)
target     prot opt source               destination
ACCEPT     all  --  localhost            anywhere
ACCEPT     tcp  --  anywhere             anywhere            tcp dpt:ssh
ACCEPT     tcp  --  anywhere             anywhere            tcp dpt:www
ACCEPT     tcp  --  anywhere             anywhere            tcp dpt:kerberos
ACCEPT     tcp  --  anywhere             anywhere            tcp dpt:https
syn_flood  tcp  --  anywhere             anywhere            tcp flags:FIN,SYN,RST,ACK/SYN
ACCEPT     icmp --  anywhere             anywhere            limit: avg 2/sec burst 2
DROP       icmp --  anywhere             anywhere
ACCEPT     udp  --  8.26.56.26           anywhere            udp dpt:domain state NEW
ACCEPT     tcp  --  8.26.56.26           anywhere            tcp dpt:domain state NEW
ACCEPT     udp  --  156.154.70.22        anywhere            udp dpt:domain state NEW
ACCEPT     tcp  --  156.154.70.22        anywhere            tcp dpt:domain state NEW

Chain FORWARD (policy DROP)
target     prot opt source               destination
ACCEPT     all  --  localhost            anywhere

Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination
ACCEPT     icmp --  anywhere             anywhere

Chain syn_flood (1 references)
target     prot opt source               destination
RETURN     all  --  anywhere             anywhere            limit: avg 10/sec burst 20
DROP       all  --  anywhere             anywhere
Meine Nameserver sind:

Code: Alles auswählen

cat /etc/resolv.conf
nameserver 8.26.56.26
nameserver 156.154.70.22
Jedoch funktioniert die Namensauflösung nicht. Wenn ich jetzt per sudo iptables -P INPUT ACCEPT alles freigebe, können Namen aufgelöst werden. Was fehlt bei meinen iptables-Regeln, dass DNS auch dann funktioniert, wenn die Policy für INPUT auf DROP steht?
Zuletzt geändert von ingsoc am 01.09.2012 15:20:26, insgesamt 1-mal geändert.
Nach oben
Cae
Beiträge: 6349
Registriert: 17.07.2011 23:36:39
Wohnort: 2130706433

Re: iptables: DNS freischalten?

Beitrag von Cae » 01.09.2012 15:00:55

ingsoc hat geschrieben:

Code: Alles auswählen

Chain INPUT (policy DROP)
[…] udp dpt:domain state NEW
Du wartest also auf ein eingehendes Paket von diesen Hosts mit dem *Zielport* 53. Denkfehler? Das würde bedeuten, dass du einen eigenen DNS-Server betreibst → Müll. Das muss --sport sein, und den TCP-Krempel kannst du dir sparen, weil du keine Zonenübertragungen machen willst (eben weil du keinen DNS-Server hast).

Gruß Cae
If universal surveillance were the answer, lots of us would have moved to the former East Germany. If surveillance cameras were the answer, camera-happy London, with something like 500,000 of them at a cost of $700 million, would be the safest city on the planet.

—Bruce Schneier
Nach oben
ingsoc
Beiträge: 71
Registriert: 24.02.2010 18:37:03

Re: iptables: DNS freischalten?

Beitrag von ingsoc » 01.09.2012 15:20:04

Ja, irgendwie an soetwas dachte ich auch. Hab's nur nicht gefunden. Die vier Zeilen hatte ich mtw. wieder entfernt, aber habe nicht den richtigen Eintrag gefunden. Jetzt funktioniert es. Was fehlte, was wirklich nur ein sudo iptables -A INPUT -p udp --sport 53 -j ACCEPT. Danke.
Nach oben
Antworten

Zurück zu „Netzwerk“