----- Mail original -----
> De: "JUPIN Alain" <aju...@jupin.net> > À: "Liste Debian" <debian-user-french@lists.debian.org> > Envoyé: Jeudi 21 Avril 2022 09:26:49 > Objet: Firewall iptables qui ne bloque pas le port 53 > Bonjour, > Je vous soumet un petit problème ... sur une install Debian 11, j'ai > installé pi-hole (pour bloquer les pubs) > Pihole fonctionne, mais (il y a toujours un mais), je cherche a > bloquer son usage que pour quelques IP (vu qu'il est sur une IP > publique). > Voici donc les règles de mon firewall > # Politique par defaut > iptables -t filter -P INPUT DROP > iptables -t filter -P FORWARD DROP > iptables -t filter -P OUTPUT ACCEPT > ip6tables -t filter -P INPUT DROP > ip6tables -t filter -P FORWARD DROP > ip6tables -t filter -P OUTPUT ACCEPT > # Autoriser le Loopback > iptables -t filter -A INPUT -i lo -j ACCEPT > iptables -t filter -A OUTPUT -o lo -j ACCEPT > ip6tables -t filter -A INPUT -i lo -j ACCEPT > ip6tables -t filter -A OUTPUT -o lo -j ACCEPT > ############################################################################### > # INBOUND TRAFIC # > ############################################################################### > # On accepte les paquets déjà établis > iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT > ip6tables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT > # PING (ICMP) > iptables -A INPUT -p icmp -j ACCEPT > ip6tables -A INPUT -p ipv6-icmp -j ACCEPT > # SSH > iptables -A INPUT -p tcp --dport 22 -j ACCEPT > ip6tables -A INPUT -p tcp --dport 22 -j ACCEPT > # DNS > iptables -A INPUT -p tcp -s monIPv4 --dport 53 -j ACCEPT > iptables -A INPUT -p udp -s monIPv4 --dport 53 -j ACCEPT > ip6tables -A INPUT -p tcp -s monIPv6 --dport 53 -j ACCEPT > ip6tables -A INPUT -p udp -s monIPv6 --dport 53 -j ACCEPT > # HTTP(S) > iptables -A INPUT -p tcp --dport 80 -j ACCEPT > ip6tables -A INPUT -p tcp --dport 80 -j ACCEPT > iptables -A INPUT -p tcp --dport 443 -j ACCEPT > ip6tables -A INPUT -p tcp --dport 443 -j ACCEPT > # On bloque tout le reste > iptables -A INPUT -p tcp -j DROP > ip6tables -A INPUT -p tcp -j DROP > iptables -A INPUT -p udp -j DROP > ip6tables -A INPUT -p udp -j DROP > Le problème est que même activé, le port 53 n'est pas "bloqué" et > tout le monde peut accéder à mon pi-hole ! > J'ai ajouté les 4 dernière lignes, mais sans effet ! > Bref, je dois bien passer a coté de quelques choses mais je ne vois > pas quoi ! > Merci d'avance pour votre aide. > -- > Alain JUPIN Bonjour Alain, Pour ton problème de port DNS, je t'invite à simplement consulter les pages sur le site du sieur Bortzmeyer et tu trouveras ton bonheur... Et je n'ai pas compris la raison pour laquelle tu souhaites bloquer ce port, la seule chose intelligente serait de rediriger le trafic tcp 53 sur la partie udp 53 et de consulter la doc pour DNSSEC Merci pour ton aimable attention Bien à toi Bernard