Marcos Zara wrote:
Ola
O erro que eu estava cometendo era o seguinte
Eu estava colocando na chain INPUT a opção --dport 53 , ou seja porta
de destino como a 53 e não a porta de origem !
oque eu nao entendi é o seguinte
Para resolução de nomes DNS, ele envia para o servidor na porta 53 ,
mas vc nao sabe qual a porta que ele vai retornar.?? Seria isso? Por
isso entao q tive q usar o Source-Port ao inves de Destination-Port ???
Muito Obrigado! Realmente funcionou.
Obrigado
Em 01/04/08, *Rondineli Gama Saad* <[EMAIL PROTECTED]
<mailto:[EMAIL PROTECTED]>> escreveu:
Olá Marcos,
Como está as regras padrões do seu firewall? Tanto INPUT, FORWARD E
OUTPUT estão como DROP? Lembrando que esta regra que você definiu
para o
DNS, você está dizendo que existe um servidor DNS respondendo no seu
firewall, acredito que não seja isso. O caminho que você quer fazer é:
ao digitar qualquer página (OUTPUT) seja respondido para você
direto no
firewall. Ficaria mais ou menos assim:
quando a politica padrão está DROP para INPUT, FORWARD e OUTPUT
iptables -A INPUT -p udp --sport 53 -m state --state
ESTABLISHED,RELATED
-j ACCEPT
iptables -A OUTPUT -p upd --dport 53 -j ACCEPT
quando a politica padrão está DROP para INPUT, FORWARD e ACCEPT
para OUTPUT:
iptables -A INPUT -p udp --sport 53 -m state --state
ESTABLISHED,RELATED
-j ACCEPT
Abraços
Marcos Zara wrote:
> Ola Amigos
>
> Estou com um problema, no meu script de firewall tenho o seguinte:
>
> Liberando Ping
> iptables -A INPUT -p icmp --icmp-type echo-request -m limit --limit
> 2/s -j ACCEPT
> iptables -A INPUT -p icmp --icmp-type echo-reply -m limit
--limit 2/s
> -j ACCEPT
>
> Liberando DNS
> iptables -A INPUT -p tcp --dport 53 -j ACCEPT
> iptables -A INPUT -p udp --dport 53 -j ACCEPT
>
> Se eu dou um ping www.uol.com.br <http://www.uol.com.br>
<http://www.uol.com.br> ele não
> retorna, mas se eu dou um ping *MailScanner warning: numerical links
> are often malicious:* *MailScanner warning: numerical links are
often malicious:* 200.221.11.100 <http://200.221.11.100>
<*MailScanner warning: numerical links are often malicious:*
http://200.221.11.100> ele
> retorna normal , ou seja o problema esta na resolução de nomes
do DNS.
> Se eu mudar a regra de policiamento da Chain IMPUT para ACCEPT ae
> então o ping www.uol.com.br <http://www.uol.com.br>
<http://www.uol.com.br> responde normal ,
> ou seja não é problema com meu servidor DNS.
> Portanto, o problema esta na regra de firewall!!
>
> Mas na regra de liberação de DNS acima, está correto, não está?? OU
> falta alguma coisa
>
> Obrigado
--
To UNSUBSCRIBE, email to
[EMAIL PROTECTED]
<mailto:[EMAIL PROTECTED]>
with a subject of "unsubscribe". Trouble? Contact
[EMAIL PROTECTED] <mailto:[EMAIL PROTECTED]>
Olá Marcos,
Funciona da seguinte forma, todos os pacotes udp ao ser enviado não
retorna com uma confirmação, pois o protocolo udp não é orientado a
conexão. Quando você fez a requisição para abrir uma pagina qualquer ele
só mandou a requisição, ele não vai pedir uma confirmação que seria um
retorno em uma porta alta. O que aconteceu no seu erro foi que ao inves
de pedir a resolução externa, vc definiu que quem estaria escutando na
porta 53 seria seu servidor. Porque eu coloquei o estado de ESTABLISHED
e RELATED na chain INPUT, pq simplismente neste caso pacotes para a
porta 53 só seria formados pelo seu firewall (de dentro para fora),
enquanto que pacotes vindo da internet para o seu firewall só seriam
resposta das suas conexões solicitadas.
Para você visualizar como funciona, instale o tcpdump e execute o comando:
tcpdump -i eth0 (interface externa) dst port 53
Abraços
Rondineli Saad
--
To UNSUBSCRIBE, email to [EMAIL PROTECTED]
with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]
