Paulo, fica +- assim:
iptables -P FORWARD DROP
iptables -P INPUT DROP
iptables -P OUTPUT DROP
Libera acesso interno ao DNS
iptables -A INPUT -p udp -s <ip da rede interna> --dport 53 -j ACCEPT
Libera Resposta para a Rede interna
iptables -A OUTPUT -m state --state ESTABLISHED,RELATED \
-d <ip da rede interna> -j ACCEPT
Libera Acesso do Firewall/DNS ao DNS externo
iptables -A OUTPUT -m state --state NEW -j ACCEPT
Libera entrada de resposta da internet para o firewall/DNS
iptables -A INPUT -m state --state ESTABLISHED,RELATED \
-p udp -s <ip do DNS do provedor> --sport 53 -j ACCEPT
Considerei que o pr�prio firewall seja o respons�vel por tudo, mas se
voc� usa DMZ � s� trabalhar com as regras de FORWARD.
[]s
Fabr�cio Veloso
-----Mensagem original-----
De: [EMAIL PROTECTED]
[mailto:[EMAIL PROTECTED]] Em nome de Paulo Condutta
Villas Boas
Enviada em: quarta-feira, 24 de abril de 2002 02:41
Para: Dicas Linux-BR
Assunto: (linux-br) Firewall DNS
Fala Pessoal,
To com uma duvida aqui, vamos ver quem pode me ajudar.
Tenho um DNS interno que apenas serve como servidor de nomes para
resolver
endere�os, e apenas meus usuarios est�o acessando ele sem ter nenhum
dominio
cadastrado que seja necessario que outras pessoas da internet saibam
desse
dominio.
Minha duvida � se posso fechar as requisi��es vindas da internet com
porta
de origem 1024 at� 65535 para porta 53 (protocolos TCP e UDP) sem trazer
problemas para a resolu��o de nomes da internet pelos meus funcionarios,
deixando apenas consultas internas e consultas entre servidores (origem
53
destino 53 TCP e UDP)
Uso o Bind 9 e iptables.
Obrigado.
_________________________________________________________
Do You Yahoo!?
Get your free @yahoo.com address at http://mail.yahoo.com
Assinantes em 24/04/2002: 2255
Mensagens recebidas desde 07/01/1999: 164029
Historico e [des]cadastramento: http://linux-br.conectiva.com.br
Assuntos administrativos e problemas com a lista:
mailto:[EMAIL PROTECTED]
