mam PC a NB.. skusam take pokusy a na PC som si dal bind9 a spojazdnil DNS(mam verejnu a DNS mi funguje aj z vonku). Kedze si pridavam postupne pravidla do FW tak som chcel vediet ze ked zakazem port 53 (dns) ci ho skutocne blokne a nepojdu stranky z ineho PC.
Nebudem tu vypisovat aky mam FW konfiguraciu ale v skratke.. vsetko mam zakazane len to co chem do PC pustit mam povolene. Ziadne stavove pravidla nemam.Proste vsetko zakazane a povolujem len konkretne porty. A v tom je problem ze som chcem odstavit port 53 a kedze to najlepsie vyskusam z druheho PC tak na NB som si nastavil ako dns server svoj PC a skusal som.. ked vyhodim z tabulky pravidlo ktore povoluje 53 tak to ide.. a nemalo by lebo default politika je zakaz vsetko co nieje povolene.. potom som skusil napisat naj DROPne 53 a este pre istotu aj rozsah 0-1024.Samozrejme aby to bolo 100% tak aj --sport aj --dport tcp/udp. Ale z NB som veselo isiel dalej.. tak som uplne setko zmazal a nastavil tam
iptables -P INPUT DROP
iptables -P FORWARD DROP
iptables -P OUTPUT DROP
a stranky sli veselo dalej.. svoju lokalnu komunikaciu na PC na ktorom bezi bind9 som sice uplne odstavil ale z ineho PC veselo poziadavky primal dalej a tvaril sa akoby ziadny FW tam nebol.
ces nmap som takisto skusal pozerat na porty a vsetky tcu/udp som mal zatvorene.. respektive filtred.
iptables -L takisto hlasilo ze vsetk oje DROP
tu 53 som odstavil JEDINE tak ze som zadal pravidlo
iptables -A INPUT -m state --state NEW -p tcp --dport 53 -j DROP
Toto us zastavilo komunikaciu ..
Ale pointa je v tom ze co vlastne roby ta default politika ked vidim ze neroby nic..Co to je za FW toto. Je to normalne?
Ten zakaz 53 som riesil LEN koli tomu aby som overil funkcnost netfiltra nic ine.
V pripade ze by ste predsa len potrebovali vypis iptables tak ju tu hodim.
PS. nepouzivam ziadnu fraf. nadstavbu.. klasika iptables a konzola..
IPtables ignoruje pravidla. Je to mozne?>je
< GENTOO FOREVER >
Pre pridávanie komentárov sa musíte prihlásiť.
PC:
$ cat /etc/resolv.confnameserver 10.10.0.100
#nameserver 195.146.128.60
#nameserver 195.146.132.59
BINDserver:
# iptables -L
Chain INPUT (policy ACCEPT)
target prot opt source destination
Chain FORWARD (policy ACCEPT)
target prot opt source destination
Chain OUTPUT (policy ACCEPT)
target prot opt source destination
Výsledok na PC:
$ dig www.google.sk
; <<>> DiG 9.3.4 <<>> www.google.sk
;; global options: printcmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 49862
;; flags: qr rd ra; QUERY: 1, ANSWER: 6, AUTHORITY: 0, ADDITIONAL: 0
;; QUESTION SECTION:
;www.google.sk. IN A
;; ANSWER SECTION:
www.google.sk. 25095 IN CNAME www.google.com.
www.google.com. 111469 IN CNAME www.l.google.com.
www.l.google.com. 60 IN A 209.85.135.104
www.l.google.com. 60 IN A 209.85.135.147
www.l.google.com. 60 IN A 209.85.135.99
www.l.google.com. 60 IN A 209.85.135.103
;; Query time: 104 msec
;; SERVER: 10.10.0.100#53(10.10.0.100)
;; WHEN: Tue Dec 18 07:55:32 2007
;; MSG SIZE rcvd: 143
na BINDserver-i:
# iptables -P INPUT DROP && iptables -P OUTPUT DROPa výsledok:
$ dig www.google.sk
; <<>> DiG 9.3.4 <<>> www.google.sk
;; global options: printcmd
;; connection timed out; no servers could be reached
takže chyba bude niekde v tvojej konfigurácii (použité distrá: server Debian PC kubuntu)
myslim ze nebol najlepsi napad testovat to na DNS - jednak dns vie aj udp aj tcp, neviem ci sa vzdy resolvuje ip-cka ak to bolo resolvovane nedavno, potom mozem mat viacero dns serverov, este tu je /etc/hosts - radsej to testuj na ssh - tam to bude jasne