ipchains - povoleni DNS dotazu

Miroslav BENES mbenes na tenez.cz
Čtvrtek Duben 6 12:52:15 CEST 2000 

Preji krasny den !

Pokousim se zprovoznit filtrovani paketu pomoci ipchains, ale nedari 
se mi - konkretne nejde sluzba DNS, ale u jinych to bude IMHO 
podobne.

Precetl jsem ipchains-1.3.9/HOWTO-7.html, kde je podrobne rozepsany 
priklad na konfiguraci. Jsou zde 3 oblasti :

BAD  -- internet
GOOD -- vnitrni sit
DMZ  -- Demilitarized zone

Na DMZ je poveseny DNS server, ke kteremu je nakonfigurovan pristup 
jak z vnitrni site tak z internetu pomoci pravidel (forwarding) :

a) dotazy mirene na DNS

ipchains -A good-dmz -p tcp -d <adrDNS> --dport domain -j ACCEPT
ipchains -A good-dmz -p udp -d <adrDNS> --dport domain -j ACCEPT
ipchains -A bad-dmz  -p tcp -d <adrDNS> --dport domain -j ACCEPT
ipchains -A bad-dmz  -p udp -d <adrDNS> --dport domain -j ACCEPT

To je IMHO dobre srozumitelne.

Dale jsou pravidla pro odpovedi :

ipchains -A dmz-good -p udp      -s <adrDNS> --dport domain -j ACCEPT
ipchains -A dmz-good -p tcp ! -y -s <adrDNS> --dport domain -j ACCEPT
ipchains -A dmz-bad  -p udp      -s <adrDNS> --dport domain -j ACCEPT
ipchains -A dmz-bad  -p tcp ! -y -s <adrDNS> --dport domain -j ACCEPT

.. a nakonec filtr na sitovem rozhrani pro DMZ :
ipchains -A dmz-if -p udp      -s <adrDNS> --dport domain -j ACCEPT
ipchains -A dmz-if -p udp ! -y -s <adrDNS> --dport domain -j ACCEPT

To jeste taky dokazu vstrebat.



Ale jak by se mely pravidla nastavit, pokud by neexistovala DMZ a 
server DNS by bezel primo na FW ?

 - dotazy budou mirene jen z vnitrni (vnejsi) site na server, takze 
IMHO neni potreba pro DNS nastavovat forwarding (?)
 - povolim vstup techto paketu z vnitrni site a z vnejsi site
 - to by melo stacit (??)

ipchains -A bad-if  -p tcp --dport domain -j ACCEPT
ipchains -A bad-if  -p udp --dport domain -j ACCEPT
ipchains -A good-if -p tcp --dport domain -j ACCEPT
ipchains -A good-if -p udp --dport domain -j ACCEPT


V teto uvaze je nekde chyba. Po uvedenem nastaveni prestanou dotazy 
fungovat - vyzkouseno zatim pomoci "nslookup neco.domena.xyz" primo  
na serveru. Dotazy, ktere zna (ma v cache) odpovi hned, nove dotazy p 
chvili skonci s hlaskou "No response from server".

Co delam spatne ? Diky za nakopnuti.




--------------------------
Miroslav BENES
E-mail   : mbenes na tenez.cz
TENEZ Chotebor, a.s
--------------------------

Další informace o konferenci Linux