Iptables block/allow

Sendy schreef op dinsdag 29 oktober 2013 @ 12:05:
De eerste regel die matcht wordt gevolgd. Dus alles wordt gedropt.

Hero of Time schreef op dinsdag 29 oktober 2013 @ 12:38:
Enne, zit je DNS server achter een NAT? Want dan ziet-ie mogelijk alle inkomende data van je router komen, ipv de werkelijke externe IP die verbinding maakt.

[ Voor 6% gewijzigd door Osiris op 29-10-2013 12:40 ]

[ Voor 22% gewijzigd door Osiris op 29-10-2013 12:49 ]

Hero of Time schreef op dinsdag 29 oktober 2013 @ 12:38:
Houd je ook rekening mee met het type van je data? Dus dat NEW, RELATED en ESTABLISHED accept worden? Als je alleen NEW accepteert, wordt de rest alsnog weggegooid.

Hero of Time schreef op dinsdag 29 oktober 2013 @ 12:38:
Houd je ook rekening mee met het type van je data? Dus dat NEW, RELATED en ESTABLISHED accept worden? Als je alleen NEW accepteert, wordt de rest alsnog weggegooid.

UDP is stateless, dus dat is sowieso irrelevant

sudo iptables -F INPUT
sudo iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
sudo iptables -A INPUT -p udp --dport 53 -s [interneipvadresvanpc] -j ACCEPT
sudo iptables -A INPUT -p udp --dport 53 -s [mijnexterneipadres] -j ACCEPT
sudo iptables -A INPUT -p udp --dport 53 -s 8.8.8.8 -j ACCEPT
sudo iptables -A INPUT -p udp --dport 53 -j LOG
sudo iptables -A INPUT -p udp --dport 53 -j DROP

[ Voor 55% gewijzigd door Wolfboy op 29-10-2013 13:44 ]

CyBeR schreef op dinsdag 29 oktober 2013 @ 13:13:
[...]


Aangezien 'ie geen -m state gebruikt is dat niet van toepassing.

[ Voor 4% gewijzigd door Osiris op 29-10-2013 13:41 ]

Osiris schreef op dinsdag 29 oktober 2013 @ 13:39:
[...]

Jawel toch?

Aangezien een return-packet als SOURCE-port 53 heeft en als DESTINATION-IP het lokale IP, zeg maar, alles wat nu omgedraaid staat.

Kortom, dan stuurt iemand een UDP-pakketje naar dnsmasq, maar vervolgens weigert de server zichzelf om een pakketje terug te sturen.

Gevoelsmatig, heb bovenstaande niet getest

CyBeR schreef op dinsdag 29 oktober 2013 @ 13:46:
[...]


Dat klopt allemaal (voor een dns server overigens, niet voor een client die packets stuurt) maar heeft niks te maken met state TS selecteert gewoon op basiseigenschappen zonder state mee te tellen.

Osiris schreef op dinsdag 29 oktober 2013 @ 13:50:
[...]

Dan zou 'ie ook --sport moeten gebruiken i.p.v. --dport, right?

[ Voor 15% gewijzigd door CyBeR op 29-10-2013 13:53 ]

CyBeR schreef op dinsdag 29 oktober 2013 @ 13:52:
[...]


Nee want hij wil zorgen dat zijn DNS server, welke op poort 53 draait, niet gebruikt kan worden door onbekenden.

CyBeR schreef op dinsdag 29 oktober 2013 @ 13:52:
Of de laatste regel klopt ligt aan dnsmasq overigens; ik weet niet zeker of die ook queries vanaf poort 53 stuurt.

Osiris schreef op dinsdag 29 oktober 2013 @ 14:04:
[...]

Als ik 't DNS-protocol goed herinner, zou dat wel moeten AFAIK. Met als --dport () het random gekozen poort-nummer wat de client heeft gekozen. (Of dát bij DNS ook zo was, I dunno meer..) Vandaar dat --dport 53 sowieso verkeerd is AFAIK. Lijkt me sterk dat je een UDP-pakketje hebt die van 53 naar 53 gaat?

Dacuuu schreef op dinsdag 29 oktober 2013 @ 14:57:
Ik heb al jullie berichtjes nog gelezen, sommigen delen snap ik nog niet erg.

Eerst was het zo, zodra ik de -DROP regel deed, ik zelf geen connectie meer kon maken, -F commando om alles leeg te maken en ik had direct weer verbinding.

Nu met de regels uit mijn laatste post hier, kan ik zelf nog normaal verbinding maken. Ik hoop snel het echt extern te kunnen testen vanaf een pc buiten mijn eigen netwerk.

[ Voor 35% gewijzigd door CyBeR op 29-10-2013 15:45 ]

CyBeR schreef op dinsdag 29 oktober 2013 @ 15:39:
[...]


Dat kan prima. Als je een DNS server hebt die een recursive query doet, kan die vanaf poort 53 komen. Moet niet, mag wel.

De server die een client antwoordt zal inderdaad van poort 53 naar de random gekozen poort van de client gaan.

[ Voor 70% gewijzigd door Osiris op 29-10-2013 15:40 ]