Всем привет!
Есть сервер на centos 7 с dnsmasq, клиенты выходят через него в сеть. Сегодня разбирался в проблемах с доступом к App Store у клиентов и параллельно обнаружил, что почему-то не блокируется доступ к DNS на сервере с внешних ip, т.е. берем ip нашего сервера centos, вписываем в настройках сетевого соединения на любом устройстве, которое не в нашей сети, и видим, что сервер ресолвит запросы.
iptables -S:
-P INPUT DROP
-P FORWARD DROP
-P OUTPUT ACCEPT
-N f2b-zzzzzz
-A INPUT -p udp -m udp --dport 443 -j ACCEPT
-A INPUT -p udp -m multiport --dports 443 -j f2b-zzzzzz
-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -p tcp -m tcp --dport xxxxx -j ACCEPT
-A INPUT -p tcp -m tcp --dport xxxxx -m state --state NEW -m recent --set --name ssh --mask 255.255.255.255 --rsource
-A INPUT -p tcp -m tcp --dport xxxxx -m state --state NEW -m recent ! --rcheck --seconds 60 --hitcount 4 --name aaaaa --mask 255.255.255.255 --rsource -j ACCEPT
-A INPUT -s 10.8.0.0/24 -p udp -m udp --dport 53 -j ACCEPT
-A INPUT -s 10.8.0.0/24 -p tcp -m tcp --dport 53 -j ACCEPT
-A INPUT -p udp -m udp --dport 53 -j DROP
-A INPUT -p tcp -m tcp --dport 53 -j DROP
-A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -s 10.8.0.0/24 -j ACCEPT
-A FORWARD -j REJECT --reject-with icmp-port-unreachable
-A f2b-openvpn -j RETURN
