ipchains и DNS

0

0

на узле установлен DNS. Пытаюсь делать некий файрвод на ipchains. Закрыты все порты от 0 до 1023 + еще некоторые, кроме портов служб. Скрипт ниже. При этом DNS работать перестает. Что я делаю неверно ?

inter="eth1"; intra="eth0"; ppp="ppp0";

extip="212.16.215.104"; intip="192.168.1.1"; intnet="192.168.1.0/24"; lnet="127.0.0.0/8";

# локаольно можно все

#/sbin/ipchains -A input -s $lnet -d $lnet -j ACCEPT

# smtp (порт 25) пропускам во всех направлениях /sbin/ipchains -A input -s 0/0 -d 0/0 25 -p tcp -y -j ACCEPT /sbin/ipchains -A input -s 0/0 -d 0/0 25 -p udp -j ACCEPT

# http (web, порт 80) аналогично /sbin/ipchains -A input -s 0/0 -d 0/0 80 -p tcp -j ACCEPT /sbin/ipchains -A input -s 0/0 -d 0/0 80 -p udp -j ACCEPT

# http SSH разрешен /sbin/ipchains -A input -s 0/0 -d 0/0 22 -p tcp -j ACCEPT

# pop3 (порт 110) отдаем только во внутрь #/sbin/ipchains -A input -s $intnet -d $intnet 110 -p tcp -y -j ACCEPT #/sbin/ipchains -A input -s $lnet -d $lnet 110 -p tcp -y -j ACCEPT #/sbin/ipchains -A input -s $extip -d $extip 110 -p tcp -y -j ACCEPT

/sbin/ipchains -A input -s 0/0 -d 0/0 110 -p tcp -j ACCEPT /sbin/ipchains -A input -s 0/0 -d 0/0 110 -p udp -j ACCEPT

# SSl (порт 443) /sbin/ipchains -A input -s 0/0 443 -p tcp -y -j ACCEPT

# FTP - коннект снаружи запрещаем /sbin/ipchains -A input -s $intnet -d 0/0 21 -p tcp -y -j ACCEPT /sbin/ipchains -A input -s $lnet -d 0/0 21 -p tcp -y -j ACCEPT /sbin/ipchains -A input -i $inter -s 0/0 21 -p tcp -y -j REJECT /sbin/ipchains -A input -s 0/0 21 -p tcp -j ACCEPT /sbin/ipchains -A input -s 0/0 20 -p tcp -j ACCEPT

# DNS - разрешим /sbin/ipchains -A input -p tcp -s 0/0 -d 0/0 domain -j ACCEPT /sbin/ipchains -A input -p udp -s 0/0 -d 0/0 domain -j ACCEPT

# Mysql - вовнутрь /sbin/ipchains -A input -s $intnet -d 0/0 3306 -p tcp -j ACCEPT /sbin/ipchains -A input -s! $intnet -d 0/0 3306 -p tcp -j REJECT

# telnet /sbin/ipchains -A input -s $intnet -d 0/0 23 -p tcp -j ACCEPT

# IMAP /sbin/ipchains -A input -s 0/0 143 -p tcp -y -j ACCEPT

# ICQ /sbin/ipchains -A input -s 0/0 5190 -p tcp -j ACCEPT

# Твоя дырка /sbin/ipchains -A input -s 0/0 4000 -p tcp -j ACCEPT /sbin/ipchains -A input -s 0/0 9000 -p tcp -j ACCEPT

# зпретим всем все! /sbin/ipchains -A input -p tcp -s 0/0 -d 0/0 :1023 -y -j REJECT /sbin/ipchains -A input -p tcp -s 0/0 -d 0/0 :2049 -y -j REJECT

/sbin/ipchains -A input -p udp -s 0/0 -d 0/0 :1023 -j REJECT /sbin/ipchains -A input -p udp -s 0/0 -d 0/0 :2049 -j REJECT

/sbin/ipchains -A input -p tcp -s 0/0 -d 0/0 :1023 -y -j REJECT /sbin/ipchains -A input -p tcp -s 0/0 -d 0/0 :2049 -y -j REJECT

/sbin/ipchains -A input -p tcp -s 0/0 -d 0/0 6000:6009 -y -j REJECT /sbin/ipchains -A input -p tcp -s 0/0 -d 0/0 7100 -y -j REJECT

Ссылка

Во первых запрещать лучше цепопкой DENY DNs работает с твоих портов 1024+ на 53 порт на сервере тобиш /sbin/ipchains -A input -p udp -s 0/0 53 -d 0/0 1024: -j ACCEPT Во вторых если чето не работает делай DENY -l и смотри логи там все класно видно какой трафик блокируется

anonymous
(23.09.02 14:20:55 MSD)

Похожие темы