Como permitir que apenas o servidor acesse o serviço DNS

1

Eu tenho um servidor com IP 10.0.0.1/24 e tenho um firewall que é o gateway padrão com IP 10.0.0.2/24. Eu preciso definir permissões no firewall para permitir que apenas o servidor acesse o serviço de DNS. Eu tenho que usar o iptables.

    
por Marvic Grima 06.01.2018 / 02:13

2 respostas

2

Se sua cadeia FORWARD de firewall estiver fazendo DROP por padrão, isso deve ser suficiente:

iptables -A FORWARD -s 10.0.0.1 -p tcp --dport 53 -j ACCEPT
iptables -A FORWARD -s 10.0.0.1 -p udp --dport 53 -j ACCEPT

(o DNS usa a porta 53 UDP e TCP)

Se você também quiser especificar um servidor DNS 10.1.1.1, por exemplo:

iptables -A FORWARD -s 10.0.0.1 -d 10.1.1.1 -p tcp --dport 53 -j ACCEPT
iptables -A FORWARD -s 10.0.0.1 -d 10.1.1.1 -p udp --dport 53 -j ACCEPT

Você também pode configurar o servidor DNS para aceitar somente solicitações dos endereços IP / rede que são necessários para fornecer respostas em seus arquivos de configuração.

    
por 06.01.2018 / 02:22
1

(Assumindo que o bind DNS está sendo usado) - Por que não apenas o serviço / daemon do DNS só ouça em 127.0.0.1. Basta adicionar isso às opções para o daemon de ligação:

listen-on { 127.0.0.1; };

Em seguida, o servidor deve usar o servidor DNS em 127.0.0.1. Nenhuma regra de firewall necessária! :)

    
por 06.01.2018 / 05:29