Jail consultas DNS de saída para um único grupo com iptables não funciona

1

Estou tentando bloquear todas as consultas DNS da minha máquina por padrão e permitir apenas grupos específicos de usuários. Eu tento estas regras:

sudo su
groupadd dns-allowed
iptables -A OUTPUT -p udp --dport 53 -m owner --gid-owner dns-allowed -j ACCEPT
iptables -A OUTPUT -p udp --dport 53 -m state --state NEW -j REJECT

Com o segundo, as consultas DNS são bloqueadas com sucesso, mas eu tento iniciar o ping '' dentro de dns-allowed group, as consultas DNS ainda estão bloqueadas:

sudo sg dns-allowed "ping google.com"
ping: google.com: Name or service not known

Percebi que, se eu usar nslookup em vez de ping com especificação do servidor DNS 8.8.8.8 funciona quando iniciado com dns-allowed group, mas assim como ping falha, a maioria dos aplicativos ainda não pode usar o DNS :

sudo sg dns-allowed "nslookup google.com 8.8.8.8"
Server:     8.8.8.8
Address:    8.8.8.8#53

Non-authoritative answer:
Name:   google.com
Address: ....

resolv.conf

# Dynamic resolv.conf(5) file for glibc resolver(3) generated by resolvconf(8)
#     DO NOT EDIT THIS FILE BY HAND -- YOUR CHANGES WILL BE OVERWRITTEN
nameserver 8.8.8.8
nameserver 8.8.4.4
nameserver 127.0.0.53

Qual é o meu erro?

    
por Martin 02.03.2017 / 03:08

0 respostas