Estou tentando bloquear todas as consultas DNS da minha máquina por padrão e permitir apenas grupos específicos de usuários. Eu tento estas regras:
sudo su
groupadd dns-allowed
iptables -A OUTPUT -p udp --dport 53 -m owner --gid-owner dns-allowed -j ACCEPT
iptables -A OUTPUT -p udp --dport 53 -m state --state NEW -j REJECT
Com o segundo, as consultas DNS são bloqueadas com sucesso, mas eu tento iniciar o ping '' dentro de dns-allowed group, as consultas DNS ainda estão bloqueadas:
sudo sg dns-allowed "ping google.com"
ping: google.com: Name or service not known
Percebi que, se eu usar nslookup em vez de ping com especificação do servidor DNS 8.8.8.8 funciona quando iniciado com dns-allowed group, mas assim como ping falha, a maioria dos aplicativos ainda não pode usar o DNS :
sudo sg dns-allowed "nslookup google.com 8.8.8.8"
Server: 8.8.8.8
Address: 8.8.8.8#53
Non-authoritative answer:
Name: google.com
Address: ....
resolv.conf
# Dynamic resolv.conf(5) file for glibc resolver(3) generated by resolvconf(8)
# DO NOT EDIT THIS FILE BY HAND -- YOUR CHANGES WILL BE OVERWRITTEN
nameserver 8.8.8.8
nameserver 8.8.4.4
nameserver 127.0.0.53
Qual é o meu erro?