Serveur DNS bloqué par firewall

Recherche :

Mot : Pseudo : Filtrer
Bas de page
Auteur	Sujet : Serveur DNS bloqué par firewall

lincam

Voila j'ai installé un petit serveur DNS sur ma machine Linux (192.168.0.1) il fonctionne parfaitement le firewall coupé, mais quand celui ci est levé, je n'arrive plus a resoudre les dns (nslookup me dit qu'il ne peut etablire de connexion)

Voici le script :

Code :

#!/bin/bash
#####################
# Reset du firewall #
#####################
iptables -F
iptables -X
iptables -P INPUT ACCEPT
iptables -P FORWARD ACCEPT
iptables -P OUTPUT ACCEPT
######
# IP #
######
INET_IP="192.168.0.1"
INET_IFACE="eth0"
#############
# Localhost #
#############
LO_IFACE="lo"
LO_IP="127.0.0.1"
###########################
# IPTables Configuration #
##########################
IPTABLES="/sbin/iptables"
######################
# Proc configuration #
######################
echo "1" > /proc/sys/net/ipv4/ip_forward
####################
# Bloquer les Ping #
####################
echo "1" > /proc/sys/net/ipv4/icmp_echo_ignore_all
#########################
# Bloquer le BroadCasts #
#########################
echo "1" > /proc/sys/net/ipv4/icmp_echo_ignore_broadcasts
$IPTABLES -P INPUT DROP
$IPTABLES -P OUTPUT DROP
$IPTABLES -P FORWARD DROP
###############
# Bad Packets #
###############
$IPTABLES -N bad_tcp_packets
###############
# ICMP TCP UP #
###############
$IPTABLES -N allowed
$IPTABLES -N icmp_packets
$IPTABLES -N tcp_packets
$IPTABLES -N udpincoming_packets
###################
# Bad_tcp_packets #
###################
$IPTABLES -A bad_tcp_packets -p tcp ! --syn -m state --state NEW -j LOG \
--log-prefix "New not syn:"
$IPTABLES -A bad_tcp_packets -p tcp ! --syn -m state --state NEW -j DROP
###########
# Allowed #
###########
$IPTABLES -A allowed -p TCP --syn -j ACCEPT
$IPTABLES -A allowed -p TCP -m state --state ESTABLISHED,RELATED -j ACCEPT
$IPTABLES -A allowed -p TCP -j DROP
################
# TCP/IP Rules #
################
#-> SSH
$IPTABLES -A tcp_packets -p TCP -s 0/0 --dport 22 -j allowed
#-> APACHE
$IPTABLES -A tcp_packets -p TCP -s 0/0 --dport 80 -j allowed
#-> FTP
$IPTABLES -A tcp_packets -p TCP -s 0/0 --dport 21 -j allowed
#######
# DNS #
#######
$IPTABLES -A INPUT -i eth0 --protocol udp --source-port 53 -j ACCEPT
$IPTABLES -A OUTPUT -o eth0 --protocol udp --destination-port 53 -j ACCEPT
$IPTABLES -A INPUT -i eth0 --protocol tcp --source-port 53 -j ACCEPT
$IPTABLES -A OUTPUT -o eth0 --protocol tcp --destination-port 53 -j ACCEPT
##############
# ICMP rules #
##############
$IPTABLES -A icmp_packets -p ICMP -s 0/0 --icmp-type 8 -j DROP
$IPTABLES -A icmp_packets -p ICMP -s 0/0 --icmp-type 11 -j DROP
###################################
# Packet TCP/IP en INPUT : DENIED #
###################################
$IPTABLES -A INPUT -p tcp -j bad_tcp_packets
##############################
# INPUT, debloquer 127.0.0.1 #
##############################
$IPTABLES -A INPUT -p ALL -i $LO_IFACE -s $LO_IP -j ACCEPT
#########################
# Rules rezeau en INPUT #
#########################
$IPTABLES -A INPUT -p ALL -d $INET_IP -m state --state ESTABLISHED,RELATED \
-j ACCEPT
$IPTABLES -A INPUT -p TCP -i $INET_IFACE -j tcp_packets
$IPTABLES -A INPUT -p UDP -i $INET_IFACE -j udpincoming_packets
$IPTABLES -A INPUT -p ICMP -i $INET_IFACE -j icmp_packets
#######
# Log #
#######
$IPTABLES -A INPUT -m limit --limit 3/minute --limit-burst 3 -j LOG \
--log-level DEBUG --log-prefix "IPT INPUT packet died: "
####################################
# Packet TCP/IP en OUTPUT : DENIED #
####################################
$IPTABLES -A OUTPUT -p tcp -j bad_tcp_packets
################
# LAN ou Local #
################
$IPTABLES -A OUTPUT -p ALL -s $LO_IP -j ACCEPT
$IPTABLES -A OUTPUT -p ALL -s $INET_IP -j ACCEPT
#######
# Log #
#######
$IPTABLES -A OUTPUT -m limit --limit 3/minute --limit-burst 3 -j LOG \
--log-level DEBUG --log-prefix "IPT OUTPUT packet died: "

Je pense pourtant avoir autorisé correctement les dns mais ca ne fonctionne pas

si quelqu'un voit le probleme dans mon script ...

Publicité

Aragorn_1er

Le jihad butlérian est proche

Code :

$IPTABLES -A INPUT -i eth0 --protocol udp --source-port 53 -j ACCEPT
$IPTABLES -A OUTPUT -o eth0 --protocol udp --destination-port 53 -j ACCEPT
$IPTABLES -A INPUT -i eth0 --protocol tcp --source-port 53 -j ACCEPT
$IPTABLES -A OUTPUT -o eth0 --protocol tcp --destination-port 53 -j ACCEPT

deja ca ne sert a rien les input, tu veux pas faire serveur de dns pour le net n'est-ce pas ?
eth0 c bien l'interface ou est branché ton modem ?
sinon regarde les logs ...

A+

Message édité par Aragorn_1er le 21-04-2003 à 13:19:15

lincam

Aragorn_1er a écrit :

Code :

$IPTABLES -A INPUT -i eth0 --protocol udp --source-port 53 -j ACCEPT
$IPTABLES -A OUTPUT -o eth0 --protocol udp --destination-port 53 -j ACCEPT
$IPTABLES -A INPUT -i eth0 --protocol tcp --source-port 53 -j ACCEPT
$IPTABLES -A OUTPUT -o eth0 --protocol tcp --destination-port 53 -j ACCEPT

deja ca ne sert a rien les input, tu veux pas faire serveur de dns pour le net n'est-ce pas ?
eth0 c bien l'interface ou est branché ton modem ?
sinon regarde les logs ...

A+

En fait le serveur est connecté a un switch lui meme relié a un routuer qui lui a mla connexion internet

becket

il me semble que :

Code :

$IPTABLES -A INPUT -i eth0 --protocol udp --dport 53 -j ACCEPT
$IPTABLES -A OUTPUT -o eth0 --protocol udp --sport 53 -j ACCEPT
$IPTABLES -A INPUT -i eth0 --protocol tcp --dport 53 -j ACCEPT
$IPTABLES -A OUTPUT -o eth0 --protocol tcp --sport 53 -j ACCEPT

me parait plus logique ( mais non vérifié )

lincam

becket a écrit :

il me semble que :

Code :

$IPTABLES -A INPUT -i eth0 --protocol udp --dport 53 -j ACCEPT
$IPTABLES -A OUTPUT -o eth0 --protocol udp --sport 53 -j ACCEPT
$IPTABLES -A INPUT -i eth0 --protocol tcp --dport 53 -j ACCEPT
$IPTABLES -A OUTPUT -o eth0 --protocol tcp --sport 53 -j ACCEPT

me parait plus logique ( mais non vérifié )

Ne fonctionne pas non plus
Vraiment je ne comprends pas

Aragorn_1er

Le jihad butlérian est proche

Ca ne sert a rien de mettre des input !
quand tu fais une requete dns tu initie une connexion, pas l'inverse c pas le serveur qui se demande de te connecter a toi !
de plus avec ca la connexion n auras aucun pbs :

Code :

$IPTABLES -A allowed -p TCP -m state --state ESTABLISHED,RELATED -j ACCEPT

peux tu nous sortir un : iptables -L -v

A+

lincam

Code :

Chain INPUT (policy DROP 195 packets, 17860 bytes)
pkts bytes target prot opt in out source destination
0 0 ACCEPT udp -- eth0 any anywhere anywhere udp dpt:domain
0 0 ACCEPT tcp -- eth0 any anywhere anywhere tcp dpt:domain
162 8024 bad_tcp_packets tcp -- any any anywhere anywhere
0 0 ACCEPT all -- lo any Master anywhere
111 5904 ACCEPT all -- any any anywhere 192.168.0.1 state RELATED,ESTABLISHED
1 48 tcp_packets tcp -- eth0 any anywhere anywhere
79 9551 udpincoming_packets udp -- eth0 any anywhere anywhere
24 672 icmp_packets icmp -- eth0 any anywhere anywhere
33 2643 LOG all -- any any anywhere anywhere limit: avg 3/min burst 3 LOG level debug prefix `IPT INPUT packet died: '
Chain FORWARD (policy DROP 0 packets, 0 bytes)
pkts bytes target prot opt in out source destination
Chain OUTPUT (policy DROP 0 packets, 0 bytes)
pkts bytes target prot opt in out source destination
0 0 ACCEPT udp -- any eth0 anywhere anywhere udp spt:domain
0 0 ACCEPT tcp -- any eth0 anywhere anywhere tcp spt:domain
98 10235 bad_tcp_packets tcp -- any any anywhere anywhere
0 0 ACCEPT all -- any any Master anywhere
215 18652 ACCEPT all -- any any 192.168.0.1 anywhere
0 0 LOG all -- any any anywhere anywhere limit: avg 3/min burst 3 LOG level debug prefix `IPT OUTPUT packet died: '
Chain allowed (3 references)
pkts bytes target prot opt in out source destination
1 48 ACCEPT tcp -- any any anywhere anywhere tcp flags:SYN,RST,ACK/SYN
0 0 ACCEPT tcp -- any any anywhere anywhere state RELATED,ESTABLISHED
0 0 DROP tcp -- any any anywhere anywhere
Chain bad_tcp_packets (2 references)
pkts bytes target prot opt in out source destination
50 2072 LOG tcp -- any any anywhere anywhere tcp flags:!SYN,RST,ACK/SYN state NEW LOG level warning prefix `New not syn:'
50 2072 DROP tcp -- any any anywhere anywhere tcp flags:!SYN,RST,ACK/SYN state NEW
Chain icmp_packets (1 references)
pkts bytes target prot opt in out source destination
24 672 DROP icmp -- any any anywhere anywhere icmp echo-request
0 0 DROP icmp -- any any anywhere anywhere icmp time-exceeded
Chain tcp_packets (1 references)
pkts bytes target prot opt in out source destination
1 48 allowed tcp -- any any anywhere anywhere tcp dpt:ssh
0 0 allowed tcp -- any any anywhere anywhere tcp dpt:http
0 0 allowed tcp -- any any anywhere anywhere tcp dpt:ftp
Chain udpincoming_packets (1 references)
pkts bytes target prot opt in out source destination
0 0 ACCEPT udp -- any any 192.168.0.0/23 anywhere udp dpt:27016
0 0 ACCEPT udp -- any any 192.168.0.0/23 anywhere udp dpt:27017
0 0 ACCEPT udp -- any any 192.168.0.0/23 anywhere udp dpt:27018
0 0 ACCEPT udp -- any any 192.168.0.0/23 anywhere udp dpt:27019
0 0 ACCEPT udp -- any any 192.168.0.0/23 anywhere udp dpt:27020
0 0 ACCEPT udp -- any any 192.168.0.0/23 anywhere udp dpt:27025

Merci de ton aide

Aragorn_1er

Le jihad butlérian est proche

Met ca :

Code :

$IPTABLES -A OUTPUT -o eth0 -p udp --dport 53 -j ACCEPT
$IPTABLES -A OUTPUT -o eth0 -p tcp --dport 53 -j ACCEPT

Mais regarde dans les logs pour voir ce ki est refuser !

A+

lincam

Aragorn_1er a écrit :

Met ca :

Code :

$IPTABLES -A OUTPUT -o eth0 -p udp --dport 53 -j ACCEPT
$IPTABLES -A OUTPUT -o eth0 -p tcp --dport 53 -j ACCEPT

Mais regarde dans les logs pour voir ce ki est refuser !

A+

j'ai un petit probleme pour regarder dans les logs ( honte a venir ) je ne sais pas ou ils ce trouvent :cry:

Aragorn_1er

Le jihad butlérian est proche

Ben dans syslog normallement et aussi dans kern.log .

A+

Publicité

nikosaka

d'après ton 1er post j'ai compris que tu as un serveur dns pour ton reseau local.
donc si je ne me trompe pas tu as inversé tes sport et dport.
essaye
iptables -A INPUT -i eth0 -p udp -s $ip_lan --sport 1024: --dport 53 -m state --state ! INVALID -j ACCEPT
iptables -A OUTPUT -o eth0 -p udp -d $ip_lan --sport 53 --dport 1024: -m state --state ESTABLISHED,RELATED -j ACCEPT.

où ip_lan=192.168.0.0/24 (ton id reseau)

ton serveur dns écoute sur le port 53 en udp (et tcp pour les + gros paquets).accepte donc les nouveaux paquets en provenance de ton LAN qui ont 53 comme dport (et >1024 comme sport)

Message édité par nikosaka le 21-04-2003 à 14:24:55

lincam

nikosaka a écrit :

d'après ton 1er post j'ai compris que tu as un serveur dns pour ton reseau local.
donc si je ne me trompe pas tu as inversé tes sport et dport.
essaye
iptables -A INPUT -i eth0 -p udp -s $ip_lan --sport 1024:--dport 53 -m state --state ! INVALID -j ACCEPT
iptables -A OUTPUT -o eth0 -p udp -d $ip_lan --sport 53 --dport 1024: -m state --state ESTABLISHED,RELATED -j ACCEPT.

où ip_lan=192.168.0.0/24 (ton id reseau)

ton serveur dns écoute sur le port 53 en udp (et tcp pour les + gros paquets).accepte donc les nouveaux paquets en provenance de ton LAN qui ont 53 comme dport (et >1024 comme sport)

quand je mets ce que tu m'as dit iptable me sort ce message d'erreur:

iptables v1.2.6a: invalid UDP port/service `--dport' specified
Try `iptables -h' or 'iptables --help' for more information.
iptables v1.2.6a: invalid UDP port/service `-m' specified
Try `iptables -h' or 'iptables --help' for more information.

nikosaka

soory fais gaffe aux espaces
je vais éditer mon poste

com21

real men don't click

linux n'est plus un os alternatif ?

bizarre .....

$IPTABLES -P OUTPUT ACCEPT

et on en parle plus

Message édité par com21 le 21-04-2003 à 14:24:42

---------------
Cherche geekette | Traquez vos billets d'€ | Don du sang | Don de moelle osseuse

Aragorn_1er

Le jihad butlérian est proche

DNS c'est de l'udp ET du tcp .

De plus apprement en regardant les regles de ton firewall tu n a pas de lan donc le input ne sert a rien !

et les logs ca donne koi ?

sinon pour :

Citation :

iptables v1.2.6a: invalid UDP port/service `--dport' specified
Try `iptables -h' or 'iptables --help' for more information.
iptables v1.2.6a: invalid UDP port/service `-m' specified
Try `iptables -h' or 'iptables --help' for more information.

ces des erreurs de syntaxes

A+

lincam

pour les log je n'arive as a mettre la main dessus

Aragorn_1er

Le jihad butlérian est proche

Y a rien dans /var/log/kernel.olg ou /var/logsyslog ?

as tu ceci :
ps aux |grep klogd
root 187 0.0 0.5 1880 1148 ? S Apr07 0:11 /sbin/klogd

A+

lincam

Aragorn_1er a écrit :

Y a rien dans /var/log/kernel.olg ou /var/logsyslog ?

as tu ceci :
ps aux |grep klogd
root 187 0.0 0.5 1880 1148 ? S Apr07 0:11 /sbin/klogd

A+

rien et
ps aux | grep klogd

me donne :
ps aux |grep klogd
root 949 0.0 0.0 3280 504 pts/0 S 04:33 0:00 grep klogd

le passant

DNS est à moulte % de l'udp, donc inutile d'autoriser du tcp..

Rien qu'en udp ça fonctionne parfaitement !!! Autoriser le tcp, je veux bien moi, mais...

T'as déjà logué le traffic sur le port 53 généré par un serveur DNS Aragorn_1er ???
A part tout plein de truc en Udp, moi je n'ai rien vue (à si, une saturation du DD ).
Et aussi, bloque les INPUT, tout de suite ça marche mieux !!!! (comment le serveur DNS il sait que ça requète fonctionne bien ???)

Une petite question bète comme choux... Lincam, comment réalises-tu les DNs chez toi ???

La machine relier à ton réseau EST la passerelle et c'est elle qui s'en charge (dans ce cas, c'est bien sur les règles INPUT qu'il faut travailler).
Ou ce sont les machines derrire la passerelle qui s'en charge ?? (et la c'est FORWARD).

Le passant.

nikosaka

c éditer.
effectivement le dns c'est de l udp et du tcp mais le tcp est utilisé que pour les gros + paquets
si tu peux préciser l'utilisation de ton serveur, si c'est le serveur dns d'un LAN . dans ce cas tu doit avoir des règles INPUT : on a jamais vu un serveur refusé des connexions :sarcastic:

Message édité par nikosaka le 21-04-2003 à 14:41:20

lincam

Le serveur de DNS est un serveur LAN mais qui a un forward vers les DNS de mon providers des qu'il s'agit de resourdre les nom de domaines classqiue (en gros mon dns local me sert pour l'ntranet)

Le passant je ne comprends pas trop t'as question, mais je vais essayer d'etre precis

La machine ou ce trouve bind (le linux) n'est pas la paserelle detenant la connexion, la passerelle est un routeur hardware.

Message édité par lincam le 21-04-2003 à 14:42:30

le passant

Tiens, vous me faites douter...

Va falloir que je révise tout ça moi .

Le passant.

nikosaka

alors rajoute ça aussi :
$ipt -A INPUT -i $INET_IFACE -p udp --sport 53 --dport 1024: -s $DNS1 -m state --state ESTABLISHED,RELATED -j ACCEPT
$ipt -A INPUT -i $INET_IFACE -p udp --sport 53 --dport 1024: -s $DNS2 -m state --state ESTABLISHED,RELATED -j ACCEPT
$ipt -A OUTPUT -o $INET_IFACE -p udp --sport 1024: --dport 53 -d $DNS1 -m state --state ! INVALID -j ACCEPT
$ipt -A OUTPUT -o $INET_IFACE -p udp --sport 1024: --dport 53 -d $DNS2 -m state --state ! INVALID -j ACCEPT

où dns1 et dns2 sont les ip du dns de ton FAI
tu peux rajouter les m$emes règles en tcp mais ce n'est pas obligatoire

Message édité par nikosaka le 21-04-2003 à 14:44:48

Aragorn_1er

Le jihad butlérian est proche

Citation :

effectivement le dns c'est de l udp et du tcp mais le tcp est utilisé que pour les gros + paquets

Bon chui pas tout seul a avoir le meme avis ...

ET comme je le dis avant ( encore faudrait t-il lire mes posts )

Citation :

Ca ne sert a rien de mettre des input !
quand tu fais une requete dns tu initie une connexion, pas l'inverse c pas le serveur qui demande de se connecter a toi !
de plus, avec ca la connexion n auras aucun pbs :

Code :

$IPTABLES -A allowed -p TCP -m state --state ESTABLISHED,RELATED -j ACCEPT

en gros cette ligne assure le suivi de la connexion !

A+

Aragorn_1er

Le jihad butlérian est proche

Citation :

Le serveur de DNS est un serveur LAN mais qui a un forward vers les DNS de mon providers des qu'il s'agit de resourdre les nom de domaines classqiue (en gros mon dns local me sert pour l'ntranet)

La machine ou ce trouve bind (le linux) n'est pas la paserelle detenant la connexion, la passerelle est un routeur hardware.

Est-ce que ton firewall est installer sur la meme machine que ton serveur dns ?

A+

lincam

Aragorn_1er a écrit :

Citation :

Le serveur de DNS est un serveur LAN mais qui a un forward vers les DNS de mon providers des qu'il s'agit de resourdre les nom de domaines classqiue (en gros mon dns local me sert pour l'ntranet)

La machine ou ce trouve bind (le linux) n'est pas la paserelle detenant la connexion, la passerelle est un routeur hardware.

Est-ce que ton firewall est installer sur la meme machine que ton serveur dns ?

A+

Oui et la machine qui heberge le serveur dns a comme dns le serveur quelle heberge

le passant

lincam a écrit :

Le passant je ne comprends pas trop t'as question, mais je vais essayer d'etre precis

La machine ou ce trouve bind (le linux) n'est pas la paserelle detenant la connexion, la passerelle est un routeur hardware.

C'est bon, c'est bon... Donc, ça n'est po trop normal que ça ne fonctionne po.

Tu as essayé ce que te propose nikosaka ?? Je n'ai malheureusement rien de mieux à te proposer.

LE passant.

lincam

Le passant a écrit :

C'est bon, c'est bon... Donc, ça n'est po trop normal que ça ne fonctionne po.

Tu as essayé ce que te propose nikosaka ?? Je n'ai malheureusement rien de mieux à te proposer.

LE passant.

Tout a fait, voici la version acutelle du firewall (qui bloque tjrs les dns ) :

Code :

#!/bin/bash
#####################
# Reset du firewall #
#####################
iptables -F
iptables -X
iptables -P INPUT ACCEPT
iptables -P FORWARD ACCEPT
iptables -P OUTPUT ACCEPT
######
# IP #
######
INET_IP="192.168.0.1"
INET_IFACE="eth0"
#############
# Localhost #
#############
LO_IFACE="lo"
LO_IP="127.0.0.1"
###########################
# IPTables Configuration #
##########################
IPTABLES="/sbin/iptables"
######################
# Proc configuration #
######################
echo "1" > /proc/sys/net/ipv4/ip_forward
####################
# Bloquer les Ping #
####################
echo "1" > /proc/sys/net/ipv4/icmp_echo_ignore_all
#########################
# Bloquer le BroadCasts #
#########################
echo "1" > /proc/sys/net/ipv4/icmp_echo_ignore_broadcasts
#########
# Rulse #
#########
$IPTABLES -P INPUT DROP
$IPTABLES -P OUTPUT DROP
$IPTABLES -P FORWARD ACCEPT
###############
# Bad Packets #
###############
$IPTABLES -N bad_tcp_packets
###############
# ICMP TCP UP #
###############
$IPTABLES -N allowed
$IPTABLES -N icmp_packets
$IPTABLES -N tcp_packets
$IPTABLES -N udpincoming_packets
###################
# Bad_tcp_packets #
###################
$IPTABLES -A bad_tcp_packets -p tcp ! --syn -m state --state NEW -j LOG \
--log-prefix "New not syn:"
$IPTABLES -A bad_tcp_packets -p tcp ! --syn -m state --state NEW -j DROP
###########
# Allowed #
###########
$IPTABLES -A allowed -p TCP --syn -j ACCEPT
$IPTABLES -A allowed -p TCP -m state --state ESTABLISHED,RELATED -j ACCEPT
$IPTABLES -A allowed -p TCP -j DROP
################
# TCP/IP Rules #
################
#-> SSH
$IPTABLES -A tcp_packets -p TCP -s 0/0 --dport 22 -j allowed
#-> APACHE
$IPTABLES -A tcp_packets -p TCP -s 0/0 --dport 80 -j allowed
#-> FTP
$IPTABLES -A tcp_packets -p TCP -s 0/0 --dport 21 -j allowed
#############
# UDP Rules #
#############
ip_lan=192.168.0.0/24
$IPTABLES -A INPUT -i eth0 -p udp -s $ip_lan --sport 1024: --dport 53 -m state --state ! INVALID -j ACCEPT
$IPTABLES -A OUTPUT -o eth0 -p udp -d $ip_lan --sport 53 --dport 1024: -m state --state ESTABLISHED,RELATED -j ACCEPT
$IPTABLES -A INPUT -i $INET_IFACE -p udp --sport 53 --dport 1024: -s 194.2.0.20 -m state --state ESTABLISHED,RELATED -j ACCEPT
$IPTABLES -A INPUT -i $INET_IFACE -p udp --sport 53 --dport 1024: -s 194.2.0.50 -m state --state ESTABLISHED,RELATED -j ACCEPT
$IPTABLES -A OUTPUT -o $INET_IFACE -p udp --sport 1024: --dport 53 -d 194.2.0.20 -m state --state ! INVALID -j ACCEPT
$IPTABLES -A OUTPUT -o $INET_IFACE -p udp --sport 1024: --dport 53 -d 194.2.0.50 -m state --state ! INVALID -j ACCEPT
##############
# ICMP rules #
##############
$IPTABLES -A icmp_packets -p ICMP -s 0/0 --icmp-type 8 -j DROP
$IPTABLES -A icmp_packets -p ICMP -s 0/0 --icmp-type 11 -j DROP
###################################
# Packet TCP/IP en INPUT : DENIED #
###################################
$IPTABLES -A INPUT -p tcp -j bad_tcp_packets
##############################
# INPUT, debloquer 127.0.0.1 #
##############################
$IPTABLES -A INPUT -p ALL -i $LO_IFACE -s $LO_IP -j ACCEPT
#########################
# Rules rezeau en INPUT #
#########################
$IPTABLES -A INPUT -p ALL -d $INET_IP -m state --state ESTABLISHED,RELATED \
-j ACCEPT
$IPTABLES -A INPUT -p TCP -i $INET_IFACE -j tcp_packets
$IPTABLES -A INPUT -p UDP -i $INET_IFACE -j udpincoming_packets
$IPTABLES -A INPUT -p ICMP -i $INET_IFACE -j icmp_packets
#######
# Log #
#######
$IPTABLES -A INPUT -m limit --limit 3/minute --limit-burst 3 -j LOG \
--log-level DEBUG --log-prefix "IPT INPUT packet died: "
####################################
# Packet TCP/IP en OUTPUT : DENIED #
####################################
$IPTABLES -A OUTPUT -p tcp -j bad_tcp_packets
################
# LAN ou Local #
################
$IPTABLES -A OUTPUT -p ALL -s $LO_IP -j ACCEPT
$IPTABLES -A OUTPUT -p ALL -s $INET_IP -j ACCEPT
#######
# Log #
#######
$IPTABLES -A OUTPUT -m limit --limit 3/minute --limit-burst 3 -j LOG \
--log-level DEBUG --log-prefix "IPT OUTPUT packet died: "

si je fais : host google.fr j'ai droit a un beau :

;; connection timed out; no servers could be reached

Message édité par lincam le 21-04-2003 à 14:59:43

le passant

Un truc que j'ai remarqué et que je ne m'explique pas du tout (chez moi hein, donc tu peux peut-être essayer et voir...) : si je précise les 1024:, à chaque fois je me paye un timeout, sans, ça marche :??: :??: .

Comprends po, mais essaye. Sais-t'on jamais ??

Le passant.

nikosaka

tu devrais essayer de mettre les règles que je t'ai donné le plus possible en haut de ton script.
avant tes chaînes perso bad packet, icmp, allowed et tcp/ip rules

Publicité

FORUM HardWare.fr

Linux et OS Alternatifs

réseaux et sécurité

Serveur DNS bloqué par firewall

Sujets relatifs
Connaitre le type d'un serveur web (ex : iis ou apache ?) ?	Petits problèmes avec mon serveur web
Me suis fait hacker mon serveur	[DNS] zone reverse domaine - edit : ok c bon
Récupérer la résolution du serveur X...	Solution pour le problème du curseur bloqué dans Quake avec ATI !!
wineX et serveur de jeu dedicated win32	[debian] serveur de mail local
Utiliser le serveur X pour plusieurs utilisateurs	[DNS] problemes AIDE GENTOO
Plus de sujets relatifs à : Serveur DNS bloqué par firewall

Page générée en 0.166 secondes