forum.opennet.ru - "Закрыть DNS извне в FEDORA" (9)

форумы

помощь

поиск

регистрация

майллист

вход/выход

слежка

"Закрыть DNS извне в FEDORA"

Форум Информационная безопасность (Linux iptables, ipchains)
Вариант для распечатки		Пред. тема \| След. тема
Изначальное сообщение		[ Отслеживать ]

"Закрыть DNS извне в FEDORA"	+/–
Сообщение от DrS (ok) on 19-Апр-13, 17:18
Проблема следующая: огромный поток запросов на udp 53 порт. Пытаюсь закрыть в iptables но без успешно :( http://www.networkcenter.info/tests/portcheck показывает что порт открыт правило прописал такое: -A INPUT -i eth0 -p tcp -m tcp --dport 53 -j DROP -A INPUT -i eth0 -p udp --dport 53 -j DROP Может где-то еще я что-то упустил? Спасибо за помощь.
Ответить \| Правка \| Cообщить модератору

Оглавление

Закрыть DNS извне в FEDORA, PavelR, 17:29 , 19-Апр-13, (1)
Закрыть DNS извне в FEDORA, Дядя_Федор, 17:31 , 19-Апр-13, (2)

Закрыть DNS извне в FEDORA, DrS, 17:41 , 19-Апр-13, (3)

Закрыть DNS извне в FEDORA, Shanyou, 18:16 , 19-Апр-13, (4)

Закрыть DNS извне в FEDORA, Shanyou, 18:17 , 19-Апр-13, (5)

Закрыть DNS извне в FEDORA, Mr. Mistoffelees, 18:21 , 19-Апр-13, (6)
Закрыть DNS извне в FEDORA, John, 06:40 , 20-Апр-13, (7)
Закрыть DNS извне в FEDORA, pavlinux, 14:18 , 20-Апр-13, (8)
Закрыть DNS извне в FEDORA, andy03, 11:20 , 25-Апр-13, (9)

Сообщения по теме [Сортировка по времени | RSS]

1. "Закрыть DNS извне в FEDORA" +/–

Сообщение от PavelR (ok) on 19-Апр-13, 17:29

> Может где-то еще я что-то упустил?
Забыли документацию почитать, книги по линуксу.
> Спасибо за помощь.
Правила исполняются в определенном порядке, и каждое правило по отдельности само по себе ничего не значит.

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

2. "Закрыть DNS извне в FEDORA" +/–

Сообщение от Дядя_Федор on 19-Апр-13, 17:31

Если все верно с интерфейсами и цепочками (ну, вдруг у вас обращение к ДНС идет через форвард) - то вроде то, что надо. Для информации - TCP используется только вторичными ДНС-серверами для синхронизации зон (ну и первичными для отдачи, естественно). Ну и хацкерами, пытающимися сделать то же самое, естественно (если это разрешено настройками ДНС). Обычные клиенты используют UDP. Ну и, естественно, лучше было бы в INPUT поставить политику по умолчанию DROP и разрешить те порты, которые необходимы для работы. Ну и, естественно, в INPUT может быть какое-то правило, которое может разрешать прохождение пакетов на указанные выше порты. Ибо -A добавляет правило в КОНЕЦ цепочки. :) Раз уж так хочется именно вот так - добавляйте его в НАЧАЛО. Ключом -I, естественно.

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

3. "Закрыть DNS извне в FEDORA" +/–

Сообщение от DrS (ok) on 19-Апр-13, 17:41

>[оверквотинг удален]
> к ДНС идет через форвард) - то вроде то, что надо.
> Для информации - TCP используется только вторичными ДНС-серверами для синхронизации зон
> (ну и первичными для отдачи, естественно). Ну и хацкерами, пытающимися сделать
> то же самое, естественно (если это разрешено настройками ДНС). Обычные клиенты
> используют UDP. Ну и, естественно, лучше было бы в INPUT поставить
> политику по умолчанию DROP и разрешить те порты, которые необходимы для
> работы. Ну и, естественно, в INPUT может быть какое-то правило, которое
> может разрешать прохождение пакетов на указанные выше порты. Ибо -A добавляет
> правило в КОНЕЦ цепочки. :) Раз уж так хочется именно вот
> так - добавляйте его в НАЧАЛО. Ключом -I, естественно.
Спасибо что отозвались
-I INPUT -i eth0 -p udp --dport 53 -j DROP
Сделал так, ничего не поменяло :(
Вообще все порты вроде закрыты, которые были открыты закрыл принудительно.
Может есть еще где-то конфиг какой-то?
Я к сожалению в линуксе не очень :(
:PREROUTING ACCEPT [226016:17503435]
:POSTROUTING ACCEPT [106697:5984894]
:OUTPUT ACCEPT [69448:3072286]
COMMIT
# Completed on Mon May 30 12:27:28 2011
# Generated by iptables-save v1.3.7 on Mon May 30 12:27:28 2011
*filter
:INPUT ACCEPT [1663198:1079718327]
:FORWARD ACCEPT [12523476:5371631954]
:OUTPUT ACCEPT [2106441:1092490640]
-A INPUT -i eth0 -p tcp -m tcp --dport 139 -j DROP
-A INPUT -i eth3 -p tcp -m tcp --dport 139 -j DROP
-A INPUT -i eth0 -p tcp -m tcp --dport 53 -j DROP
-I INPUT -i eth0 -p udp --dport 53 -j DROP
-A INPUT -i eth0 -p tcp -m tcp --dport 8080 -j DROP
-A INPUT -i eth0 -p tcp -m tcp --dport 111 -j DROP
-A INPUT -i eth0 -p tcp -m tcp --dport 3306 -j DROP
COMMIT
# Completed on Mon May 30 12:27:28 2011
# Generated by iptables-save v1.3.7 on Mon May 30 12:27:28 2011
*mangle
:PREROUTING ACCEPT [29259201:26997372817]
:INPUT ACCEPT [1675182:1080061727]
:FORWARD ACCEPT [27504700:25910545951]
:OUTPUT ACCEPT [2106441:1092490640]
:POSTROUTING ACCEPT [29612358:27003188615]
COMMIT
# Completed on Mon May 30 12:27:28 2011

Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

4. "Закрыть DNS извне в FEDORA" +/–

Сообщение от Shanyou on 19-Апр-13, 18:16

у вас по умолчанию все разрешено, поэтому и не отрабатываются правила.. УВАС ДОЛЖЕН БЫТЬ
INPUT DROP

Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

5. "Закрыть DNS извне в FEDORA" +/–

Сообщение от Shanyou on 19-Апр-13, 18:17

В таблице filter

Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

6. "Закрыть DNS извне в FEDORA" +/–

Сообщение от Mr. Mistoffelees on 19-Апр-13, 18:21

Привет,
> Проблема следующая: огромный поток запросов на udp 53 порт.
Вы уверены? А почему это к вам такой трафик по DNS идет вы не выяснили, прежде чем "закрывать" его?
> Пытаюсь закрыть в iptables но без успешно :(
Что вы понимаете под "закрыть"? Если хоите, чтобы пакеты не доходили до сервиса, вам уже показали как это сделать через iptables. Тем не менее, пакеты будут доходить до вашего сервера, "съедая" канал связи и ресурс CPU - в этом прелесть UDP. Если хотите обрезать трафик пакетов, обратитесь вашему аплинку - опять-таки, выяснив сначала кто, откуда (и зачем) шлет вам такой трафик.
WWell,

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

7. "Закрыть DNS извне в FEDORA" +/–

Сообщение от John (??) on 20-Апр-13, 06:40

> -A INPUT -i eth0 -p tcp -m tcp --dport 53 -j DROP
> -A INPUT -i eth0 -p udp --dport 53 -j DROP
Если эти правила прописаны на компьютере, где работает DNS сервер и он отвечает на запросы приходящие на eth0 - то должно работать.
Если речь идет о маршрутизаторе, через который проходят пакеты к DNS серверу, то необходимо использовать цепочку FORWARD вместо INPUT.
Посмотрите на схему прохождения пакетов в iptables, например
http://igortiunov4unix.wordpress.com/2013/03/14/iptables-tra.../

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

8. "Закрыть DNS извне в FEDORA" +/–

Сообщение от pavlinux (ok) on 20-Апр-13, 14:18

> Проблема следующая: огромный поток запросов на udp 53 порт.
Предлагаю написать плугин для iptables, запрещающий, на законодательном уровне,
присылать запросы на 53 порт. И сделать коммит в конституцию. А сканирование портов
прировнять к терроризму!

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

9. "Закрыть DNS извне в FEDORA" +/–

Сообщение от andy03 (ok) on 25-Апр-13, 11:20

> Проблема следующая: огромный поток запросов на udp 53 порт.
> Пытаюсь закрыть в iptables но без успешно :(
> http://www.networkcenter.info/tests/portcheck показывает что порт открыт
> правило прописал такое:
> -A INPUT -i eth0 -p tcp -m tcp --dport 53 -j DROP
> -A INPUT -i eth0 -p udp --dport 53 -j DROP
> Может где-то еще я что-то упустил?
> Спасибо за помощь.
а в named.conf
listen-on { local.face; 127.0.0.1; }; ?

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру

1. "Закрыть DNS извне в FEDORA"	+/–
Сообщение от PavelR (ok) on 19-Апр-13, 17:29
> Может где-то еще я что-то упустил? Забыли документацию почитать, книги по линуксу. > Спасибо за помощь. Правила исполняются в определенном порядке, и каждое правило по отдельности само по себе ничего не значит.
Ответить \| Правка \| ^ к родителю #0 \| Наверх \| Cообщить модератору

2. "Закрыть DNS извне в FEDORA"	+/–
Сообщение от Дядя_Федор on 19-Апр-13, 17:31
Если все верно с интерфейсами и цепочками (ну, вдруг у вас обращение к ДНС идет через форвард) - то вроде то, что надо. Для информации - TCP используется только вторичными ДНС-серверами для синхронизации зон (ну и первичными для отдачи, естественно). Ну и хацкерами, пытающимися сделать то же самое, естественно (если это разрешено настройками ДНС). Обычные клиенты используют UDP. Ну и, естественно, лучше было бы в INPUT поставить политику по умолчанию DROP и разрешить те порты, которые необходимы для работы. Ну и, естественно, в INPUT может быть какое-то правило, которое может разрешать прохождение пакетов на указанные выше порты. Ибо -A добавляет правило в КОНЕЦ цепочки. :) Раз уж так хочется именно вот так - добавляйте его в НАЧАЛО. Ключом -I, естественно.
Ответить \| Правка \| ^ к родителю #0 \| Наверх \| Cообщить модератору


	3. "Закрыть DNS извне в FEDORA"	+/–
	Сообщение от DrS (ok) on 19-Апр-13, 17:41
	>[оверквотинг удален] > к ДНС идет через форвард) - то вроде то, что надо. > Для информации - TCP используется только вторичными ДНС-серверами для синхронизации зон > (ну и первичными для отдачи, естественно). Ну и хацкерами, пытающимися сделать > то же самое, естественно (если это разрешено настройками ДНС). Обычные клиенты > используют UDP. Ну и, естественно, лучше было бы в INPUT поставить > политику по умолчанию DROP и разрешить те порты, которые необходимы для > работы. Ну и, естественно, в INPUT может быть какое-то правило, которое > может разрешать прохождение пакетов на указанные выше порты. Ибо -A добавляет > правило в КОНЕЦ цепочки. :) Раз уж так хочется именно вот > так - добавляйте его в НАЧАЛО. Ключом -I, естественно. Спасибо что отозвались -I INPUT -i eth0 -p udp --dport 53 -j DROP Сделал так, ничего не поменяло :( Вообще все порты вроде закрыты, которые были открыты закрыл принудительно. Может есть еще где-то конфиг какой-то? Я к сожалению в линуксе не очень :( :PREROUTING ACCEPT [226016:17503435] :POSTROUTING ACCEPT [106697:5984894] :OUTPUT ACCEPT [69448:3072286] COMMIT # Completed on Mon May 30 12:27:28 2011 # Generated by iptables-save v1.3.7 on Mon May 30 12:27:28 2011 filter :INPUT ACCEPT [1663198:1079718327] :FORWARD ACCEPT [12523476:5371631954] :OUTPUT ACCEPT [2106441:1092490640] -A INPUT -i eth0 -p tcp -m tcp --dport 139 -j DROP -A INPUT -i eth3 -p tcp -m tcp --dport 139 -j DROP -A INPUT -i eth0 -p tcp -m tcp --dport 53 -j DROP -I INPUT -i eth0 -p udp --dport 53 -j DROP -A INPUT -i eth0 -p tcp -m tcp --dport 8080 -j DROP -A INPUT -i eth0 -p tcp -m tcp --dport 111 -j DROP -A INPUT -i eth0 -p tcp -m tcp --dport 3306 -j DROP COMMIT # Completed on Mon May 30 12:27:28 2011 # Generated by iptables-save v1.3.7 on Mon May 30 12:27:28 2011 mangle :PREROUTING ACCEPT [29259201:26997372817] :INPUT ACCEPT [1675182:1080061727] :FORWARD ACCEPT [27504700:25910545951] :OUTPUT ACCEPT [2106441:1092490640] :POSTROUTING ACCEPT [29612358:27003188615] COMMIT # Completed on Mon May 30 12:27:28 2011
	Ответить \| Правка \| ^ к родителю #2 \| Наверх \| Cообщить модератору


	4. "Закрыть DNS извне в FEDORA"	+/–
	Сообщение от Shanyou on 19-Апр-13, 18:16
	у вас по умолчанию все разрешено, поэтому и не отрабатываются правила.. УВАС ДОЛЖЕН БЫТЬ INPUT DROP
	Ответить \| Правка \| ^ к родителю #3 \| Наверх \| Cообщить модератору


	5. "Закрыть DNS извне в FEDORA"	+/–
	Сообщение от Shanyou on 19-Апр-13, 18:17
	В таблице filter
	Ответить \| Правка \| ^ к родителю #4 \| Наверх \| Cообщить модератору

6. "Закрыть DNS извне в FEDORA"	+/–
Сообщение от Mr. Mistoffelees on 19-Апр-13, 18:21
Привет, > Проблема следующая: огромный поток запросов на udp 53 порт. Вы уверены? А почему это к вам такой трафик по DNS идет вы не выяснили, прежде чем "закрывать" его? > Пытаюсь закрыть в iptables но без успешно :( Что вы понимаете под "закрыть"? Если хоите, чтобы пакеты не доходили до сервиса, вам уже показали как это сделать через iptables. Тем не менее, пакеты будут доходить до вашего сервера, "съедая" канал связи и ресурс CPU - в этом прелесть UDP. Если хотите обрезать трафик пакетов, обратитесь вашему аплинку - опять-таки, выяснив сначала кто, откуда (и зачем) шлет вам такой трафик. WWell,
Ответить \| Правка \| ^ к родителю #0 \| Наверх \| Cообщить модератору

7. "Закрыть DNS извне в FEDORA"	+/–
Сообщение от John (??) on 20-Апр-13, 06:40
> -A INPUT -i eth0 -p tcp -m tcp --dport 53 -j DROP > -A INPUT -i eth0 -p udp --dport 53 -j DROP Если эти правила прописаны на компьютере, где работает DNS сервер и он отвечает на запросы приходящие на eth0 - то должно работать. Если речь идет о маршрутизаторе, через который проходят пакеты к DNS серверу, то необходимо использовать цепочку FORWARD вместо INPUT. Посмотрите на схему прохождения пакетов в iptables, например http://igortiunov4unix.wordpress.com/2013/03/14/iptables-tra.../
Ответить \| Правка \| ^ к родителю #0 \| Наверх \| Cообщить модератору

8. "Закрыть DNS извне в FEDORA"	+/–
Сообщение от pavlinux (ok) on 20-Апр-13, 14:18
> Проблема следующая: огромный поток запросов на udp 53 порт. Предлагаю написать плугин для iptables, запрещающий, на законодательном уровне, присылать запросы на 53 порт. И сделать коммит в конституцию. А сканирование портов прировнять к терроризму!
Ответить \| Правка \| ^ к родителю #0 \| Наверх \| Cообщить модератору

9. "Закрыть DNS извне в FEDORA"	+/–
Сообщение от andy03 (ok) on 25-Апр-13, 11:20
> Проблема следующая: огромный поток запросов на udp 53 порт. > Пытаюсь закрыть в iptables но без успешно :( > http://www.networkcenter.info/tests/portcheck показывает что порт открыт > правило прописал такое: > -A INPUT -i eth0 -p tcp -m tcp --dport 53 -j DROP > -A INPUT -i eth0 -p udp --dport 53 -j DROP > Может где-то еще я что-то упустил? > Спасибо за помощь. а в named.conf listen-on { local.face; 127.0.0.1; }; ?
Ответить \| Правка \| ^ к родителю #0 \| Наверх \| Cообщить модератору