The OpenNET Project / Index page

[ новости/++ | форум | wiki | теги | ]

форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка  RSS
"Закрыть DNS извне в FEDORA"
Вариант для распечатки  
Пред. тема | След. тема 
Форум Информационная безопасность (Linux iptables, ipchains)
Изначальное сообщение [ Отслеживать ]

"Закрыть DNS извне в FEDORA"  +/
Сообщение от DrS (ok) on 19-Апр-13, 17:18 
Проблема следующая: огромный поток запросов на udp 53 порт.

Пытаюсь закрыть в iptables но без успешно :(  
http://www.networkcenter.info/tests/portcheck показывает что порт открыт

правило прописал такое:
-A INPUT -i eth0 -p tcp -m tcp --dport 53 -j DROP
-A INPUT -i eth0 -p udp --dport 53 -j DROP

Может где-то еще я что-то упустил?

Спасибо за помощь.

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения по теме [Сортировка по времени | RSS]


1. "Закрыть DNS извне в FEDORA"  +/
Сообщение от PavelR (ok) on 19-Апр-13, 17:29 
> Может где-то еще я что-то упустил?

Забыли документацию почитать, книги по линуксу.

> Спасибо за помощь.

Правила исполняются в определенном порядке, и каждое правило по отдельности само по себе ничего не значит.


Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

2. "Закрыть DNS извне в FEDORA"  +/
Сообщение от Дядя_Федор on 19-Апр-13, 17:31 
Если все верно с интерфейсами и цепочками (ну, вдруг у вас обращение к ДНС идет через форвард) - то вроде то, что надо. Для информации - TCP используется только вторичными ДНС-серверами для синхронизации зон (ну и первичными для отдачи, естественно). Ну и хацкерами, пытающимися сделать то же самое, естественно (если это разрешено настройками ДНС). Обычные клиенты используют UDP. Ну и, естественно, лучше было бы в INPUT поставить политику по умолчанию DROP и разрешить те порты, которые необходимы для работы. Ну и, естественно, в INPUT может быть какое-то правило, которое может разрешать прохождение пакетов на указанные выше порты. Ибо -A добавляет правило в КОНЕЦ цепочки. :) Раз уж так хочется именно вот так - добавляйте его в НАЧАЛО. Ключом -I, естественно.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

3. "Закрыть DNS извне в FEDORA"  +/
Сообщение от DrS (ok) on 19-Апр-13, 17:41 
>[оверквотинг удален]
> к ДНС идет через форвард) - то вроде то, что надо.
> Для информации - TCP используется только вторичными ДНС-серверами для синхронизации зон
> (ну и первичными для отдачи, естественно). Ну и хацкерами, пытающимися сделать
> то же самое, естественно (если это разрешено настройками ДНС). Обычные клиенты
> используют UDP. Ну и, естественно, лучше было бы в INPUT поставить
> политику по умолчанию DROP и разрешить те порты, которые необходимы для
> работы. Ну и, естественно, в INPUT может быть какое-то правило, которое
> может разрешать прохождение пакетов на указанные выше порты. Ибо -A добавляет
> правило в КОНЕЦ цепочки. :) Раз уж так хочется именно вот
> так - добавляйте его в НАЧАЛО. Ключом -I, естественно.

Спасибо что отозвались

-I INPUT -i eth0 -p udp --dport 53 -j DROP

Сделал так, ничего не поменяло :(

Вообще все порты вроде закрыты, которые были открыты закрыл принудительно.
Может есть еще где-то конфиг какой-то?

Я к сожалению в линуксе не очень :(

:PREROUTING ACCEPT [226016:17503435]
:POSTROUTING ACCEPT [106697:5984894]
:OUTPUT ACCEPT [69448:3072286]
COMMIT
# Completed on Mon May 30 12:27:28 2011
# Generated by iptables-save v1.3.7 on Mon May 30 12:27:28 2011
*filter
:INPUT ACCEPT [1663198:1079718327]
:FORWARD ACCEPT [12523476:5371631954]
:OUTPUT ACCEPT [2106441:1092490640]
-A INPUT -i eth0 -p tcp -m tcp --dport 139 -j DROP
-A INPUT -i eth3 -p tcp -m tcp --dport 139 -j DROP
-A INPUT -i eth0 -p tcp -m tcp --dport 53 -j DROP
-I INPUT -i eth0 -p udp --dport 53 -j DROP
-A INPUT -i eth0 -p tcp -m tcp --dport 8080 -j DROP
-A INPUT -i eth0 -p tcp -m tcp --dport 111 -j DROP
-A INPUT -i eth0 -p tcp -m tcp --dport 3306 -j DROP
COMMIT
# Completed on Mon May 30 12:27:28 2011
# Generated by iptables-save v1.3.7 on Mon May 30 12:27:28 2011
*mangle
:PREROUTING ACCEPT [29259201:26997372817]
:INPUT ACCEPT [1675182:1080061727]
:FORWARD ACCEPT [27504700:25910545951]
:OUTPUT ACCEPT [2106441:1092490640]
:POSTROUTING ACCEPT [29612358:27003188615]
COMMIT
# Completed on Mon May 30 12:27:28 2011

Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

4. "Закрыть DNS извне в FEDORA"  +/
Сообщение от Shanyou on 19-Апр-13, 18:16 
у вас по умолчанию все разрешено, поэтому и не отрабатываются правила.. УВАС ДОЛЖЕН БЫТЬ
INPUT DROP
Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

5. "Закрыть DNS извне в FEDORA"  +/
Сообщение от Shanyou on 19-Апр-13, 18:17 
В таблице filter


Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

6. "Закрыть DNS извне в FEDORA"  +/
Сообщение от Mr. Mistoffelees email on 19-Апр-13, 18:21 
Привет,

> Проблема следующая: огромный поток запросов на udp 53 порт.

Вы уверены? А почему это к вам такой трафик по DNS идет вы не выяснили, прежде чем "закрывать" его?

> Пытаюсь закрыть в iptables но без успешно :(

Что вы понимаете под "закрыть"? Если хоите, чтобы пакеты не доходили до сервиса, вам уже показали как это сделать через iptables. Тем не менее, пакеты будут доходить до вашего сервера, "съедая" канал связи и ресурс CPU - в этом прелесть UDP. Если хотите обрезать трафик пакетов, обратитесь вашему аплинку - опять-таки, выяснив сначала кто, откуда (и зачем) шлет вам такой трафик.

WWell,

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

7. "Закрыть DNS извне в FEDORA"  +/
Сообщение от John (??) on 20-Апр-13, 06:40 
> -A INPUT -i eth0 -p tcp -m tcp --dport 53 -j DROP
> -A INPUT -i eth0 -p udp --dport 53 -j DROP

Если эти правила прописаны на компьютере, где работает DNS сервер и он отвечает на запросы приходящие на eth0 - то должно работать.

Если речь идет о маршрутизаторе, через который проходят пакеты к DNS серверу, то необходимо использовать цепочку FORWARD вместо INPUT.

Посмотрите на схему прохождения пакетов в iptables, например
http://igortiunov4unix.wordpress.com/2013/03/14/iptables-tra.../

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

8. "Закрыть DNS извне в FEDORA"  +/
Сообщение от pavlinux (ok) on 20-Апр-13, 14:18 
> Проблема следующая: огромный поток запросов на udp 53 порт.

Предлагаю написать плугин для iptables, запрещающий, на законодательном уровне,
присылать запросы на 53 порт. И сделать коммит в конституцию. А сканирование портов
прировнять к терроризму!

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

9. "Закрыть DNS извне в FEDORA"  +/
Сообщение от andy03 email(ok) on 25-Апр-13, 11:20 
> Проблема следующая: огромный поток запросов на udp 53 порт.
> Пытаюсь закрыть в iptables но без успешно :(
> http://www.networkcenter.info/tests/portcheck показывает что порт открыт
> правило прописал такое:
> -A INPUT -i eth0 -p tcp -m tcp --dport 53 -j DROP
> -A INPUT -i eth0 -p udp --dport 53 -j DROP
> Может где-то еще я что-то упустил?
> Спасибо за помощь.

а в named.conf

listen-on { local.face; 127.0.0.1; }; ?


Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема


  Закладки на сайте
  Проследить за страницей
Created 1996-2018 by Maxim Chirkov  
ДобавитьПоддержатьВебмастеруГИД  
Hosting by Ihor