Где ошибка в iptables?

Question

Sergei Iamskoi @syamskoy

Где ошибка в iptables?

На роутере решил прописать кастомный DNS-сервер, поднятый в инете. Все работало. Но на этот DNS через какое-то время начали ломиться разные устройства. Решил через iptables всех заблокировать и разрешить только IP роутера. Но не получается, теперь DNS не работает внутри локальной сети за роутером.
Роутер: 85.1.1.1
DNS-сервер 80.1.1.1

На DNS сервере прописал такие правила:

root@server:~# iptables -S
-P INPUT DROP
-P FORWARD ACCEPT
-P OUTPUT ACCEPT
-N f2b-ssh
-N f2b-sshd
-A INPUT -p tcp -m multiport --dports 22 -j f2b-ssh
-A INPUT -p tcp -m multiport --dports 22 -j f2b-sshd
-A INPUT -s 85.1.1.1/32 -j ACCEPT
-A INPUT -s 127.0.0.1/32 -j ACCEPT
-A INPUT -s 80.1.1.1/32 -j ACCEPT
-A INPUT -i lo -j ACCEPT
-A f2b-ssh -j RETURN
-A f2b-sshd -j RETURN
root@server:~#

ssh доступен, а dns сервер не алле :(
Пробовал еще добавить "-A OUTPUT -j ACCEPT" и "-A INPUT -p tcp -m multiport --dports 53 -j ACCEPT" - не помогают. Что не так ? :)

Вопрос задан более трёх лет назад
283 просмотра

1 комментарий

Подписаться 1 Простой 1 комментарий

Пригласить эксперта

Ответы на вопрос 1

2 комментария

Ваш ответ на вопрос

Войдите, чтобы написать ответ

Похожие вопросы

Linux

+1 ещё

Простой
Почему не создается бд в postgreSQL?
- 1 подписчик
- 5 часов назад
- 73 просмотра
1

ответ
Linux

+2 ещё

Простой
RHCSA, RHCE — сертификация и есть ли в них преимущество?
- 1 подписчик
- 7 часов назад
- 71 просмотр
1

ответ
Linux

+2 ещё

Простой
Откуда идет 302 редирект?
- 1 подписчик
- вчера
- 103 просмотра
0

ответов
Linux

+2 ещё

Простой
Почему не удается подключиться к серверу с самоподписанным доверенным сертификатом?
- 2 подписчика
- 22 нояб.
- 195 просмотров
0

ответов
Веб-разработка

+1 ещё

Простой
Какой отечественный linux выбрать для веб-разработки?
- 2 подписчика
- 22 нояб.
- 3428 просмотров
9

ответов
Linux

+1 ещё

Простой
Почему не запускается графический интерфейс Kali Linux?
- 1 подписчик
- 22 нояб.
- 131 просмотр
3

ответа
Apache HTTP Server

+3 ещё

Сложный
Не проходит сквозная авторизация через браузер 1c8 apache2.4 auth_gssapi?
- 1 подписчик
- 21 нояб.
- 40 просмотров
0

ответов
Linux

+3 ещё

Средний
Как регистры SOC отображаются на память Linux?
- 1 подписчик
- 21 нояб.
- 107 просмотров
1

ответ
Linux

+2 ещё

Средний
Возможно ли переписать это на PowerShell?
- 3 подписчика
- 20 нояб.
- 334 просмотра
6

ответов
Linux

+1 ещё

Простой
Как в Linux ограничить юзеру изменение панелей и тд?
- 2 подписчика
- 19 нояб.
- 146 просмотров
5

ответов
Показать ещё Загружается…

Системный администратор Astra Linux

Гринатом • Новосибирск

До 60 000 ₽

Системный инженер (Windows/Astra Linux)

Гринатом • Новосибирск

До 57 000 ₽

Ведущий инженер Linux

Интер РАО – Управление сервисами • Москва

от 180 000 ₽

Дизайн презентации

24 нояб. 2024, в 23:46

20000 руб./за проект

Разработать Telegram-бота для анализа звонков продаж

24 нояб. 2024, в 23:15

10000 руб./за проект

Парсер под сайт

24 нояб. 2024, в 23:07

2000 руб./за проект

hint000, dns-сервер не в локальной сети, а в интернете лежит.
А локальная сеть не работает, из-за того что dns не отдает адреса из-за настроек iptables

Answer 1 · 2019-09-10 22:30:15

OUTPUT по умолчанию не запрещен.
Меня смущает эта строка... ДНС сервер разрешает самому себе слать пакеты на INPUT? Чисто в теории, ему могут послать пакет с таким source address. Ответ, конечно, пойдет не туда, но ДНС сервер можно заспамить пакетами с таким соурсом. Поправьте кто-нибудь, если не прав.
P.S. Для дебага лучше поставить Reject. Он, по крайней мере, даст информацию о том, что произошло.
-A INPUT -s 80.1.1.1/32 -j ACCEPT

Где ошибка в iptables?

Войдите, чтобы написать ответ

Минуточку внимания

Войдите на сайт