GNU/Linux >> Znalost Linux >  >> Linux

iptables zahodí negativní odpovědi DNS

Řešení 1:

Offset pro příznaky DNS v paketu IP je 28 bajtů a musíte zkontrolovat poslední 2 bity v pravidle 2 byte fieldu32, protože to je "28&0x000F=0x03"

Moje testovací pravidlo je:iptables -A INPUT -m u32 -p udp --sport 53 --u32 "28&0x000F=0x03" -j LOG

BTW Líbí se mi nápad použít toto pravidlo brány firewall pro DNS s rozděleným horizontem a otestovat ho pro některé z mých sítí.

Řešení 2:

Tím se odstraní "odmítnuté" odpovědi BIND9 na aktuální falešné UDP dotazy!

iptables -F OUTPUT 
#iptables -A OUTPUT -p udp --sport 53 -j LOG --log-prefix="OUT-UPD-RAW : "
#iptables -A OUTPUT -m u32 -p udp --sport 53 --u32 "28&0xFFFF=0x8105" -j LOG --log-prefix="STOPPED-DNS-REJECTED-REPLY "
iptables -A OUTPUT -m u32 -p udp --sport 53 --u32 "28&0xFFFF=0x8105" -j DROP
iptables -A OUTPUT -p udp --sport 53 -j LOG --log-prefix="OUT-UPD-SENT: "

Linux

  1. Centos – blokování odchozích spojení s iptables?

  2. Vytvořte server DNS

  3. Omezení vyhledávání DNS

  1. Linux OS Service „iptables“

  2. DNS cache v linuxu

  3. Proč NTP vyžaduje obousměrný přístup brány firewall k portu UDP 123?

  1. iptables zahodí všechny příchozí požadavky ICMP kromě jedné IP

  2. Vrátit zpět modifikaci iptables

  3. Iptables:-p udp --state ESTABLISHED