Bonsoir,
Je voulais savoir si ces règles dns au niveau d’iptables étaient suffisante pour un nameserver principal.
C’est à dire qu’il fait autorité sur le domaine toto.fr ( Modification faites dans l’interface d’ovh. ).
# DNS In/Out
iptables -A OUTPUT -p udp -m udp --dport XX -j ACCEPT
iptables -A OUTPUT -p tcp -m tcp --dport XX -j ACCEPT
iptables -A INPUT -p udp -m udp --dport XX -j ACCEPT
iptables -A INPUT -p tcp -m tcp --dport XX -j ACCEPT
Merci
Bonsoir,
Le TCP ne sert à rien si tu n’as pas de serveur de nom secondaire.
Je mettrai ça, mais à toi de voir, tu peux rajouter l’interface, des logs, etc…
iptables -A INPUT -p udp --dport 53 -m state --state NEW,ESTABLISHED -j ACCEPT
iptables -A OUTPUT -p udp --sport 53 -m state --state ESTABLISHED -j ACCEPTOk merci de la réponse.
Effectivement j’utilise un serveur secondaire ( ns.kimsufi.com ).
Dois-je mettre uniquement ce que tu m’as mis ou dois-je laisser ce que j’avais mis ?
merci
TCP peut servir dans des cas particuliers (réponse longue de plus de 512 octets et pas de support d’EDNS) en dehors des transferts de zone.
Déjà, ça dépend du reste du jeu de règles complet. Si tes 4 règles sont les seules, alors ça ne suffit pas car elles ne prennent en compte que les paquets de requête entrants et sortants, mais pas les paquets de réponse.
Les deux règles de Phyliares prennent en compte les paquets de requête entrants et les paquets de réponse sortants en UDP, mais pas les requêtes sortantes ni les requêtes entrantes ou sortantes en TCP.
Note : pour de l’UDP simple (pas dans les protocoles complexes comme TFTP, SIP…), inutile de spécifier NEW,ESTABLISHED car les paquets sont forcément dans l’un de ces deux états.
Merci de ta réponse.
Voici du coup mon script iptables :
( Enlevé pour raison de sécurité )
Problème résolu
Le jeu de règles contenait déjà les règles classiques pour “ne pas casser les connexions établies”, donc tes quatre règles étaient suffisantes et toute autre règle avec ESTABLISHED ou RELATED était superflue.
Ok merci je l’ai ai enlevé du coup hier soir 