Nftables règle DNS (port 53)

Tags: #<Tag:0x00007fb995db2918>

Bonsoir,

Je me forme à Nftables et je n’arrive pas à configurer ce firewall pour ma règle DNS.

Voici mes règles Nftables :

root@debian-firewall:/home/clem# /usr/sbin/nft list table ip mon_filtreIPv4
table ip mon_filtreIPv4 {
        chain input {
                type filter hook input priority filter; policy accept;
                udp dport 53 accept
                tcp dport 53 accept
                tcp dport 80 accept
                tcp dport 443 accept
                ip saddr 192.168.0.24 tcp dport 22 accept
                icmp type echo-reply accept
                drop
        }
        chain output {
                type filter hook output priority filter; policy accept;
        }
}

Tout fonctionne sauf la règle DNS (port 53). Quand je tape nslookup google.fr, rien ne se passe.

Merci beaucoup et à dispo.

Cordialement,
Clément

Est-ce que le serveur DNS est bien opérationnel sur debian-firewall ?
Essaie de lancer nslookup google.fr localhost sur le firewall.

Après recherches, j’ai finalement réussi à trouver.

Je m’étais trompé dans ma règle. La bonne règle à ajouter via un terminal est :

/usr/sbin/nft add rule mon_filtreIPv4 input udp sport 53 accept

Par la suite, les commandes nslookup google.fr et nslookup localhost fonctionnent correctement.

Merci de m’avoir aidé :slight_smile:

Clément

Non, c’est une très mauvaise règle qui introduit une faille béante dans ton pare-feu car elle accepte tous les paquets UDP entrants à destination de n’importe quel port du moment que le port source (contrôlé par l’émetteur) est 53. Si le but est d’acccepter les paquets de réponse du serveur DNS interrogé, il vaut mieux utiliser le suivi de connexion (conntrack).

Bonjour Pascal,

Merci de l’info, j’ai du temps devant moi, je vais creuser dans ce sens.

Clément