[Wien] (security tipp) Open Recursion
Bernd Petrovitsch
(spam-protected)
Di Sep 21 13:39:24 CEST 2010
Hi!
On Die, 2010-09-21 at 12:22 +0200, L. Aaron Kaplan wrote:
[...]
> (Kurzzusammenfassung: dnsmasq in der Freifunk FW ist "halb" open
> recursive. Und das ist schlecht fuer das Internet)
Naja, ein "DNS-Proxy" halt ....
[...]
> Blocken kann jeder ungefaehr so:
>
> iptables -A INPUT -p udp -s 193.238.156.0/22 -d <meine_ip> --dport 53 -j ACCEPT # Funkfeuer IP Range 1
> iptables -A INPUT -p udp -s 78.41.112.0/21 -d <meine_ip> --dport 53 -j ACCEPT # Funkfeuer IP Range 2
> iptables -A INPUT -p udp -s 192.168.0.0/16 -d <meine_ip> --dport 53 -j ACCEPT # lokales LAN
iptables -A INPUT -p udp -s 127.0.0.0/8 -d -d <meine_ip> --dport 53 -j ACCEPT # localhost
> iptables -A INPUT -p udp -d <meine_ip> --dport 53 -j DROP
>
> (und das ganze nochmals wiederholen mit -p tcp bzw. fuer alle -d <meine IPs> - so viele wie ihr habt).
> Falls jemandem eine bessere Filterregel einfaellt, bitte posten! Freue
oben das "-d <meine_ip>" einfach weglassen (und die Regeln damit nur
einmal für UDP und einmal für TCP zu haben)?
Begründung: Die Regeln schlagen so *nur* für Requests zu, die auch an
meine IP-Adresse (bzw. eine meiner IP-Adressen) adressiert sind. Sie
erwischen nicht Requests, die bei mir aufschlagen, aber nicht meine
IP-Adresse (bzw. eine meiner IP-Adressen) adressiert sind.
Ja, das sollte sowie so nicht sein, aber was ist, wenn es so ist?
Disclaimer: Keine Ahnung, welche sonstigen IP-Tables Regeln aktiv sind.
Ich bei mir auf der Firewall droppe am Beginn der INPUT-Chain alle
Pakete, die bei mir sowieso erst gar nicht ankommen sollten - von "-i
lo ! -d 127.0.0.0/8 -j DROP" angefangen bis zu "-i eth1 ! -d <IP-Addr
von eth1> -j DROP" (oder so - ist aus dem Braincache).
"eth1" ist das Interface mit der öffentlichen IP-Adresse+NAT - aber das
kann man auch für sonstige Interfaces (ohne NAT und für ganze Netze)
machen.
Oder überseh ich was?
> mich ueber Feedback. Wir haben zum Glueck ja ein paar DNS
> Spezialisten in unserem Umfeld.
Bernd
--
Bernd Petrovitsch Email : (spam-protected)
LUGA : http://www.luga.at
Mehr Informationen über die Mailingliste Wien