[Wien] (security tipp) Open Recursion

[Bernd Petrovitsch]

On Die, 2010-09-21 at 13:53 +0200, Markus Kittenberger wrote:
> 2010/9/21 Bernd Petrovitsch <(spam-protected)>
[...]
>         > Blocken kann jeder ungefaehr so:
>         >
>         > iptables -A INPUT -p udp -s 193.238.156.0/22 -d <meine_ip>
>         --dport 53 -j ACCEPT # Funkfeuer IP Range 1
>         > iptables -A INPUT -p udp  -s 78.41.112.0/21 -d <meine_ip>
>         --dport 53 -j ACCEPT   # Funkfeuer IP Range 2
>         > iptables -A INPUT -p udp  -s 192.168.0.0/16 -d <meine_ip>
>         --dport 53 -j ACCEPT   # lokales LAN
>         iptables -A INPUT -p udp -s 127.0.0.0/8 -d -d <meine_ip>
>         --dport 53 -j ACCEPT # localhost
> also die regel sofern "<meine-ip>"!=127.0.0.1 matched wohl nie was,..

Abgesehen vom doppelten (und syntaktisch illegalen) "-d": Wenn ich eine
(lokale) App hab, die ein (DNS-)Paket an <meine-ip>:53 schickt (k.A.,
wie das z.B. übliche Resolver machen), dann besteht zumindest die
theoretische Möglichkeit, daß sie Src-IP-Adresse 127.0.0.1 ist, oder?

>         > iptables -A INPUT -p udp  -d <meine_ip> --dport 53 -j DROP
[...]

>         (und die Regeln damit nur
>         einmal für UDP und einmal für TCP zu haben)?
> 
> udp allein reicht, dnsmasq accepted eh keine tcp dns queries,.. 

Wußt ich auch nicht. Aber es stört auch nicht wirklich ...

Weil es mir gerade einfällt - auch nach des anderen Markus' Mail:
Eigentlich sollte man das bei dnsmasq auch einschränken können - direkt
oder über /etc/hosts.allow.

	Bernd
-- 
Bernd Petrovitsch                  Email : (spam-protected)
                     LUGA : http://www.luga.at