Где ошибка в iptables?

На роутере решил прописать кастомный DNS-сервер, поднятый в инете. Все работало. Но на этот DNS через какое-то время начали ломиться разные устройства. Решил через iptables всех заблокировать и разрешить только IP роутера. Но не получается, теперь DNS не работает внутри локальной сети за роутером.
Роутер: 85.1.1.1
DNS-сервер 80.1.1.1

На DNS сервере прописал такие правила:
root@server:~# iptables -S
-P INPUT DROP
-P FORWARD ACCEPT
-P OUTPUT ACCEPT
-N f2b-ssh
-N f2b-sshd
-A INPUT -p tcp -m multiport --dports 22 -j f2b-ssh
-A INPUT -p tcp -m multiport --dports 22 -j f2b-sshd
-A INPUT -s 85.1.1.1/32 -j ACCEPT
-A INPUT -s 127.0.0.1/32 -j ACCEPT
-A INPUT -s 80.1.1.1/32 -j ACCEPT
-A INPUT -i lo -j ACCEPT
-A f2b-ssh -j RETURN
-A f2b-sshd -j RETURN
root@server:~#


ssh доступен, а dns сервер не алле :(
Пробовал еще добавить "-A OUTPUT -j ACCEPT" и "-A INPUT -p tcp -m multiport --dports 53 -j ACCEPT" - не помогают. Что не так ? :)
  • Вопрос задан
  • 177 просмотров
Пригласить эксперта
Ответы на вопрос 3
@dronmaxman
VoIP Administrator
DNS это чаще UDP чем TCP трафик.

-A INPUT -p udp --dports 53 -j ACCEPT
Ответ написан
Zoominger
@Zoominger Куратор тега Linux
Сись админ
А OUTPUT где? А fail2ban, случайно, вас же не блокирует? Посмотрите:
iptables -L | grep 85.1.1.1
Ответ написан
@PatapoIIIka
OUTPUT по умолчанию не запрещен.
Меня смущает эта строка... ДНС сервер разрешает самому себе слать пакеты на INPUT? Чисто в теории, ему могут послать пакет с таким source address. Ответ, конечно, пойдет не туда, но ДНС сервер можно заспамить пакетами с таким соурсом. Поправьте кто-нибудь, если не прав.
P.S. Для дебага лучше поставить Reject. Он, по крайней мере, даст информацию о том, что произошло.
-A INPUT -s 80.1.1.1/32 -j ACCEPT
Ответ написан
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Войти через центр авторизации
Похожие вопросы