SECURISER DNS

[alex92]

Salut, <BR> <BR>Je cherche le moyen de securiser un serveur dns secondaire. <BR>L'application d'iptable peut pose quelques soucis car j'ai qu'une interface sur la machine (suse 8.1). <BR> <BR>La machine ne doit accepter les requêtes que de quelques utilisateurs internes et des serveurs internes. <BR> <BR>Merci pour votre aide <BR> <BR>Alex

[tomtom]

Pourtant c'est bien avec iptables que tu trouveras ton bonheur. <BR> <BR>Ton serveur ne devrait accepter en INPUT que des requetes sur ses ports 53 UDP+TCP, de la part des clients autorisés (et surement du DNS primaire aussi <IMG SRC="images/smiles/icon_wink.gif"> ). <BR> <BR>Il faut en plus autoriser totu ce dont tu as besoin pour l'administrer : <BR>22 si tu l'attaques en ssh, 443 si tu as une interface https, 10000 si tu as un webmin (ce sont des valeurs par defaut, il faut les adapter à ta config). <BR> <BR>Bien relire son script iptables avant de l'appliquer sous peine de perdre la main sur la machine ! <BR> <BR>Ex : ne pas taper dans la console : <BR>iptables -F <BR>iptables -X <BR>iptables -P INPUT DROP <BR> <BR> <BR>Parceque là c'est foutu, on a perdu la main <IMG SRC="images/smiles/icon_wink.gif"> <BR> <BR>t.

[alex92]

Salut, <BR> <BR>Mon souci est que j'ai une seul interface. <BR>J'ai mis la règle par défaut à drop. <BR>J'ai : iptables -A INPUT -i lo -j ACCEPT <BR> iptables -A OUTPUT -o lo -j ACCEPT <BR> <BR>Je laisse passer les ip autoriser à Eth0 <BR> <BR>iptables -A INPUT -i eth0 -s 192.168.1.10/32 -p udp --dport 53 -j ACCEPT <BR> <BR>ça fonctionne pas pour tout les adresses. <BR> <BR>Pour le serveur primaire j'ai autorisé le port udp et tcp 53. <BR> <BR>En output j'ai rien touché (que lo). <BR>J'utilise l'interface webmin. J'ai vérifié le fichier iptable.save et ya rien d'autres. <BR> <BR>Merci pour votre aide. <BR> <BR> <BR> <BR>Alex <BR>

[antolien]

Là tu autorises juste l'ip 192.168.1.10 à accéder au dns. <BR> <BR>C'est ça que tu veux faire ? j'ai pas tout suivi/compris mais ça à l'air bon, il faut que tu fasse cette règle pour chaque @ip<BR><BR><font size=-2></font>

[alex92]

Salut, <BR> <BR> <BR>Oui à titre d'exemple 192.168.1.10 . <BR> <BR>iptables -A INPUT -i lo -j ACCEPT <BR>iptables -A OUTPUT -o lo -j ACCEPT <BR> <BR>iptables -A INPUT -i eth0 -s 192.168.1.10/32 -p udp --dport 53 -j ACCEPT <BR>iptables -A INPUT -i eth0 -s 192.168.1.200/32 -p udp --dport 53 -j ACCEPT <BR>iptables -A INPUT -i eth0 -s 192.168.1.200/32 -p tcp --dport 53 -j ACCEPT <BR> <BR> iptables-A INPUT -i eth0 -s 192.168.1.1/32 -p udp --dport 53 -j ACCEPT <BR> <BR> <BR>ça fonctionne pour les 2 premier mais pas pour la 3ème adresse. <BR> <BR>La config est effectué via l'interface webmin je vois pas d'où vient le problème. <BR> <BR>Distribution Suse 8.1, bind 9. <BR> <BR>Merci à vous <BR> <BR>Alex

[alex92]

Salut, <BR> <BR>J'ai trouvé!!! <BR>Iptable ne résolvant pas mon problème je me suis plus penché sur bind. <BR>J'avoue c'est la 1ère fois. <BR>Et c'est grâce à Winscp, j'ai edité named.conf et j'ai crée une access list. <BR> <BR> <BR>acl mon_reseau { 192.168.1.10;192.168.1.200;}; <BR> <BR>option <BR>{ <BR> <BR>.. <BR>.. <BR> <BR>allow_query { mon_reseau;}; <BR> <BR> <BR>} <BR> <BR>Et le dns ne résout les réquêtes des personnes se trouvant dans l'acl. <BR> <BR>Merci encore <BR> <BR>Alex