проблемка с dnsmasq (dns)

[demsl]

на ubuntu сервере (просто шлюз) решил не ставить bind, поставил dnsmasq.
только маленькая проблема - он слушает на обоих интерфейсах(
в dnsmasq.conf писал
и
listen-address=127.0.0.1, 192.168.0.1
и
interface=eth1
перезапуск сервиса - и всё равно 53 порт в мир открыт.
как с этим бороться? только закрывать файерволом?

[DaemonTux]

Ну фаерволом в любом случаи стоит прикрыть сервер

[demsl]

последнее правило в инпуте -
-A INPUT -i eth0 -p tcp -m tcp -j DROP
с портами, закрытыми явно проблем нет

просто хотел решить именно средствами dnsmasq

[vr13]

посмотрите внимательнее комментарии в конфигурационном файле, в частности:

Код: Выделить всё

# On systems which support it, dnsmasq binds the wildcard address,
# even when it is listening on only some interfaces. It then discards
# requests that it shouldn't reply to. This has the advantage of
# working even when interfaces come and go and change address. If you
# want dnsmasq to really bind only the interfaces it is listening on,
# uncomment this option. About the only time you may need this is when
# running another nameserver on the same machine.
#bind-interfaces

[DaemonTux]

последнее правило в инпуте -
-A INPUT -i eth0 -p tcp -m tcp -j DROP
с портами, закрытыми явно проблем нет

просто хотел решить именно средствами dnsmasq

Есть мнение что:
во первых лучше поставить политику по умолчанию drop. и брать -A INPUT -i eth0 -p tcp -m tcp -j DROP.
Во вторых: первым пунктом разрешить уже установленные соединения, а затем разрешать подключения на конкретные порты из внешней сети. Для доверенной сети можно пропустить трафик пришедший с определенного интерфейса.

Т. к. это более безопасно и защищает от дурака

[Bizdelnick]

UDP в любом случае тоже нужно прикрыть.

[demsl]

vr13
спасибо большое!! Вы очень помогли. постараюсь теперь даже при обещаниях "простоты настройки" вчитываться в комментарии)

DaemonTux
Вы предлагаете -P INPUT -j DROP + -A INPUT -i eth0 -p tcp -m tcp -j DROP ?

Bizdelnick
-A INPUT -i eth0 -p udp -m udp -j DROP ??

[Bizdelnick]

-A INPUT -i eth0 -p udp -m udp -j DROP ??

Не, ну так жестоко-то не надо. Или ESTABLISHED сначала акцептните, или только 53 порт прикройте.

[demsl]

а вот ещё проблемка с сабжем - прописал для блокировки пару сайтов, например
address=/cnn.com/173.194.71.94

в итоге сайт не открывается (что неплохо), но и перенаправление на IP не происходит (что непонятно)

куда копать, подскажите пожалуйста!

[Ism]

Кажется чтоб привязать IP и интерфейс есть опция bind-interfaces
How-to`s — Настройка dnsmasq для одновременной работы с DNS провайдера и локальной сети

а вот ещё проблемка с сабжем - прописал для блокировки пару сайтов, например
address=/cnn.com/173.194.71.94

в итоге сайт не открывается (что неплохо), но и перенаправление на IP не происходит (что непонятно)

куда копать, подскажите пожалуйста!

Возможно надо сбросить кеш DNS , перезагрузиться

[demsl]

мне не нужно привязывать IP и интерфейс...
кэш чистил, и IP для перенаправления пробовал разные (и в локалке, и снаружи), сервис перезапускал
перезагрузка, ИМХО, кощунство))))



upd

разобрался - проблема была с вэб-сервисом на конечном сервере, всем спасибо за обсуждение!