проблемка с dnsmasq (dns)
Модератор: SLEDopit
проблемка с dnsmasq
на ubuntu сервере (просто шлюз) решил не ставить bind, поставил dnsmasq.
только маленькая проблема - он слушает на обоих интерфейсах(
в dnsmasq.conf писал
и
listen-address=127.0.0.1, 192.168.0.1
и
interface=eth1
перезапуск сервиса - и всё равно 53 порт в мир открыт.
как с этим бороться? только закрывать файерволом?
только маленькая проблема - он слушает на обоих интерфейсах(
в dnsmasq.conf писал
и
listen-address=127.0.0.1, 192.168.0.1
и
interface=eth1
перезапуск сервиса - и всё равно 53 порт в мир открыт.
как с этим бороться? только закрывать файерволом?
Re: проблемка с dnsmasq
Ну фаерволом в любом случаи стоит прикрыть сервер
Vladivostok Linux User Group
Re: проблемка с dnsmasq
последнее правило в инпуте -
-A INPUT -i eth0 -p tcp -m tcp -j DROP
с портами, закрытыми явно проблем нет
просто хотел решить именно средствами dnsmasq
-A INPUT -i eth0 -p tcp -m tcp -j DROP
с портами, закрытыми явно проблем нет
просто хотел решить именно средствами dnsmasq
Re: проблемка с dnsmasq
посмотрите внимательнее комментарии в конфигурационном файле, в частности:
Код: Выделить всё
# On systems which support it, dnsmasq binds the wildcard address,
# even when it is listening on only some interfaces. It then discards
# requests that it shouldn't reply to. This has the advantage of
# working even when interfaces come and go and change address. If you
# want dnsmasq to really bind only the interfaces it is listening on,
# uncomment this option. About the only time you may need this is when
# running another nameserver on the same machine.
#bind-interfaces
Re: проблемка с dnsmasq
Есть мнение что:
во первых лучше поставить политику по умолчанию drop. и брать -A INPUT -i eth0 -p tcp -m tcp -j DROP.
Во вторых: первым пунктом разрешить уже установленные соединения, а затем разрешать подключения на конкретные порты из внешней сети. Для доверенной сети можно пропустить трафик пришедший с определенного интерфейса.
Т. к. это более безопасно и защищает от дурака
Vladivostok Linux User Group
- Bizdelnick
- Модератор
- Сообщения: 20809
- Статус: nulla salus bello
- ОС: Debian GNU/Linux
Re: проблемка с dnsmasq
UDP в любом случае тоже нужно прикрыть.
Пишите правильно:
в консоли вку́пе (с чем-либо) в общем вообще | в течение (часа) новичок нюанс по умолчанию | приемлемо проблема пробовать трафик |
Re: проблемка с dnsmasq
vr13
спасибо большое!! Вы очень помогли. постараюсь теперь даже при обещаниях "простоты настройки" вчитываться в комментарии)
DaemonTux
Вы предлагаете -P INPUT -j DROP + -A INPUT -i eth0 -p tcp -m tcp -j DROP ?
Bizdelnick
-A INPUT -i eth0 -p udp -m udp -j DROP ??
спасибо большое!! Вы очень помогли. постараюсь теперь даже при обещаниях "простоты настройки" вчитываться в комментарии)
DaemonTux
Вы предлагаете -P INPUT -j DROP + -A INPUT -i eth0 -p tcp -m tcp -j DROP ?
Bizdelnick
-A INPUT -i eth0 -p udp -m udp -j DROP ??
- Bizdelnick
- Модератор
- Сообщения: 20809
- Статус: nulla salus bello
- ОС: Debian GNU/Linux
Re: проблемка с dnsmasq
Не, ну так жестоко-то не надо. Или ESTABLISHED сначала акцептните, или только 53 порт прикройте.
Пишите правильно:
в консоли вку́пе (с чем-либо) в общем вообще | в течение (часа) новичок нюанс по умолчанию | приемлемо проблема пробовать трафик |
Re: проблемка с dnsmasq
а вот ещё проблемка с сабжем - прописал для блокировки пару сайтов, например
address=/cnn.com/173.194.71.94
в итоге сайт не открывается (что неплохо), но и перенаправление на IP не происходит (что непонятно)
куда копать, подскажите пожалуйста!
address=/cnn.com/173.194.71.94
в итоге сайт не открывается (что неплохо), но и перенаправление на IP не происходит (что непонятно)
куда копать, подскажите пожалуйста!
Re: проблемка с dnsmasq
Кажется чтоб привязать IP и интерфейс есть опция bind-interfaces
How-to`s — Настройка dnsmasq для одновременной работы с DNS провайдера и локальной сети
Возможно надо сбросить кеш DNS , перезагрузиться
How-to`s — Настройка dnsmasq для одновременной работы с DNS провайдера и локальной сети
Возможно надо сбросить кеш DNS , перезагрузиться
Re: проблемка с dnsmasq
мне не нужно привязывать IP и интерфейс...
кэш чистил, и IP для перенаправления пробовал разные (и в локалке, и снаружи), сервис перезапускал
перезагрузка, ИМХО, кощунство))))
upd
разобрался - проблема была с вэб-сервисом на конечном сервере, всем спасибо за обсуждение!
кэш чистил, и IP для перенаправления пробовал разные (и в локалке, и снаружи), сервис перезапускал
перезагрузка, ИМХО, кощунство))))
upd
разобрался - проблема была с вэб-сервисом на конечном сервере, всем спасибо за обсуждение!