1. Forum
  2. Usenet
  3. LINUX.DEBIAN.USER.FRENCH

  • Re: Firewall iptables qui ne bloque pas le port 53

    From Bernard Schoenacker@21:1/5 to All on Thu Apr 21 10:20:01 2022
    ----- Mail original -----

    De: "JUPIN Alain" <ajupin@jupin.net>
    À: "Liste Debian" <debian-user-french@lists.debian.org>
    Envoyé: Jeudi 21 Avril 2022 09:26:49
    Objet: Firewall iptables qui ne bloque pas le port 53

    Bonjour,

    Je vous soumet un petit problème ... sur une install Debian 11, j'ai installé pi-hole (pour bloquer les pubs)

    Pihole fonctionne, mais (il y a toujours un mais), je cherche a
    bloquer son usage que pour quelques IP (vu qu'il est sur une IP
    publique).
    Voici donc les règles de mon firewall

    # Politique par defaut
    iptables -t filter -P INPUT DROP
    iptables -t filter -P FORWARD DROP
    iptables -t filter -P OUTPUT ACCEPT
    ip6tables -t filter -P INPUT DROP
    ip6tables -t filter -P FORWARD DROP
    ip6tables -t filter -P OUTPUT ACCEPT

    # Autoriser le Loopback
    iptables -t filter -A INPUT -i lo -j ACCEPT
    iptables -t filter -A OUTPUT -o lo -j ACCEPT
    ip6tables -t filter -A INPUT -i lo -j ACCEPT
    ip6tables -t filter -A OUTPUT -o lo -j ACCEPT

    ###############################################################################
    # INBOUND TRAFIC # ###############################################################################

    # On accepte les paquets déjà établis
    iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
    ip6tables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT

    # PING (ICMP)
    iptables -A INPUT -p icmp -j ACCEPT
    ip6tables -A INPUT -p ipv6-icmp -j ACCEPT

    # SSH
    iptables -A INPUT -p tcp --dport 22 -j ACCEPT
    ip6tables -A INPUT -p tcp --dport 22 -j ACCEPT

    # DNS
    iptables -A INPUT -p tcp -s monIPv4 --dport 53 -j ACCEPT
    iptables -A INPUT -p udp -s monIPv4 --dport 53 -j ACCEPT
    ip6tables -A INPUT -p tcp -s monIPv6 --dport 53 -j ACCEPT
    ip6tables -A INPUT -p udp -s monIPv6 --dport 53 -j ACCEPT

    # HTTP(S)
    iptables -A INPUT -p tcp --dport 80 -j ACCEPT
    ip6tables -A INPUT -p tcp --dport 80 -j ACCEPT
    iptables -A INPUT -p tcp --dport 443 -j ACCEPT
    ip6tables -A INPUT -p tcp --dport 443 -j ACCEPT

    # On bloque tout le reste
    iptables -A INPUT -p tcp -j DROP
    ip6tables -A INPUT -p tcp -j DROP
    iptables -A INPUT -p udp -j DROP
    ip6tables -A INPUT -p udp -j DROP

    Le problème est que même activé, le port 53 n'est pas "bloqué" et
    tout le monde peut accéder à mon pi-hole !
    J'ai ajouté les 4 dernière lignes, mais sans effet !

    Bref, je dois bien passer a coté de quelques choses mais je ne vois
    pas quoi !

    Merci d'avance pour votre aide.

    --
    Alain JUPIN

    Bonjour Alain,

    Pour ton problème de port DNS, je t'invite à simplement consulter les pages sur le site du sieur Bortzmeyer et tu trouveras ton bonheur...

    Et je n'ai pas compris la raison pour laquelle tu souhaites
    bloquer ce port, la seule chose intelligente serait de rediriger
    le trafic tcp 53 sur la partie udp 53 et de consulter la doc
    pour DNSSEC

    Merci pour ton aimable attention

    Bien à toi

    Bernard

    --- SoupGate-Win32 v1.05
    * Origin: fsxNet Usenet Gateway (21:1/5)